본문 바로가기

Wargame26

*Who are you? 나를 들여보내줘! 라는 문제이다. 이 사이트에서는 오직 PicoBrowser만 허용한다는 문구이다. 피들러에서, User-Agent를 PicoBrowser를 변경해보았다. 다른 사이트로부터 방문한 사용자를 믿을 수 없다고 한다. 이 사이트를 참조한다는 Referer 헤더를 추가해준다. 이 사이트는 오직 2018년도에서만 작동한다. 즉 Date 헤더를 추가해야될 것 같다. Date 헤더에 2018년도의 아무 날짜를 넣어준다. 나는 추적할 수 있는 사용자를 믿을 수 없다는 문구이다. 추적을 금지한다.는 헤더는 DNT가 있다. DNT는 Do Not Track 의 약자로, 추적을 금지하는 헤더이다. DNT: "0" --> 사용자가 대상 사이트에 대해 추적을 허용하는 것을 말한다. DNT: "1" --> 사용자가.. 2022. 3. 14.
logon Joe로 로그인하고 숨겨진 사용자들이 보고 있던 걸 찾을 수 있어? 라는 문제이다. 기본적인 로그인 페이지가 뜬다. Joe 로 로그인 시, 로그인되지 않는다. 아무 사용자로 로그인을 해보면, Joe를 제외한 사용자들은 로그인에 성공하지만, flag를 볼 수는 없다는 문구가 뜬다. 쿠키값으로는 admin, password, username 이 생성된다. admin은 False 값을 가진다. admin을 True로 바꿔주면, flag를 획득할 수 있다. 2022. 3. 13.
Scavenger Hunt 이 사이트에 숨겨진 정보가 있다. 찾을 수 있어? 라는 문제이다. How What 탭에 따라 텍스트가 출력된다. What 탭에서 HTML, CSS, JS 파일을 봐야겠다는 생각이 든다. index 파일에서 picoCTF(t 발견했다. .css 파일에서 두번째 부분 확인했다. .js 파일에서 문구를 발견했다. "구글에서 내 웹사이트를 인덱싱하지 못하도록 하는 방법은 ?" 이라는 문구이다. 즉, 구글에서 내 웹 사이트를 검색하지 못하도록 하면 된다는 뜻이다. 구글 검색 엔진이 페이지를 인덱싱하지 못하도록 하는 방법은 noindex 태그를 포함거나, robots.txt 파일에 액세스하지 못하도록 할 파일을 추가해준다. 즉, robots.txt 파일이 힌트다. flag의 3번째 부분을 획득했다. 밑의 힌트는 아.. 2022. 3. 13.
picobrowser 오직 picobrowser만 렌더링할 수 있다. flag를 찾아라.는 문제이다. flag 버튼 클릭 시, 이 같은 문구가 같이 뜬다 피들러로 봤을 때, User-Agent 에 있는 내용이 출력됨을 확인할 수 있다. 문제에서 picobrowser 일때만 렌더링된다고 쓰여있으므로 User-Agent 헤더부분을 picobrowser로 변경해준다. picobrowser 라는 문구가 뜨고 flag를 획득할 수 있다. 2022. 3. 13.
Cookies 가장 최고를 발견해라. 라는 문제이다. 입력창이 하나 뜬다. placeholder 값으로 적혀있는 snickerdoodle을 입력했을 때, 쿠키 이름을 적었던 것으로 확인된다. 이때의 쿠키값을 살펴보면, 처음 페이지 접속 시, 쿠키값은 name= -1 값을 가지고 있다. snickerdoodle 값 입력 시 name=0 으로 쿠키 값이 변경되었다. 즉, 입력창에 쿠키 이름 입력 시 name의 쿠키값이 변경된다는 것을 알려준다. 예로, name = 3 입력 시, 다른 쿠키 이름이 뜨는 것을 볼 수 있다. 계속해서 쿠키 값 변경하여 name = 18 쿠키값을 가질 때, flag를 획득할 수 있다. 2022. 3. 13.
login 이 사이트에 들어갈 수 없는데, 도와줄 수 있어? 라는 문제이다. 흔히 볼 수 있는 로그인 페이지이다. 개발자 도구에서 index.js 파일을 발견했다. 자세히 보면 username 은 u 를 나타내고, password는 p를 나타낸다. 맨 밑 문구를 보면 flag는 atob(t.p) 함수라고 적혀있다. atob() 함수는 base64로 문자열을 인코딩하는 함수이다. flag를 획득하려면 문자열을 디코딩하면 된다. 바로 윗 문장을 보면 긴 문자열과 다르다면 Incorrect Password 알림창이 뜬다. 즉, 긴 문자열이 password 라는 뜻이다. 이 문자열을 base64 디코딩 해보면, flag를 획득할 수 있다. 2022. 3. 11.

티스토리툴바