728x90 반응형 전체 글201 [Sunshine] beepboop 풀이 https://github.com/D13David/ctf-writeups/tree/main/sunshinectf23/crypto/beepboop Help! My IOT device has gone sentient! All I wanted to know was the meaning of 42! It's also waving its arms up and down, and I... oh no! It's free! AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA Automated Challenge Instructions Detected failure in challenge upload. Original author terminated. Please see attached file BeepBoop.. 2023. 10. 14. [Sunshine] Hotdog Stand 풀이 https://github.com/D13David/ctf-writeups/tree/main/sunshinectf23/web/hotdog_stand 도커파일은 제공하지 않는 것 같다. 첫 페이지다. sql인젝션이 떠오르기는 한다. '를 넣었을 때 에러코드를 보여주지 않는 것을 보아 힘들것 같다. /hotdog-database 를 robots.txt에서 hotdog-database에 대한 크롤링을 제한하고 있다. 하지만 robots.txt로 접근을 통제하는 것은 아니기 때문에 직접적으로 접속은 가능하다. 접속해보면 db파일을 받을 수 있다. https://sqliteviewer.app/ SQLite Viewer Web App SQLite Viewer Web App SQLite Viewer Web is a f.. 2023. 10. 10. [Sunshine] BeepBoop Blog 풀이 https://github.com/D13David/ctf-writeups/tree/main/sunshinectf23/web/beep_boop 깃허브 링크를 올렸지만 도커를 제공해주지 않아서 나중에 풀어보긴 힘들것 같다. 초기화면이다. View All...을 누를 경우 이처럼 나타내준다. 이것저것 눌러보다가 index.js를 발견했다. function loadPosts() { fetch("/posts").then(data => { return data.json(); }).then(json => { document.getElementById("contents").innerHTML = ""; let out = ""; for (let i = 0; i < json.posts.length; i++) { let po.. 2023. 10. 10. [ASIS] hello 풀이 https://asisctf.com/challenges ASIS CTF asisctf.com ASIS ctf 웹 문제이다. 첫 화면이다. curl file:///hi.txt 명령어로 hi.txt를 가져오고있다. curl 명령어는 데이터 전송 및 요청을 수행하는 명령줄 도구이다. file 스키마는 로컬에 있는 파일에 접근할 때 사용된다. 여기서 escapeshellarg은 문자열 주위에 작은따옴표를 추가하고 기존 작은따옴표를 인용/이스케이프하여 문자열을 쉘 함수에 직접 전달하고 단일 안전 인수로 처리되도록 한다. 이 함수는 사용자 입력에서 오는 쉘 함수에 대한 개별 인수를 이스케이프하는 데 사용되어야 한다. https://www.php.net/manual/en/function.escapeshellarg.php 2023. 10. 2. [드림핵] Type c-j 풀이 보호되어 있는 글 입니다. 2023. 9. 30. [드림핵] command-injection-chatgpt 풀이 https://dreamhack.io/wargame/challenges/768 command-injection-chatgpt 특정 Host에 ping 패킷을 보내는 서비스입니다. Command Injection을 통해 플래그를 획득하세요. 플래그는 flag.py에 있습니다. chatGPT와 함께 풀어보세요! Reference Introduction of Webhacking dreamhack.io 챗 지피티와 함께 풀어보자. 초기 화면이다. Ping 페이지가 보인다. Ping 페이지로 가보자. 아이피 주소를 넣을 수 있는 곳이 보인다. 코드를 보면서 이해해보자. #!/usr/bin/env python3 import subprocess from flask import Flask, request, render.. 2023. 9. 24. 이전 1 ··· 22 23 24 25 26 27 28 ··· 34 다음 728x90 반응형
