S.W.F.S.

3팀 심유나 이번에 풀어볼 문제에는 Broken.jpg 파일이 첨부되어 있다. 파일을 열어보니 (원본 사진은 없고 그림판에 넣은 사진뿐이라 이걸로 대체하겠습니다..) 보통 큐알코드와 색깔, 모양이 약간 다른 것 같아서 그림판을 통해 색반전을 해주었다. 색반전한 결과 그리고 이 사진을 그대로 qr코드 스캔을 해보니까 안되서 https://zxing.org/w/decode.jspx ZXing Decoder Online zxing.org qr코드를 여기서 스캔해보니 결과가 이렇게 나왔고 그 중에 의심스러운 1t_S_s0_cr3atIv3를 플래그로 입력하였다. 해결!

4팀 김소희 ​ ​ ​ 문제를 클릭하면 아래와 같은 화면이 나온다. ​ ​ ​ ​ ​ ​ ​ 파일을 다운 받은 후 압축을 풀면 아래와 같은 사진 파일이 두 개있다. ​ ​ ​ ​ ​ ​ 비슷하지만 살짝 다른 두 파일을 비교하는 문제인것 같다. ​ ​ ​ ​ ​ ​ ​ 직접 하나씩 비교하기에는 힘드니까 검색해 보았더니 아래 사이트에서 '리눅스에서 compare 명령어'를 사용하면 쉽게 파일을 비교할 수 있다는 것을 알게 되었다. https://webdir.tistory.com/154 ​ 그래서 웹 브라우저에서 Linux를 실행할 수 있는 아래 사이트에서 https://bellard.org/jslinux/vm.html?url=alpine-x86.cfg&mem=192 ​ compare 명령어를 사용하여 비교한..

1팀 정유진 CSRF 취약점이란 CSRF(Cross-Site Request Forgery) 사이트 간 요청 위조 공격은 브라우저가 웹 사이트의 사용자를 신용하고 있는 상태를 이용한 공격을 말한다. 역시 간단하게 예를 들면, 제가 관리자인 https://falsy.me 라는 사이트가 있고, falsy.me는 쿠키로 사용자 인증을 하고 있고 저는 로그인이 되어 있다고 했을때, 그리고 사용자의 비밀번호를 변경하는 api가 ‘https://falsy.me/user?id=…&pw=…’ 이러한 형태로 되어 있을때. 출처 : https://falsy.me/%EC%9B%B9-%EC%B7%A8%EC%95%BD%EC%A0%90-%EA%B3%B5%EA%B2%A9-%EB%B0%A9%EB%B2%95%EC%9D%B8-xss-cs..

6팀 박지혜 Q,ctf-d : 그림을 보아라 그림을 보겠습니다 정체를 알 수 없는 그림이 있다. 스테가노그래피를 이용했을 수도 있으니.. forensically를 이용해보자. forensically를 이용하려고 했는데 오른쪽 상단에 이런 문구가 있어서 봤다. http://goo.gl/2Tig1v 페이지가 쓰여 있고 비밀번호를 여기에 저장했는데 지가 지웠으니까 해킹하지 말라고 써있다. 우선 들어가보자 (그리고 난.. 바보가 아님) 언어를 알 수 없는 페이지와 함께 이미지 여섯장과 db 파일이 있다. 먼저 사진 파일을 열어보면, FLAGIS 라는 문구가 적힌 이미지 6장 과 thumbs.db 파일이 있다. 이 파일을 분석해보면 .. 될 듯 하다. viewer로 확인해보았다. 엄청나게 많은 이미지가 발견되었다..

1팀 김나연 eng.png파일이다. 이 사진말고 유용한건 없다고 말하는건가? 사진에 url이 하나 있길래 들어가봤다. 알아들을 수 없는 언어의 사이트가 나왔다. archive.zip eng.png에서 말한 archive가 archive.zip을 말하는 거구나 깨달았다. 일단 1.png, 2.png, 3.png, 4.png, 5.png, 6.png, Thumbs.db까지 다운받았다. Thumbs.db는 썸네일을 보라는 말인가? dbSqlite로 안 열리길래 Thumbs.db를 열 수 있는 Thumbs Viewer로 열어봤다. 파일들의 썸네일이 전부 영어 알파벳이었다. 누가봐도 플래그 값 그냥 파일 목록 순서대로 나열했다가 틀렸다고 해서 파일명 순서대로 나열하니까 플래그 값이 맞다.

3팀 이윤지 14번 문제를 클릭하면 위와 같은 화면이 뜬다. 보이는 것이 없어 페이지의 소스 코드를 확인해 보았다. function ck(){ var ul=document.URL; ul=ul.indexOf(".kr"); ul=ul*30; if(ul==pw.input_pwd.value) { location.href="?"+ul*pw.input_pwd.value; } else { alert("Wrong"); } } 이 부분을 해석해 보자면... check 버튼을 눌렀을 때 ck() 함수가 실행이 되는데 ck() 함수가 실행이 되면 우선 변수 ul에 document.URL이 저장되는 것 같다. 여기서 document.URL은 문서의 URL을 반환하는 속성이라고 한다! 그 후 다시 ul에 반환된 URL 중 .k..

3팀 정다빈 일단 문제를 다운 받았다. 뒷배경이 뭔가 반복적이라 의심스럽다. 자세하게 잘라서 보면 다음과 같다. 음.. 잘 모르겠어서 구글링을 해봤다. 이진법이라고 한다. 흰색이 0, 검은색이 1로 해서 나타내면 다음과 같다. 01010011 00110100 01001110 01000011 01001000 00110000 으로 표현이 가능하다. chr로 변환하면 S4NCH0 라는 문자열이 나온다. 이 문자열을 md5 포맷으로 변경하면 975186cff0a2bfd07862175d40fa36ff 이 나오게 된다.

1팀 송보연 ctf-d 사이트의 DOS 모드에서는... 이라는 문제를 풀어보려한다. 키 포멧이 따로 주어져있지는 않았다. ※DOS : Disk Operating System. 디스크 운영체제. 검은 화면 위의 프롬프트라고 불리는 곳에 키보드로 명령어를 입력하는 흔히 원시적인 형태의 문자 입력 인터페이스의 셸을 가진 운영체제를 말한다. 예전에 만들어진 운영체제다 보니 윈도우즈와는 달리 파일 이름이 영문자 기준으로 최대 8자, 확장자는 3자까지만 입력할 수 있다. 먼저, 주어져있는 jpeg 형식의 이미지파일을 먼저 다운받아준다. 주어진 이미지 파일을 보면,HEX값이 뭐냐, HEX값이 보이지 않는다 라고 하는거같다. 그래서 일단 이 이미지 파일을 헥사값을 보기위해 HxD에 넣어주었다. 헤더/푸터 시그니처 (J..