2019 Christmas CTF Platform
tl;dr 1. 재작년 초에 만들어서 얼마 전 Christmas CTF까지 수정해서 잘 사용했던 CTF 플랫폼 공개 2. 소스는 https://github.com/munsiwoo/christmas-ctf-platform 3. 이
Continue readingSQL Injection Techniques
SQL Injection에서 사용할 수 있는 문법, 테크닉을 정리해본 글입니다. (MySQL 기준) 본 문서는 지속적으로 업데이트됩니다. Comparison operators, functions select ‘admin’=’admin’;
Continue reading19Cyberoc – Secret Service(Hidden Service) Write up
2019 화이트햇 본선에 출제된 문제다. (화이트햇 콘테스트에서 사이버작전 경연대회로 이름이 바뀜) 1. PHP 소스를 얻어보자 처음부터 제공해주는 index.php를 쭉쭉 읽다보면
Continue readingPHP Template engine : Mun template
조건문과 반복문, 변수 출력, 변수 전달 이렇게 최소한의 기능만 파싱해서 eval로 넘겨주는 엄청 단순한 PHP 템플릿 엔진을 하나 만들어봤다. 기존에
Continue reading2019 선린 해킹방어대회 웹 문제
2019년 선린 해킹방어대회에 출제했던 웹 문제다. 전부 다 화이트 박스였다. 문제1 : jjang9 이 문제는 PHP 파일 시스템 버그하고 file
Continue readingAwesome PHP open_basedir bypass
@Blaklis_ 트윗에 open_basedir를 우회하는 새로운 방법이 올라왔다. Here is an awesome PHP open_basedir bypass by @Blaklis_ You are open_basedir’ed to
Continue reading[ASIS CTF] Elasticsearch NoSQL Injection
요약 ASIS CTF에 출제됐던 Dead engine이란 문제다. Elasticsearch를 사용하고 있는 사이트에서 NoSQL Injection으로 플래그를 얻는 문제였다. Elasticsearch는 처음이라 열심히 검색하면서
Continue reading2019 코드게이트 발표 후기
준비한 발표 주제는 Zend 엔진 소스 분석을 통해 PHP 버그가 발생하는 이유와 분석 과정을 설명하며 취약점으로 연계할 수 있는 PHP
Continue reading