2019 선린 해킹방어대회 웹 문제

2019년 선린 해킹방어대회에 출제했던 웹 문제다.
전부 다 화이트 박스였다.

문제1 : jjang9

이 문제는 PHP 파일 시스템 버그하고 file inclusion 취약점을 섞어서 낸 트릭 문제다.
PHP 파일 시스템 버그에 관한 발표 자료는 코드게이트 발표 후기 글에 공유 해놨다.
file inclusion으로 PHP code execution에 성공했다면 예전에 @Blaklis_ 가 트위터에 공유한 방법으로
open_basedir을 우회하고 /flag를 읽으면 된다.

문제2 : My first app

My first app은 스크립트를 작성해서 풀도록 의도한 Blind CSS Injection 문제다.
플래그는 특정 태그의 value 속성에 들어있었고 그걸 한 글자씩 요청해서 뽑아오면 된다.

문제3 : Last old school

마지막 문제 Last old school은 Error based SQL Injection 문제다.
필터가 느슨해서 다양한 방법으로 풀이할 수 있다.

https://github.com/munsiwoo/ctf-web-prob/tree/master/2019/Sunrin_Internet_High_School_CTF_2019


2019 Sunrin Internet High School CTF README.md

All prob were made by munsiwoo.

  • jjang9 (Web, PHP)
    • PHP file system function trick
    • PHP Latest release version open_basedir bypass
    • Lfi to RCE
  • My first app (Web, Flask)
    • Blind CSS Injection
  • Last old school (Web, PHP)
    • Error Based SQL Injection

You can contact me via [mun.xiwoo@gmail.com]