2019 Sunrin Hacking Festival (출제 문제 공유)

선린 교내 해킹방어대회에 출제했던 웹 문제다. PHP Trick, CSS Injection, SQL Injection 이렇게 3개를 준비했고
난이도 조절 실패로 아쉽게 풀이자는 없었다.. 😥😭

PHP Trick의 jjang9라는 문제는 Zend를 분석하다가 찾았던 PHP filesystem trick을 Lfi와 엮어서 낸 문제였고
Flask로 만든 My first app이라는 문제는 간단하게 프로필 이미지에서 파일 이름으로 Blind CSS Injection을 하는 문제였다.
마지막 문제인 Last old school은 고전적인 SQL Injection 문제였는데 의도한 풀이는 BIGINT Overflow를 이용한 Error based SQL Injection이었다.

모든 문제는 아래 깃헙에서 구경할 수 있다.
https://github.com/munsiwoo/ctf-web-prob/tree/master/2019/Sunrin_Internet_High_School_CTF_2019


2019 Sunrin Internet High School CTF README.md

All prob were made by munsiwoo.

  • jjang9 (Web, PHP)
    • White box
    • PHP file system function trick
    • PHP Latest release version open_basedir bypass
    • Lfi to RCE
  • My first app (Web, Flask)
    • White box
    • Blind CSS Injection
  • Last old school (Web, PHP)
    • White box
    • Error Based SQL Injection

You can contact me via [mun.xiwoo@gmail.com]