2019 선린 해킹방어대회에 출제했던 문제 공유

교내 대회 출제했던 문제 간단한 풀이 요약하고 그 아래는 문제 파일 정리해놓은 깃이다.

문제1 : jjang9

이 문제는 예전에 php zend엔진 분석하다가 알았던 php 파일 시스템 버그하고 lfi를 엮어서 낸 문제다.
파일 시스템 버그에 관한 발표 자료는 블로그 어딘가에 코드게이트 발표 후기 글 찾아보면 나와있다.
lfi로 php code실행에 성공하면 예전에 @Blaklis_ 가 트윗에 올린 방법으로 open_basedir 우회하고 /flag를 읽으면 된다.

문제2 : My first app

My first app은 스크립트를 작성해서 풀도록 만든 Blind CSS Injection 문제다.
플래그는 특정 태그의 value 속성에 들어있었고 그걸 한 글자씩 요청해서 뽑아오면 된다.

문제3 : Last old school

마지막 문제 Last old school은 Error based SQL Injection 문제다.
필터가 느슨해서 그냥 다양한 방법으로 풀 수 있다.

https://github.com/munsiwoo/ctf-web-prob/tree/master/2019/Sunrin_Internet_High_School_CTF_2019


2019 Sunrin Internet High School CTF README.md

All prob were made by munsiwoo.

  • jjang9 (Web, PHP)
    • White box
    • PHP file system function trick
    • PHP Latest release version open_basedir bypass
    • Lfi to RCE
  • My first app (Web, Flask)
    • White box
    • Blind CSS Injection
  • Last old school (Web, PHP)
    • White box
    • Error Based SQL Injection

You can contact me via [mun.xiwoo@gmail.com]