제 30회 HackingCamp Review & CTF Web Writeup

제 30회 HackingCamp 후기한동안 회사에 취업하고 너무 바빠서 블로그를 쓰지 못했다 (이제 조금 덜 바빠서 다시 열심히 써볼 예정).그동안 가고싶었던 해킹캠프에 처음으로 참가하게 되었다. 사실 참가자들 중에 나이가 제일 많을거 같아서 지원당시 떨어지기 싫어서 팀장 희망 신청까지 했는데,, 팀장들은 앞에 나와서 재밌는걸 하게 될줄은 멘토님께 얘기만 들었지 정말 진짜로 할 줄은 몰랐다.. ^^;나는 "너 T발 F야??" 팀의 팀장이었고, 역시나 가장 나이가 많았다... 하지만 맏내(?) 포지션 담당이었다.아쉽게 CTF는 최종 3등을 했고 (내가 웹 문제 두개만 더 풀었어도..) 정말 감사하게도 개인적으로는 성실하게 참가했던 3명에게 주는 Sincere Hacker 상을 수상하게 되었다. chill ..

• format_list_bulleted Hacker/WEB
• · 2025. 2. 28.
• textsms

LG U+ Security Hackaton Write up

LG U+ Security Hackaton 웹 3문제 다 풀진 못했지만,, 대회가 끝나고 올라온 롸업들을 보며 다시 풀어보고 정리해보았다.1. Account Service우선 블랙박스 문제다.우선 로그인과 회원가입 기능이 있고,회원가입에서는 프로필 이미지 업로드 기능이 있다.이 부분에서 웹쉘 문제라고 바로 생각했다.우선 클라이언트단에서 js로 png를 제외한 다른 이미지 파일은 허용되지 않게 했다.하지만, burp로 아래와 같이 파일 확장자를 변경해서 request가 가능하다. 확장자와 content type도 아래와 같이 변경가능하고 내 경우에는 업로드시에는 png로 업로드를 하고 파일이름, 타입, 값을 수정해서 request를 하고 업로드가 된 응답값을 받을 수 있었다.우선 정상적으로 회원가입 성공후..

• format_list_bulleted Hacker/WEB
• · 2024. 11. 18.
• textsms