개요CVE-2024-4367 취약점은 널리 사용되고있는 PDF뷰어 중 하나인 pdf.js에서 발생하는 취약점이다. 해당 취약점은 PDF의 글꼴을 표현하고 관리하는 "FontMatrix" 속성의 유형 검사가 누락되어 임의의 자바스크립트 실행(XSS)이 가능하다. 등급N/A 취약 버전pdf.js 4.2.67 이전 버전 환경 구성Tomcat 9.0.89pdf.js 4.1.392 실습POC코드를 이용해 공격에 사용할 PDF 생성 사전에 만들어둔 도커 컨테이너로 Tomcat 실행 PDF 업로드 후 [Upload File] 시도 PDF 파일 업로드에 성공하면 PDF 파일이 저장된 로컬 주소로 접근하고 최종적으로 XSS가 실행된다. 대응 방안대응 방법설명버전 패치pdf.js 4.2.67 버전으로 패치옵션 설정vie..

https://youtu.be/bhcadzIkX_s ㅎㅎ 다들 너무 열심히 참여해주시고 의견 교환도 활발해서 넘 좋았씁니다!! 굿굿

문제 풀이 파일을 exiftool로 확인해본 결과 Certificate 부분에 문제를 풀라고 적혀있음 함수는 (x-1)(x-3) 힌트를 보면 높은 값이 정답이라고 적혀있으니 3이 정답 이제 뒤에 적혀있는 문자열 sdvvrug : qrmlq를 풀어야 함 쉬프트 값으로 3을 주고 시저 암호로 해독해보면 passord : nojin이라는 평문이 나옴 steghide 명령어로 passphase에 nojin을 입력하여 숨겨진 파일을 추출해야 함 힌트에 포함된 닉네임+태그로 디코 친추를 보냄 연결된 깃허브 링크를 통해 zip파일을 다운받음 압축을 풀면 두개의 파일이 추출됨 오디오 파일을 실행시켜보면 키패드 445599를 누를 때의 소리가 나옴 steghide를 이용해 passphase로 445599를 입력하면 숨겨..

문제 이번엔 Carl이 열차를 갈아타지 않았다고 가정했을 때 종착역의 이름을 묻는 문제 풀이 구글 지도에서 Montreux railway station 역을 검색해서 기차 탭으로 들어감 그리고 보통 종점역의 이름으로 기차를 운행하니까 알파벳 10개인 종점역을 찾다가 Zweisimmen 역을 발견함 flag DOCTF{zweisimmen}

문제 기차가 다니는 선로 갯수를 찾는 문제 풀이 Montreux역의 플랫폼은 총 5개 풀이 DOCTF{5}

문제 플래그 뒤에 xxxxx 갯수(8개)가 정답이랑 똑같음 플래그 포맷은 소문자로 8글자 풀이 첨부된 사진을 보면 Château-d'Oex와 빌딩에 있는 MOB라는 알파벳이 보이고 이걸 토대로 구글링 함 맨 위에 있는 사이트로 접속 오른쪽 상단에 Getting Informed → Station을 클릭 사진을 짤렸지만 총 5개의 열차역이 나옴 그 중에서 8글자로 된 열차역을 찾아보면 Montreux역 밖에 없음 flag DOCTF{montreux}

문제 NGINX를 스킵하고 사이트에 직접 접속하라는 문제 풀이 첨부된 파일의 코드를 보면 사이트에 접속할 때 URL 쿼리에 &proxy=nginx문자열이 추가됨 req.query.proxy.include(”nginx”)`가 False가 되면 Flag값을 얻을 수 있음 express는 qs를 default query parser로 사용함 parameterLimit은 쿼리 매개변수의 최대 개수를 지정하며 기본값은 1000 따라서, 쿼리 매개변수가 1000개가 넘는 요청을 보내면 proxy=nginx는 무시된다. flag SECCON{sometimes_deFault_options_are_useful_to_bypa55} 확실히 SECCON이 메이저급 대회라고 느낀게 다른 CTF들보다 문제 수준이 월등히 높았음 ..

문제 풀이 첨부된 파일을 HxD로 열고나서 파일의 끝 부분을 보면 2진수로 된 암호가 있음 이걸 베이컨 암호로 디코드하면 PRETTYBASICAMIRITE라는 문자열이 나옴 플래그는 소문자로 작성하면 됨 flag flag{prettybasicamirite} 개인적으로 암호를 잘 몰라서 풀다가 포기했던 문제 파일의 끝 부분에 적혀있던 2진수로 된 암호를 발견했는데 어떤 암호인지 몰라서 찾아보다가 포기함 write up을 찾아보다가 베이컨 암호라는걸 알게 되었음