문제jalyboy-baby와 비슷하지만 “Do you like Java?” 이 내용이 힌트였음 풀이코드를 분석해보니 jalyboy-baby와 동일하나 알고리즘이 ES256으로 변경되고. 시그니처 검증 로직이 추가됨구글링 하던 중 Java 취약점 중 하나인 CVE-2022-21449 취약점을 발견함내용으로는 ES256이 사용하는 타원곡선기반 서명을 변조 가능한 취약점이였음 사진에 보이는 것처럼 CVE-2022-21449 취약점은 시그니처에 MAYCAQACAQA=를 넣었더니 토큰이 검증됨자세한 내용은 까먹었음 ㅎ..ㅎ;;; 마찬가지로 시그니처 값을 동일하게 MAYCAQACAQA=로 삽입했더니 검증 로직이 통과됨아니 이게 진짜 되네?? 해당 취약점을 이용해 FLAG 획득이 문제를 봤을 땐 상당히 고전할 것 같..

문제풀이페이지 접속 시 두 개의 버튼이 나오고, “login as guest’ 버튼을 클릭하면 JWT 토큰이 발급됨 소스 코드 분석 결과, 토큰의 시그니처 값은 확인할 수 없었음얻을 수 있는 정보는 HS256 알고리즘 사용, 시그니처 검증 로직이 존재하지 않으며, sub = ADMIN일 경우 flag 획득 가능 분석한 내용을 토대로, 토큰의 시그니처 값을 지워봄결과적으로 토큰 시그니처가 없어도 "Hi guest!" 문구 출력됨 JWT decode 사이트를 통해 토큰의 시그니처를 지우고 sub = guest → admin으로 변조 변조 토큰 전송 시 admin으로 인식해서 flag 값 뱉어줌작년에 진행했던 CTF Write-up을 노션에만 기록해뒀다가, 요번에 티스토리로 옮기기로 마음 먹음회사 동료들과 참..

문제리버싱 문제로 유니티로 만든 게임 파일을 제공해주었고, 게임 내에서 비행기를 몰고 맵 끝까지 도달하면 플래그를 획득하는 방식풀이문제 파일은 요렇게 생겼고 유니티 리버싱에 필요한 Assembly-CSharp.dll 파일은 제공되지 않았음 피지컬에 자신이 있어서 맵 끝까지 가보려고 했지만, 일정 시간이 경과하면 유도 미사일이 비행기를 격추시켜 게임 파일 변조 없이 끝까지 가는건 불가능했다 ㅎ...ㅎ;; 유니티 리버싱은 처음이라 검색해보던 중 Il2CppDumper라는 툴을 이용하면 게임 오브젝트들을 제어하는데 이용되는 Assembly-CSharp.dll 파일을 추출가능하다는 정보를 얻었다.  툴을 설치하고 바이너리 파일을 지정해주면 Assembly-CSharp.dll 파일을 추출할 수 있었다.   ILS..

문제 풀이 파일을 exiftool로 확인해본 결과 Certificate 부분에 문제를 풀라고 적혀있음 함수는 (x-1)(x-3) 힌트를 보면 높은 값이 정답이라고 적혀있으니 3이 정답 이제 뒤에 적혀있는 문자열 sdvvrug : qrmlq를 풀어야 함 쉬프트 값으로 3을 주고 시저 암호로 해독해보면 passord : nojin이라는 평문이 나옴 steghide 명령어로 passphase에 nojin을 입력하여 숨겨진 파일을 추출해야 함 힌트에 포함된 닉네임+태그로 디코 친추를 보냄 연결된 깃허브 링크를 통해 zip파일을 다운받음 압축을 풀면 두개의 파일이 추출됨 오디오 파일을 실행시켜보면 키패드 445599를 누를 때의 소리가 나옴 steghide를 이용해 passphase로 445599를 입력하면 숨겨..

문제 이번엔 Carl이 열차를 갈아타지 않았다고 가정했을 때 종착역의 이름을 묻는 문제 풀이 구글 지도에서 Montreux railway station 역을 검색해서 기차 탭으로 들어감 그리고 보통 종점역의 이름으로 기차를 운행하니까 알파벳 10개인 종점역을 찾다가 Zweisimmen 역을 발견함 flag DOCTF{zweisimmen}

문제 기차가 다니는 선로 갯수를 찾는 문제 풀이 Montreux역의 플랫폼은 총 5개 풀이 DOCTF{5}

문제 플래그 뒤에 xxxxx 갯수(8개)가 정답이랑 똑같음 플래그 포맷은 소문자로 8글자 풀이 첨부된 사진을 보면 Château-d'Oex와 빌딩에 있는 MOB라는 알파벳이 보이고 이걸 토대로 구글링 함 맨 위에 있는 사이트로 접속 오른쪽 상단에 Getting Informed → Station을 클릭 사진을 짤렸지만 총 5개의 열차역이 나옴 그 중에서 8글자로 된 열차역을 찾아보면 Montreux역 밖에 없음 flag DOCTF{montreux}

문제 NGINX를 스킵하고 사이트에 직접 접속하라는 문제 풀이 첨부된 파일의 코드를 보면 사이트에 접속할 때 URL 쿼리에 &proxy=nginx문자열이 추가됨 req.query.proxy.include(”nginx”)`가 False가 되면 Flag값을 얻을 수 있음 express는 qs를 default query parser로 사용함 parameterLimit은 쿼리 매개변수의 최대 개수를 지정하며 기본값은 1000 따라서, 쿼리 매개변수가 1000개가 넘는 요청을 보내면 proxy=nginx는 무시된다. flag SECCON{sometimes_deFault_options_are_useful_to_bypa55} 확실히 SECCON이 메이저급 대회라고 느낀게 다른 CTF들보다 문제 수준이 월등히 높았음 ..