해킹왕김태윤

문제 설명여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.플래그 형식은 DH{...} 입니다.  문제 웹 입니다.vuln(xss) page에 들어가면 다음과 같이 url 상의 get 파라미터가 반환되어 스크립트가 실행됩니다.script 구문이 실행되어 alert가 되고 있습니다.다음은 memo page입니다.memo는 memo 파라미터에 값을 입력 후 enter 시 메모창에 입력됩니다. 다음은 flag page입니다. 문제에 필요한 flag 값이 check_xss 함수의 인자로 들어가 있습니다.  check 함수의 인자에 flag 값이 할당되었으며 반환 값인 read_url은 url을 호출하는..

문제 설명Description쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다.admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다.플래그 형식은 DH{...} 입니다. 아래의 코드를 보면 로그인을 session으로 인증한다는 것을 알 수 있다. 문제 웹에서 guest로 로그인을 하게 된다면 아래와 같이 나온다.여기서 cookie와 마찬가지로 f12를 누르고 cookie에 들어가보게 되면 sessionid와 username을 볼 수 있다.username은 admin이지만 sessionid이 달라서 flag가 보이지 않는다.소스코드를 확인해보니 주소창에 /admin 을 입력해야한다는 것을 확인했고, admin의 session id 를 복사해서 개발자 도구에 넣어주면,  flag가..

문제 설명쿠키로 인증 상태를 관리하는 간단한 로그인 서비스입니다.admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다.플래그 형식은 DH{...} 입니다.  문제에서 받은 파일에 들어가서  users 딕셔너리를 보면 username과 pw를 알 수 있다.  문제 웹에 들어가서 로그인을 하려면 username과 password가 필요한걸 알 수 있다.그치만 admin은 password를 모르니 username과 password에 guest를 입력하여 로그인한다.  f12를 누르고 쿠키에 들어가 guest를 admin으로 바꾼다. 이후 새로고침을 하면 flag를 찾을 수 있다.

문제 설명개발자 도구의 Sources 탭 기능을 활용해 플래그를 찾아보세요.플래그 형식은 DH{...} 입니다. 문제 파일 받기.파일 압축 풀기.     웹에서 f12 누르고 ctrl + shift + f 눌러서 DH 검색한뒤에 flag 찾고 정답쓰기.