sweetchip's blog



6월 7일 오전 10시부터 8일 오후 6시 총 32시간동안 hdcon이 진행되었습니다.


저는 4인 고등학생팀으로 구성된 팀으로 예선을 신청하고 새벽까지 잠을 안자면서 풀엇지만...


대략 20위정도 순위로 끝마치게 되었습니다.


제가 직접 참여한건 1번과 2번과 4번과 5번이었습니다.


대체로 문제들을 보면 저의 기준으론 상당히 어려운 편이었는데 [2번은 매우 쉬운편]


특히 1번부터 처음에 너무 힌트가 없어서 대회가 시작된지 1시간 30분 뒤에야 브레이크쓰루가 등장했습니다.


저희는 약 7시간 넘게 해서 힌트가 공개되고 풀었을땐 약 20명~30명정도 푼 상태였습니다.


1번부터 난이도가 너무 어려웟네요..


기타 다른문제는 나중에 write up으로 다시 보겠습니다.



일단 hdcon이 좋았던것은

- 어려웟으나 재밋는 문제들 예를들어 3번..


제가 생각하는 단점음

- 다양한 문제를 접하고 싶은데 순차적 풀이 방식이라 한문제가 모르는 분야가 나온다면 풀지 못함.


입니다.


저는 개인적으로 여러문제를 오픈 시키는 그런 CTF 방식을 좋아하는데 이것이 약간 아쉬운것 같았습니다.


그리고 초반에 페이지 오류가 생기고 공지시항을 못보는등 몇가지 오류가 있엇지만 곧 수정되었습니다.


종합해보면


문제 수준은 제기준으론 어려운것이 좀 있었고 순차적 풀이방식이 아쉬웟지만 재밌는 문제들이 많았고


개인적으로는 해킹대회에 처음 팀전으로 출전한건데 팀의 필요성을 느낀 대회가 이번 대회입니다.


제가 생각치도 못한걸 팀원분들이 생각해 내더라구요... 서로 도움주고 협력하는 것을 직접 느끼고 팀의 필요성을 느꼇습니다.




추가로 나중에 write-up때 더 필요한 말들을 써보겠습니다.


ps. 5번 리모트 익스플로잇 못푼거 진짜 아쉽네요.. 어떻게든 서버를 구축해서 다시 풀어야 겟습니다.

신고

Comment 10

  • Hiroo
    2013.06.09 01:43 신고 수정 답글

    5번문제 4시간붙잡다가 익스플로잇 방법이 대회끝나기 10분전에 생각나서 fail..

    • 2013.06.09 17:07 신고 수정

      흠.. 전 다른분 exploit보고 아.. 햇네요 ㅋㅋ ㅠㅠ 아직 연습이 더 필요한것 같습니다 고생 많으셨습니다

  • Kim
    2013.06.09 16:12 신고 수정 답글

    1번 푸는법좀 간단히 설명해주실수 있으신가요?.. 웹을 가장 얕게 공부했는데 시험기간이라고 저혼자만 참여하다보니 어디 물어볼 새도없이 1번풀다 끝나버렸네요.. 너무아쉽습니다 ㅠㅠ

    • 2013.06.09 17:09 신고 수정

      1번의경우 힌트를 보면 jsp 였는데 .do 를 .jsp 로 바꿔주시면 필터링 문제가 몇가지가 없어지게 됩니다.
      그러면 이제 union으로 DB 여러군데 찾아보시면 secret 테이블이 있고 칼럼등 group_concat으로 뽑아오시면 됩니다.
      근데 그건 키가 아니라 ~~폴더에 있으니 그 키를 읽으세요 였습니다.
      그래서 그 키를 load_file 로 읽으시면 키가 출력됩니다.

      저희팀도 1번문제에서 상당한 시간이 소요되었습니다.. ㅠㅠ
      고생 하셨습니다.

    • Kim
      2013.06.09 20:37 신고 수정

      감사합니다. 혹시 기억나신다면 시크릿테이블을 찾기위해 쓰셨던 쿼리문 하나만 적어주실 수 있나요? 공부를 해보고 싶습니다.

    • 2013.06.10 01:56 신고 수정

      음..... 쿼리가 남아있긴 한데..

      0)%20union%20distinct%20(select%201,(select%20table_name%20from%20information_schema.tables%20limit%201,1),3,4,5,6,7)%23

      입니다. 지금슴 서버가 닫혀있어서 확인을 못해보겟네요..

      아마 이 쿼리는 아닌데 limit 값 잘 조정해줫더니 나왔던걸로 기억합니다.

  • Kim
    2013.06.10 11:35 신고 수정 답글

    감사합니다. 시험끝나고 웹쪽을 단단히 보완해야겠네요. 좋은하루되세요.

  • 2013.07.16 19:54 수정 답글

    비밀댓글입니다

    • 2013.07.17 00:59 신고 수정

      안녕하세요. 말씀하신 질문은 자주 받긴 하지만 제가 항상 하는 답은 먼저 프로그래밍 언어를 하나 정돈 자신이 원하는 프로그램을 만들 정도로 다룰줄 알아야 한다는 것입니다. 그리고 대회 출전에 관해서 물어보셧는데, 일단은 어느정도 준비해서 대회를 나가는것이 아니라 일단 그냥 한번 나가보시는 것이고 계속 나가보시는 것을 추천드립니다.
      실제 경험상 해킹대회는 출전한 횟수가 많을수록 문제가 잘 풀리는것 같습니다.
      이외 공부해야 하는것은 검색을 통해 알아보시길 바랍니다. 너무 많기에 모든 답을 드릴순 없을것 같습니다.

      PS. 해킹과 관련되어 ~~ 대회에서 입상하려면 우리 학원에서 전문 교육을 받아야 한다는 컴퓨터 학원은 절대 다니지 마시기 바랍니다. 혼자 독학 충분히 가능합니다. 제가 장담합니다. :D

      더 궁금하신것이 있다면 sweetchip@studyc.co.kr 로 메일을 보내주시면 시간날때 답변을 드리도록 하겠습니다.