sweetchip's blog


2013년 10월 11일 중고생 정보보호올림피아드 본선이 개최되었습니다.


본선에는 9월 예선에서 190여명의 참가자들이 경쟁을 벌여서 20명이 참가했었습니다.


저는 당시에 토요일임에도 불구하고 학교에 원서 관련 상담을 하러 갔다가 12시 30분쯤에 다시 집으로 돌아와 1시부터 대회에 참가할 수 있었습니다.


1시간 정도 문제를 풀고 5위로 올라갔엇는데, 그 당시 며칠동안 밤을샌 상태라서 더이상 대회를 할 힘이 없어서 잠을 자버렸습니다.


일어나니 대회는 끝나있엇고 초반에 러쉬해서 그런지 다행히도 본선 진출자에 포함 되어있엇고,


다행히 17위[최종 14위]로 본선에 진출할 수 있엇습니다.



대회는 9시 30분부터 오후 2시 30분까지 약 5시간동안 진행되었으며 작년에는 네트워크 문제로 약간 지체됬엇는데

이번연도에는 무리 없이 진행되었습니다.

문제는 총 10문제로 다양한 분야가 출제되었엇는데 작년엔 아무것도 몰라서 막 헤맸는데 이번엔 작년보단 잘 할수 있었습니다.

아침에 아빠가 차를 태워주셔서 1시간 만에 도착할 수 있었고 다른 친구들과 잠시 이야기를 하고 국회 세미나 2실에 들어갈 수 있었습니다.




위는 대회 결과로 작년엔 동상, 이번엔 은상을 받게 되었습니다.


제가 푼것은 웹과 미스크 그리고 안드로이드 문제로, 웹은 LFI취약점을 이용하여 공격하는 것이엇고, Android는 코드를 분석해서 주어진 id를 이용해 키를 알아내는 문제였습니다.


그리고 10번 misc는 약간 당황했는데 처음엔 anonymous 사진만 주고 아무 말이 없어서 풀수가 없었는데 후에 Activism 을 나타내는 문장이 힌트로 공개되어


Hacktivism 이라는 것을 알 수 있었습니다.


9번의 경우 Pwnable 문제로, 페이로드 인코딩과 system 함수를 이용하여 쉘 권한을 획득하는데 성공했지만, 권한 상승을 실패해서 문제를 풀지 못했습니다.


푼 사람에게 물어보니 execlp 를 이용하면 권한이 유지된 채로 쉘을 획득할 수 있다고 했습니다.


문제 풀 당시 이것을 예상해 보기도 했지만 포너블 경험이 많지 않아서 오래 걸릴것 같아 다른 문제로 전환하게 되었습니다.


그렇게 5시간 정도가 지나고 대회가 종료되었습니다.



위는 가상장으로, 나중에 진짜 상장은 학교로 발송해 준다고 합니다.


추후에 참가하는 분들은 참고 하시기 바라겠습니다.



작년엔 동상, 이번엔 은상! 처음 왔을땐 상 하나만 타자라는 마음을 가졋지만 대회때 은근 금상도 탐났지만, 아쉽게도 은상을 얻게 되었네요.

하지만 역시 만족 합니다! 다음에 더 잘하면 되죠 ㅎㅎ

대회에 참가하신 분들 모두 수고하셨습니다.

신고

Comment 18

  • add
    2013.10.12 22:39 신고 수정 답글

    안녕하세요. 혹시 3번문제 웹에서 브루트포싱 단계를 푼 후에. 꽃 나오는거 어떻게 푸셧는지 알려주실수 있는지요?

    • 2013.10.12 23:22 신고 수정

      안녕하세요.
      본선 3번은 웹에서 브루트 포싱을 하신다음 번호를 알아내셔서 페이지에 접속하시면 꽃들이 나타납니다. 하지만 여기서 예상해볼 수 있는게 주소에서 flower 파라미터가 꽃이름이엇습니다.
      그리고 다른 그림을 누르면 페이지가 다시 로딩되는것 같아서 혹시나 해서 꽃이름.php, 꽃이름.html 을 입력해봤더니 html이 있는것을 발견했습니다.
      그래서 상단의 flower=꽃이름 이것은 인자를 받아서 끝에 html을 붙여주는 것이라고 예상할 수 있었고, LFI 공격이 주 목적인 것을 생각해 내서 끝에 Null문자인 %00을 삽입하고 문제 페이지 주석에 나와있던 up/solution.php 를 로딩했습니다.

      주소?flower=up/solution.php%00 을 입력한 결과 답이 출력되었습니다.

    • add
      2013.10.13 00:52 신고 수정

      아.. 그렇군요 감사합니다.

    • 2013.10.13 00:59 신고 수정

      넵 고생 많으셨습니다 ㅎㅎ

  • plus
    2013.10.13 02:36 신고 수정 답글

    해킹대회 본선진출자는 거의 비슷비슷하네요 ㅋㅋ
    이쪽분야는 배우는 사람이 적어서 그런건가
    setuid 저사람은 대체 뭐하는사람이길래 대회마다 1등이지

  • 운영팀
    2013.10.13 02:37 신고 수정 답글

    고생하셨어요 ^^

  • 2013.10.14 00:07 수정 답글

    비밀댓글입니다

    • 2013.10.14 01:43 신고 수정

      책보단 인터넷을 보고 공부합니다. 공부 순서도 역시 정확한 커리큘럼은 없습니다. 그냥 본인이 하고싶은 공부 하시면서 하심 됩니다.
      일단 중요한것은 해킹대회를 나가고 싶으시면 경험이 가장 중요하며 다음번부터 나가야지 하지 마시고 그냥 나가봐서 어느 문제가 나오는지 보시면 어느것을 공부하고 싶어지는지 감이 오실 겁니다.
      그리고 대회 나가려면 ccna 자격증이 필요하다느니 학원에 다녀야 한다느니 요즘 그런 글이 많이 보이는것 같습니다.
      위 순위표에 있는 제가 아는 분들 전부는 학원에 다니지 않으셧고 독학으로 충분히 공부하신 분들입니다. 아마 다른분들도 학원에 다니지 않으셨을 겁니다.
      강조하고 싶은건 독학으로 충분히 가능하다는 것입니다.
      감사합니다.

  • kyp0416
    2013.10.15 00:09 신고 수정 답글

    저는 예선 탈락이었는데 본선 3일전에 전화가 왔더군요 ㅎㄷㄷ 앞분 5분이 못하신다고 해서 20위 턱걸이로 겨우 되고 턱걸이로 붙은 실력이라서 10번문제 하나 풀고 3번 풀다가 끝났네요...

    • 2013.10.15 10:37 신고 수정

      네 디미고가 시험기간이기 떄문에 빠지게 됫다는걸 들은것 같기도 했습니다.
      아직 기회가 많이 남으신것 같은데 화이팅 하세요!

  • 2013.10.15 08:16 수정 답글

    비밀댓글입니다

  • add
    2013.10.15 16:09 신고 수정 답글

    혹시 sweetchip 님께서는 웹을 공부하실때 어떻게 공부하시나요?

    • 2013.10.15 18:46 신고 수정

      인터넷에 있는 자료들을 활용해서 공부했습니다 ㅎㅎ

  • 2015.04.20 17:11 신고 수정 답글

    안녕하세요? 정보보안쪽에 관심은 있지만 정확히 어떤 식으로 배워야 할지 감을 잡지 못하는 초보입니다. 현재 C언어만 어느정도 하는데, 위같은 정보보호 대회에 나가려면 어떤 방식으로 공부를 해야할지 궁금하니다. 막연히 인터넷에서 독학했다 많이들 그러시는데 인터넷에서 어떻게 공부를 햐야 할지, 어떤 사이트에서 공부해야 할 지를 전혀 감을 못잡겠습니다. 초보를 위해 조언 해주실수 있으신가요?

    • 2015.04.23 16:20 신고 수정

      저는 처음에 주로 리버스 엔지니어링과 웹해킹, 프로그래밍, 시스템 해킹을 공부했습니다. 사이트는 구글링을 해보시면 더 많은 정보를 얻을 수 있을 것 같습니다!