상세 컨텐츠

본문 제목

2012 Hischall 후기

0x20 일상/0x21 일상

by sweetchip 2012. 11. 13. 21:07

본문

반응형



10/10 10:00AM ~ 10/11 8:00PM 34시간동안 호서대학교 에서 진행한 대회이다.


sweetchip.. 닉네임은 따로 할게 없어 달콤한 과자로 정하고 대회 참가를 신청했다.


참가인원은 대략 90명 이상이고 문제는 총 30문제 이나 한문제는 사정으로 빠져서 총 29문제가 출제되었다.


그중 나는 12~13문제를 풀었던것으로 기억한다.


점수는 50점짜리부터 시작이 되었는데, 이거원 전부다 멘붕스러운 문제들이었다.


분명히 아무리 봐도 50점 짜리지만 내가 풀수 없는 php 문제가 있엇고 ㅠㅠ


100점짜리인 brainfuck을 cipher분야로 착각하고 그것만 뒤지다가 결국 풀지못하고 다른사람의 풀이를 보고 다시한번 멘붕..


하지만 문제들은 정말 참신하고 재미있던 문제가 많았다.


제일 재미있엇던것은 실제로 있엇던 제로보드의 취약점을 찾아서 관리자 권한을 획득하는 것이고, 그 권한으로 서버에 백도어를 삽입해서 내부안의 파일 내용을 봐서


키값을 가져오는것이었는데, 회원가입 부분에서 싱글쿼터를 체크하지 않아 취약점이 발생하고 아이디를 대략 30여개 생성한 끝에 sql injection 공격을 성공할수 있엇다.


[자세한 쿼리는 적지 않겠습니다.]



그다음 재밌던 문제는 RPG 만들기 VX로 된것인데 설정파일이 암호화 되있으므로 복호화 시키고, 그안에 내용을 보는것인데,


헤매다가 파일안의 hex 값을 대조후에 비밀번호 8단계를 통과하는것이었다.


그리고 기억에 남는 문제는 Forensic문제였는데, 살인사건에 대해서 수사를 하는 것이 목적이다.


FACEBOOK을 주로 목적으로 한다고 해서 바로 인터넷 기록으로 갔으나, IE를 사용하지 않고 CHROME 을 사용중이었으므로 크롬 히트로리를 가서 보니


리신이라는 독성물질을 이용해서 케이크에 넣어서 살해 하려는 것이 게싱이 가능했으나 언제 살해할것이라는 것을 알수 없었다.


조금더 뒤져보니 COOKIE 기록이 남아있어 세션을 그대로 가져가 사용할수 있엇다.


facebook에 접속후 세션을 변조하니 로그인이 가능했다. 그리고 못햇던 게싱도 가능했다.



* 이번에 키젠을 풀면서 리버싱에 정말 매우 조금 자신감이 붙었으나 문제를 보고 대폭락했다. 한문제도 풀지못했다..


기타 문제는 후에 기회가 된다면 다시 write up으로 되돌아 오겠습니다.





후기 ::


가끔 대회를 진행하다 보면 서버가 다운되기도 하는데, 서버가 다운되지 않고 진행자 분께서 운영도 정말 잘해주셔서 깔끔하게 큰 탈 없이 진행이 되지 않았나 싶네요.


그리고 기존 해킹대회에서 볼수 없었던 참신하고 보너스 문제같은 쉬어가는[?] 문제들도 출제해서 좀더 재미있게 문제를 풀수 있었습니다.


하지만 저에겐 대부분의 문제들이 정말 어렵게 느껴지고 특히 brain fuck 문제같은 경우에는 cipher 문제인줄 알고 결국 인증하지 못하고 그외등등


아쉬움이 남기도 했습니다. ~_~


다른분들의 write_up을 보고 공부좀 해야겠습니다 ㅋㅋ


참가자분들과 진행자분 정말 고생 많으셨습니다.

반응형

관련글 더보기