예전부터 구경하고 싶었던 pwn2own이 열리는 컨퍼런스이기도 해서 대회 장면을 구경할수 있고 우리나라 팀도 볼수 있다는 매우 큰 기대감을 가지고 비행기에 몸을 실었다.

비행기는 10시간 뒤인 샌프란 시스코에 착륙하고 4시간 대기시간을 거친 다음 2시간 만에 최종 목적지인 벤쿠버에 도착하게 되었다. (캐나다로 가는 비행기 안에선 타자마자 진짜 정신없이 잤다.)

총 16시간 정도를 좁은 비행기에서 있게 되니 매우 힘들어서 첫날엔 잠시 저녁식사를 하고 시내를 둘러보고 바로 잠들었다.

캔섹이 열리는 둘째날부터 아침에 일찍 일어나 참가했다.

밴쿠버의 배 선착장[?] 쪽으로 가다가 본 대형 구조물. 아름다워서 찰칵.

컨퍼런스 점심시간 및 여유 시간에는 벤쿠버 시내를 돌아다니면서 사진을 찍었다.

거리도 깨끗한 편이었고 왠지 사람들이 전부 여유로워 보였다.

물건을 파는 가게에 들어가도 매우 친절하게 대해줬고 음식점에서도 친절하게 대해줬다.

----

세션이 진행되는 동안은 최대한 셔터소리가 안나게 사진을 찍어봤다.

위는 CnaSecWest 2014의 행사중 하나인 클럽의 사진인데 같이 참가했던 다른분의 사진을 빌렸다. [미성년자는 출입 금지라고 해서 나와 또다른 어린 친구들은 호텔에서 있었다...]

따로 발표 내용에 대한 것은 꽤나 오래전이었기 때문에 언급은 하지 않겠으나 대부분 발표 주제는 상당히 흥미로웠다.

나느 주로 Exploitation Technique 분야의 발표를 듣게 되었고 프로젝트 관련 주제였던 내용이 나와 반갑기도 했던 주제도 있었다. (특히 jscript에서의 힙 풍수라던지 ROP같은 공격 기법들에 대한 내용을 감명깊게 들었다.)

하지만 영어를 잘하는 편이 아니라 발표자의 농담[?]이나 발표 내용을 전부 이해하기가 쉬운건 아니었다. (대신 슬라이드를 보면서 이해하거나 발표가 끝난뒤 같이온 분께 물어보기도 했다.)

3일동안 진행되었던 컨퍼런스는 나에게 엄청난 도움이 되었고 프로젝트때 궁금했던 부분과 생각치 못했던 방법을 생각할 수 있던 기회이기도 했다.

추가로 캔섹이 열린 호텔에 들어가면 MS, 구글 등의 부스가 있는데 이곳에서 나눠주는 기념품(구글 같은 경우엔 퍼즐)을 받는 소소한 재미[?]도 있었다.

아쉬웠던 점은..

영어 공부를 해야 겠다는 것.. ㅎ 듣고 바로 이해가 되면 좋겠지만 번역 이라는 과정을 거치기 때문에 한 세션을 들으면 매우 피곤해진다...

또한 pwn2own이 진행되는 방은 들어가면 안된다는 식의 문구가 써잇어서 그냥 한번 문 밖에서 방 안쪽의 상황만 살펴봤었다. [살펴봐도 보이지 않았다.. -_-]

하지만 트위터로 중계되는 덕에 대충 상황이 어떤지는 알 수 있었다.

신기하게도 캔섹에서 우리 그룹 말고 또 다른 한국인을 본것도 신기했는데 기억상으로는 삼성에 다니시는 분이었고 컨퍼런스를 들으러 오셨다고 한다.

우리나라랑 시차가 16시간 정도 [우리나라 시간으로 새벽 3시면 벤쿠버는 오전 11시] 되서 적응하는데 약간 힘들었던것 빼고는 즐거웠던 시간이었다.

아무튼 4일간의 좋은 시간을 보내고 바로 샌프란시스코로 출발했다.

끝. :D

신청 기간은 2013년 11월 3일까지 입니다.

그리고 대회 기간은 11월 9일 오후 2시 부터 그 다음날인 11월 10일까지 진행됩니다.

날자는 주말이니 딱히 계획이 없다면 나쁘지 않은 기간입니다.

다른 대회와 다른점이라면 중고생이 아닌 청소년이며 현재 재학중이지 않은 학생도 대회에 참가가 가능합니다.

대회에 참가 하려면 중고생의 경우 재학증명서를, 아닌경우 주민등록번호 초본을 제출 해야 하고

온라인에서 예선이 치뤄지고 아마 write-up을 제출한 다음 심사후 금, 은, 동상인 총 6명이 정해질 것입니다.

작년에 문제가 재밌는 것들이 많이 출제 되었엇는데 [제가 풀기엔 왠지 약간 어려웠습니다]

이번에도 재밌는 문제들이 많이 출제되었으면 좋겠습니다.

대회에 참가하신 분들 모두 수고하셨습니다.

보안캠프는 순천향대학교 부근의 중, 고등학교 학생들과 수상자를 대상으로 진행했다고 합니다.

총 124명의 참가자중 저는 예선5위, 본선8위[항상 본선에서는 순위가 하락..]로 KT충남 본부장 상을 수여받게 되었습니다.

아침 6시에 일어나서 노트북과 기타등등을 챙기고 용산역에서 3위와 KTX를 타고 천안아산역에 도착한뒤, 순천향대에 근접한 역에 도착했습니다. [아산역...?]

그후에 택시를 타고 기본요금으로 대학교에 도착할 수 있엇는데 그땐 이미 1등 setuid0가 도착해 있었고 3명이서 잠시 잡다한 이야기를 하고 시상식이 시작되었습니다.

상품은 학과분들이 안알랴주셔서 받은 후에야 알 수 있었습니다 ㅋㅋ [처음엔 제 닉넴[맛있는 치킨파티]을 보시고 치킨교환권으로 하려고 했다 하셔서 약간 놀랬습니다 ㅋㅋ]

제 차례가 왔는데 의외로 상품이 무거워서 약간 놀랬는데 상품명을 보니 아하! 했습니다.

저는 기계식 키보드를 받았는데 처음엔 이게뭐지 했는데 [기계식 키보드를 한번도 보적도 써본적도 없었습니다 ㅋㅋ]

시상식이 끝나고 언팩해보고 키보드를 누르기만 햇엇는데 사람들이 기계식 키보드를 구입하는 이유를 알게 되었습니다 ㅋㅋ

위에 라이트 기능은 밤에 컴퓨터로 코딩할때 쓰기 좋습니다 ㅋㅋ [한글은 프린팅 되어있네요]

근데 뭐 낮에도 그냥 켜고 쓰고 있습니다 ㅎㅎㅎㅎ

아무튼 시상식이 끝나고 학과분들과 참석하신 분들과 같이 맛있는 고기파티를 하고 정보보안 캠프까지 모두 듣고!

마지막으로 사진 촬영을 하고 모든 과정이 끝났습니다! [뒷풀이[?] 로 간단하게 음료수를 사주셨습니다!]

처음 해킹공부를 시작하고 몇개월 만에 순천향대 해킹대회를 접하고 26위를 했습니다.

그리고 이번이 2번째인데 비록 수상자들중 8명중 8위지만 작년보단 확실히 실력이 늘었다는 것에 만족했습니다.

일년만 젊으면 좋을텐데... ㅋㅋ

2013년 8월 25일 오전 10시부터 오후 6시까지 8시간에 걸쳐 순천향대 정보보호페스티벌 본선이 치뤄졌습니다.

본선 진출자 명단 - YISF 펌

서울에서 약간 먼 거리이기 떄문에 집에서 지하철과 버스를 병행해서 가려면 3시간 30분이라는 엄청난 시간이 걸린다고 했기에

저는 BOB 교육생 친구 3명과 KTX를 타고 가기로 했습니다.

용산역 -> 천안아산역 -> 순천향대

오전 6시 정각쯤에 약 45분 정도 걸릴줄 알았던 용산역 까지 20분도 안되서 도착했습니다. [아빠가 태워주셨습니다 ㅎㅎ]...

편해서 좋긴 했지만 너무 빨리 나온탓에 의자에 앉아서 졸고 있었는데 금새 7시가 됬습니다.

7시 23분 ktx를 타고 50분쯤 천안 아산역에 도착을 하고 의논끝에 택시를 타고 순천향대에 도착했습니다.

그리고 잠시 쉬고 10시부터 순천향대 본선이 시작되었습니다.

가장 먼저 잡은건 문제들중 그나마 만만해 보이는 웹문제를 잡았습니다.

소스코드를 분석하고 인증을 우회하는 문제였는데, 사실 10분 만에 문제를 해석하고 제 윈도우 apm서버에서 돌리고

가상으로 flag 까지 뜨는것을 확인하고 실서버에서 하려는 순간 우회가 되지 않았습니다.

그래서 문제 파일도 여러번 다시 다운받고 다시 한번 해보기도 했지만 역시나 우회가 되지 않았습니다.

2시간이 지나고 점심 도시락이 나왔는데 제가 좋아하는 돈가스가 나와서 하나씩 먹으면서 다시 생각해 봤습니다.

그러다가 에이 설마 하고 리눅스 아파치 서버에 파일을 올려보니 윈도우와 리눅스 에서의 값이 다르더군요 [아마 버전차이..?]

그래서 멘탈붕괴 제대로 하고 실서버에서 우회해보니 키가 뜨고 인증을 했습니다. 그랬더니 8등이었습니다...

그다음으로 잡은건 포렌식 문제였는데, 파일 유출에 관한 문제였습니다.

약 1기가 바이트 정도 되는 용량이었는데 포렌식 문제 출제자 분의 컴퓨터를 덤프 뜬것이었습니다.

그래서 하나하나 살펴보는데 결국엔 모든 경우의 수를 살펴봤습니다.

구글드라이브, 스카이드라이브, n드라이브, 다음클라우드, 드롭박스

그리고

크롬 서핑내역, IE 서핑내역 도 뒤져보고 쿠키도 작년 어느 포렌식 문제가 생각나서 쿠키를 적용 시켜보기도 했지만

역시나였습니다.

제대로 또 다른 멘붕에 빠지고 이렇게 어려울리가 없는데.. 하고 생각해보니

대회가 끝나있었네요. [중간엔 뭐 암호학도 직접 풀어보고 바이너리도 분석하고 미스크나 웹도 분석했는데 거의다 접근한 문제도 있지만 풀진 못했습니다.]

결국 한문제 밖에 못푼 저는 8위를 했습니다.. -ㅅ-..;;

핑계를 대보자면 첫문제에서 힘을 많이 뺴기도 했지만 분석 능력과 처음 보는 유형의 문제들로 약간 멘붕에 빠졌습니다.

끝나고 포렌식을 물어보니 email 로 보냈다는 거였는데 아무리 봐도 기록엔 없었습니다.

그래서 다시 물어보니 eml 파일에 저장되어 있다고 하더군요.

실제로 들어가보면 eml 파일이 있었고 시간과 파일이 있었습니다. [파일은 직접 찾아보면서 봤엇는데.. 아쉽네요]

아무튼.. 아쉬움을 뒤로하고 8위로 마무리를 짓게 되었습니다.

생각해보니 작년 정보보호올림피아드도 8등, 이번 순천향대도 8등 다음도 8등일까 두렵네요. ㅋㅋ

그래도 작년 처음 해킹공부를 시작하고 접한 순천향대 대회때는 26등이었는데 많이 나아진진 모르겠지만 어느정도 그렇게 나쁘지는 않은 결과 같습니다.

대회가 끝나고 다시 집에 돌아가는데 택시비가 20000원정도 나왔습니다.

거기에 KTX 14000원이 또 추가되었고.. [택시비는 다행히 친구가 부담해 줬습니다 ㅎㅎ]

무사 귀가를 했습니다 -_-

마지막 순천향대 대회인게 아쉽긴 하지만 제 실력이 어디인지 주니어 ctf에 이어 다시한번 느끼게 되었고

공부를 더 열심히 하라는 뜻으로 받아들이겠습니다. ㅋㅋ

최종순위

사진 펌 - 페이스북 YISF 페이지

BOB를 처음 알게 된것은 2013년 해커스쿨의 해킹캠프에서 처음 만난 선린고의 친구를 통해 알게 되었습니다.

그떄부터 그에 대한 정보를 듣고 정말 이건 내가 원하던 것이다.. 라는 느낌이 딱 오게 되었습니다

그리고 6월.. 자기소개서와 프로젝트들을 며칠동안 정리한뒤 제출하고 1차가 합격되었습니다.

하지만 합격통보를 받은날 제 면접날자를 확인하니 그 다음날... 일정상 저는 필기와 면접을 같이 보게 되었습니다

다른 분들도 대부분 이렇게 통보를 받으셧지만 [더 많은 사람들에게 기회를 주기 위해 불가피하게 진행이 되었다고 합니다.]

통보를 받고 확인해보니 필기는 12시간이 남아있었고 면접은 17시간이 남아있었습니다. ㅋㅋㅋ

그리고 다음날에 학교에 가서 자율학습을 빠져야 된다고 말해야 해서 아침에 학교에 갔다가 1교시만 자율학습을 하고

바로 BOB 센터로 달려갔습니다. 다행히 30분정도 여유를 남기고 도착을 하게 되었고

필기 시험을 본다음 남은 시간동안 포트폴리오 PPT를 만들기 시작했습니다.. 급하게 나오느라 마우스도 안가져 와서 손으로..;;

그리고 엄청 낮은 퀄리티의 ppt를 완성하게 되었고 면접실에 들어가서 면접을 보게 되었습니다...

면접 후엔 왠지 3기떄 도전을 해야 할것 같은 느낌이 들어서 마음을 정리하고 다시 일상생활로 돌아왔엇는데

6월 28일 금요일 오전 10시 20분경에 페이스북에 발표가 났다고 공지가 떠서 아 제발 제발 제발 하면서 폰으로 봣는데..

중간까지 봐도 제이름이 없길래.. 실망하면서 다시 보니까 이름순.. 얼른 맨 아래로 가서 보니.

제이름이 딱! 있엇습니다

후.. 암튼 이렇게 합격되었습니다.

고3 장벽이 앞에 있지만.. BOB 2기때 열심히 하겠습니다..ㅎ

ps. 인터넷으로 몇번 이름을 보던 사람들이 많네요~

Best Of the Best : http://kitribob.kr/folder1/index2.jsp

http://kitribob.kr/folder5/focus.jsp?boardkind_idx=14

BOB 합격자 명단 : http://kitribob.kr/folder5/notice_view.jsp?board_idx=780

관련 기사 : http://www.boannews.com/media/view.asp?idx=36719

6월 7일 오전 10시부터 8일 오후 6시 총 32시간동안 hdcon이 진행되었습니다.

저는 4인 고등학생팀으로 구성된 팀으로 예선을 신청하고 새벽까지 잠을 안자면서 풀엇지만...

대략 20위정도 순위로 끝마치게 되었습니다.

제가 직접 참여한건 1번과 2번과 4번과 5번이었습니다.

대체로 문제들을 보면 저의 기준으론 상당히 어려운 편이었는데 [2번은 매우 쉬운편]

특히 1번부터 처음에 너무 힌트가 없어서 대회가 시작된지 1시간 30분 뒤에야 브레이크쓰루가 등장했습니다.

저희는 약 7시간 넘게 해서 힌트가 공개되고 풀었을땐 약 20명~30명정도 푼 상태였습니다.

1번부터 난이도가 너무 어려웟네요..

기타 다른문제는 나중에 write up으로 다시 보겠습니다.

일단 hdcon이 좋았던것은

- 어려웟으나 재밋는 문제들 예를들어 3번..

제가 생각하는 단점음

- 다양한 문제를 접하고 싶은데 순차적 풀이 방식이라 한문제가 모르는 분야가 나온다면 풀지 못함.

입니다.

저는 개인적으로 여러문제를 오픈 시키는 그런 CTF 방식을 좋아하는데 이것이 약간 아쉬운것 같았습니다.

그리고 초반에 페이지 오류가 생기고 공지시항을 못보는등 몇가지 오류가 있엇지만 곧 수정되었습니다.

종합해보면

문제 수준은 제기준으론 어려운것이 좀 있었고 순차적 풀이방식이 아쉬웟지만 재밌는 문제들이 많았고

개인적으로는 해킹대회에 처음 팀전으로 출전한건데 팀의 필요성을 느낀 대회가 이번 대회입니다.

제가 생각치도 못한걸 팀원분들이 생각해 내더라구요... 서로 도움주고 협력하는 것을 직접 느끼고 팀의 필요성을 느꼇습니다.

추가로 나중에 write-up때 더 필요한 말들을 써보겠습니다.

ps. 5번 리모트 익스플로잇 못푼거 진짜 아쉽네요.. 어떻게든 서버를 구축해서 다시 풀어야 겟습니다.

우선 발로찍은 사진 죄송합니다 ㅋㅋㅋ

6월 1일 강남역 주변에 있는 BOB센터에서 진행했던 차세대 보안 리더 양성 프로그램의 모집설명회를 다녀왔습니다.

음... 처음에 갔을땐 20분 정도 왔으나 점점 갈수록 사람이 늘어나더니 약 90여명의 인원이 참석했습니다;;

대부분 대학생 분이셨고 초등학생과 중학생도 계셨습니다.

저의경우는 마침 토요일에 시간이 딱 맞아서 약 5분정도 남기고 아슬아슬하게 도착할수 있었습니다.

후기는 간단~간단~ 하게 조금만 적어보도록 하겠습니다.

일정은 정말 정말 간단하게 한다면 이랬습니다.

1. kitri 소개

2. bob 소개

3. Beist 멘토님 & BOB 진행자 님들과 참석자의 QnA

대략 끝나니 6시 정도 되었던것 같았습니다.

들은것중 중요한 몇가지를 정리해보면 이렇습니다.

1. 이번 BOB 2기는 60명에서 120명으로 2배 화악 늘렸다. - 하지만 그만큼 지원자는 매~우 많아졌다.

2. 1기에는 서바이벌로 탈락방식을 채택했다. 하지만 정책의 변경으로 다음과 같이 바뀌었습니다.

- 선발 120명 에서 끝까지 진행, 결과적으로는 120명 모두 수료

- 위 120명에서 일부 선출 - '경연' 진출

- 진출자는 30명끼리 경쟁

- 최종 최고인재 Best 10 선정

3. 지원서는 bob 측에서 검토하기 여유있게 보내 달라고 하셨습니다.

- 지원서를 마지막 날까지 검토하고 제출하는 경우가 많은데, 되도록이면 bob측에서 검토를 원활하게 검토를 할수 있도록

아무때나 보내달라고 하셨습니다. 하지만! 제출일자를 정하는것은 지원자의 자유입니다.

4. Beist 님이 강조하신 것은 바로 '백그라운드'입니다.

- QnA시간에 자주 듣던 질문은 필기 시험과 지원할때 실력에 대한 질문이 많았던것 같습니다 [주관적인 생각입니다.]

Beist님은 Native Language 인 C언어에 대해서 기본적으로 알고 있어야 하며 오버플로우같은 기술은 모르고 있어도 괜찮다고 하셨습니다. [어려운 기술은 차차 공부하면 된다라는 뜻인것 같습니다. 알면 더 도움이 되겠죠?]

또한 필기시험에선 과락이 있으며 한 분야에서 너무 낮은 점수가 나온경우 과락 처리 될수 있음을 언급하셨습니다.

5. 작년 문제

- 작년의경우 Reverse Engineering 에 대한 문제가 출제되었고 기본부터 어려운 문제까지 출제 되었다고 합니다.

하지만 올해에는 아직 필기 문제를 어떤것을 출제할지 정확하게는 정하지 않으셨다고 했습니다 [분야는 정해져있습니다. kitribob.kr 참고]

6. 외국어 공부를 하세요~

- 언제나 강조하시고 저도 얼마전에 느낀것이지만 외국어 공부가 필요하다고 하셨습니다.

영어 말고도 다른언어등 다른 국적의 해커와 교류하기 위해 외국어를 배우는것도 좋겠죠?

위 사진에 있는것은 BOB 센터입니다.

이 BOB 센터는 처음부터 '60명'을 수용할수 있는 공간의 크기에 맞춰 디자인된 공간입니다.

하지만 이번에는 120명을 뽑으니 2배를 수용하기엔 불가능하다고 합니다.

120명으로 결정된것은 얼마 되지 않아서 현재 그정도 인원을 수용할 수 있는 공간을 새로 마련중이라고 합니다.

2기가 시작되면 공사가 진행중이라 약간 불편할 수 있으나 얼마 지나지 않아 곧 완성 된다고 합니다.

뜯어보니 이런 기념품이 있엇네요~

처음 들어가서 받은 설문지를 적고 제출 했더니 이러한 기념품을 주시는 ㅎㅎ

4구짜리 usb2.0 허브였습니다.

끝나고 bob 센터를 쭈욱 둘러보고 집에 돌아왔습니다!

안타깝게도 참석을 하시지 못한 분에게 도움이 되었으면 좋겠습니다.

지원하시는 분들 모두 좋은 결과 있길 바라겠습니다~

지난 1편에 이어서 쭈욱 써보겠습니다

이번 후기는 사진 위주의 후기가 될것 같습니다.

1편 보러가기 -

2013/04/06 - [0x20 일상/0x21 일상] - 2013 CODEGATE JUNIOR 후기 | 2013 코드게이트 주니어 후기 [1편]

1일차가 끝나고 분주히 2일차를 준비라는 모습입니다.

당시 101,102호에선 해킹방어대회가 진행중이었고, 103~105호까지 벽을 없애고 쭈욱 이어서 크게 만들었습니다.

합쳐지니 크기가 어마어마 했네요..

끝나고 집에갈때 잠시 101호에 들러서 현재 해킹방어대회 상황을 봤습니다.

아마 이떄 1등팀이 1400점을 달리고 있엇던것 같습니다.

사진이 흐려서 나왔네요.. ㅎㅎ

1일차가 끝나고 집에 돌아왔습니다.

집에 돌아오니 대략 9시 정도 되었던것 같은데, 바로 뻗었습니다 ㅋㅋ

이튿날 새벽 6시에 일어나서 다시 코엑스로갈 준비를 했습니다.

코엑스에 도착했습니다! [사진엔 3일것도 끼어잇네요]

코드게이트 화이트 해커단에 가입을 하면 주는 선물들..

주니어 발표자는 이미 가입이 되어있으므로~ 저도 역시 받게 되었습니다.

usb 허브가 마침 필요했는데..

필요할때 받아서 다행이었습니다 ㅋㅋ

그리고 코드게이트 뱃지.

본 행사에선 YTN 이승민 아나운서 분께서 MC를 맡아주셨습니다.

수년쨰 코드게이트 행사의 진행하고 있다고 하셨으며, 얼마전 일어난 3.20사태를 직접 겪으셨다고 말씀해주셨습니다.

조직위원장님의 개회사,

그리고 첫번쨰 키노트가 시작되었습니다.

신기하게도 책상위엔 동시통역기가 놓여져있었습니다.

동시통역기를 처음 봐서 신기하기도 했습니다.. ㅋㅋㅋ

전원을 누르고 채널을 맞췃지만 지지직 거리기만 했습니다 [아직 시작은 안해서 그렇습니다~]

첫번째 키노트 시만텍 코리아 정경원 지사장님의 The New Era of Cyber Threats

Google 엔터프라이즈 보안 총괄에란 파이겐바움 이사 의 Is Cloud Computing the End of Security and Privacy As We Know It?

특히 지메일 안쓰는분은 여기서 나가달라는 재치를 발휘하신것이 기억이 납니다ㅎㅎ [장난으로 말한것이죠~]

지메일은 청크형식으로 데이터를 보관해서 설사 침해사고에도 읽을수 없다고 하신것이 기억에 남습니다.

곧 이어 축사가 이어졌습니다.

축사가 모두 끝난후, 시상식 및 코드게이트 화이트 해커단 발대식이 있었습니다.

국제 해킹방어 대회에서 수상하신 Whois 팀 및 GON팀 과 chicken 팀에게 축하를 드리고

방어기술 컨테스트에서 수상받으신 분들과 주니어 우수발표를 수상받으신 분들도 다시한번 축하드립니다.

이 세션이 끝나고 코드게이트 트랙이 시작되었습니다.

저는 몇가지만 듣고 잠시 밖에 나와서 휴식을 취했습니다.

트랙의 느낀점은 생각보다 알찬내용이 많다는 것이었습니다. ㅋㅋ

개인적인 연구중인 주니어 멤버들.. ㅋㅋ

모든 세션이 끝이나고 네트워크 세션으로 들어갔습니다.

네트워크 세션은 시간이 엄청 휙휙지나가네요..

그러다 보니 사진도 잘 안나오고 몇장밖에 없는.. ㅠㅠ

1차는 코엑스 내에 있는 식당에서 샐러드와 콜라를 마시고

2차는 호프집에 가서 사이다와 콜라 그리고 칰킨을 미친듯이 흡입했습니다. ㅋㅋ

칰킨이 너무 맛잇더라구요..

이렇게 코드게이트 2일차는 금방 끝이났습니다.

2일동안 너무 짧은 시간이엇지만..

많은것을 느끼고.. 많은것을 배웠고 친구들도 새로 만나게 되어서 값진 시간이 되었습니다.

모두 정말 고생 많으셨습니다.

코드게이트 주니어 - 뮤직플레이어 Exploit 발표자료

발표자료 : http://codegate.studyc.co.kr

블로그 : http://pgnsc.tistory.com

이메일 : sweetchip@studyc.co.kr

ps 1.쓰고 보니 생각보단 짧네요.. 2편으로 이어져서 그런가..

안녕하세요 sweetchip입니다.

2013 코드게이트 대회가 2013년 3월 1일 오후 9시 부터 3월 3일 오전 9시까지 진행이 되었습니다.

총 36시간동안 Vulneab, Binary, Web, Forensics, Misc 이렇게 5가지의 분야로 출제가 되고

총 25문제가 출제되었습니다.

사실 이 후기를 쓰기엔 너무나도 짧은 시간을 참여했습니다;

첫날에 9시부터 12시까지 둘째날은 시골에 가느라 1시간.. 셋째날은 잠을 자버려서.

그래도 둘째날에 문제가 여러개 풀리고 시골에서 귀가 직전 약 1시간 정도 시간이 있엇는데

그때 웹문제 400점짜리만 풀 수 있었습니다 ㅋㅋ

실제로 첫째날에도 문제 몇개를 봣는데 misc 100 같은 경우는 The net 를 봐야했는데, 막상 그럴 시간은 없고

forensic 100은 ftk로 잠깐 만져보고.. 바이너리 100은 C#문제이고.. web 100은 해쉬인데 우회하는건지는 감이 잘 안잡히네요.

저의 최종 점수표입니다 ㅋㅋ

이제 문제들을 백업해두고 풀어보면서 write up도 볼 시간이군요,

전 1문제만 풀엇기에 400점으로 132등입니다. [1문제만 풀어도 400등은 그냥 올라가네요 ㅋㅋ]

문제들은 제가 보기엔 역시 국제대회답게 수준이 높은 편이었습니다.

그럼에도 불구하고 좋은 성적을 거두신 팀분들께 박수를..

또한 3일동안 고생하신 모든 팀분들도 수고하셨습니다

48시간 이내에 로그기록 검사를 마치고 코드게이트 홈페이지에 본선 진출팀이 공개될 예정입니다.

한국팀 분들 꼭 좋은 결과 있으시길 바라겠습니다.

10/10 10:00AM ~ 10/11 8:00PM 34시간동안 호서대학교 에서 진행한 대회이다.

sweetchip.. 닉네임은 따로 할게 없어 달콤한 과자로 정하고 대회 참가를 신청했다.

참가인원은 대략 90명 이상이고 문제는 총 30문제 이나 한문제는 사정으로 빠져서 총 29문제가 출제되었다.

그중 나는 12~13문제를 풀었던것으로 기억한다.

점수는 50점짜리부터 시작이 되었는데, 이거원 전부다 멘붕스러운 문제들이었다.

분명히 아무리 봐도 50점 짜리지만 내가 풀수 없는 php 문제가 있엇고 ㅠㅠ

100점짜리인 brainfuck을 cipher분야로 착각하고 그것만 뒤지다가 결국 풀지못하고 다른사람의 풀이를 보고 다시한번 멘붕..

하지만 문제들은 정말 참신하고 재미있던 문제가 많았다.

제일 재미있엇던것은 실제로 있엇던 제로보드의 취약점을 찾아서 관리자 권한을 획득하는 것이고, 그 권한으로 서버에 백도어를 삽입해서 내부안의 파일 내용을 봐서

키값을 가져오는것이었는데, 회원가입 부분에서 싱글쿼터를 체크하지 않아 취약점이 발생하고 아이디를 대략 30여개 생성한 끝에 sql injection 공격을 성공할수 있엇다.

[자세한 쿼리는 적지 않겠습니다.]

그다음 재밌던 문제는 RPG 만들기 VX로 된것인데 설정파일이 암호화 되있으므로 복호화 시키고, 그안에 내용을 보는것인데,

헤매다가 파일안의 hex 값을 대조후에 비밀번호 8단계를 통과하는것이었다.

그리고 기억에 남는 문제는 Forensic문제였는데, 살인사건에 대해서 수사를 하는 것이 목적이다.

FACEBOOK을 주로 목적으로 한다고 해서 바로 인터넷 기록으로 갔으나, IE를 사용하지 않고 CHROME 을 사용중이었으므로 크롬 히트로리를 가서 보니

리신이라는 독성물질을 이용해서 케이크에 넣어서 살해 하려는 것이 게싱이 가능했으나 언제 살해할것이라는 것을 알수 없었다.

조금더 뒤져보니 COOKIE 기록이 남아있어 세션을 그대로 가져가 사용할수 있엇다.

facebook에 접속후 세션을 변조하니 로그인이 가능했다. 그리고 못햇던 게싱도 가능했다.

* 이번에 키젠을 풀면서 리버싱에 정말 매우 조금 자신감이 붙었으나 문제를 보고 대폭락했다. 한문제도 풀지못했다..

기타 문제는 후에 기회가 된다면 다시 write up으로 되돌아 오겠습니다.

후기 ::

가끔 대회를 진행하다 보면 서버가 다운되기도 하는데, 서버가 다운되지 않고 진행자 분께서 운영도 정말 잘해주셔서 깔끔하게 큰 탈 없이 진행이 되지 않았나 싶네요.

그리고 기존 해킹대회에서 볼수 없었던 참신하고 보너스 문제같은 쉬어가는[?] 문제들도 출제해서 좀더 재미있게 문제를 풀수 있었습니다.

하지만 저에겐 대부분의 문제들이 정말 어렵게 느껴지고 특히 brain fuck 문제같은 경우에는 cipher 문제인줄 알고 결국 인증하지 못하고 그외등등

아쉬움이 남기도 했습니다. ~_~

다른분들의 write_up을 보고 공부좀 해야겠습니다 ㅋㅋ

참가자분들과 진행자분 정말 고생 많으셨습니다.

안녕하세요 sweetchip입니다.

지난번 정보보호올림피아드 예선에서 4위, 최종3위로 본선에 진출을 했엇고, 3주정도가 지난 어제, 정보보호올림피아드의 본선이 치뤄졌습니다.

그 전날 놀다가 밤 12시까지 놀다가 급하게 노트북등을 준비하고 새벽 2시 30분에 잠에 들고, 아침 7시정도에 일어나서 준비를 한뒤 7시 30분에 아버지가 차를 태워주셔서

그 차를 타고 8시 40분즘에 국회 제2의원회관에 도착했습니다.

그리고 잠시 대기시간을 가진뒤 20여명의 저와 같은 본선진출자 분들은 대회장에 들어갔습니다.

대회장의 모습은 직사각형 모양의 탁상에 둘러 앉아 대회를 진행하는 형식이었습니다.

이번 본선대회는 처음이라서 학교도 인문계학교도 해서 아는 사람이 한..한명도 없었습니다 ㅠ-ㅠ

그냥 인터넷으로 돌아다니다가 닉네임만 알게된 몇몇분들이 계셧고 실제로는 저는 혼자 조용히 있다가 조용히 진행 했습니다 -_-

뻘줌 무안 하더군요.

어쨋든 9시가 된때에 대회를 진행하려 했으나, 외부접속이 안되는 바람에 1시간 정도 지체되어 10시 정도에 모든 설정을 완료하고

참가자들은 아이피를 다시한번 설정하고 대회서버와 외부접속 ip를 두번 사용하게 되면서 대회는 시작되엇습니다.

첫번째 제가 잡은 문제는 7번, Locked... 가 나오는 문제였습니다.

가만보니 예선에서 출제된 문제인데, 1시간 정도 잡다가 도무지 진전이 안가서 남들이 다 풀은 10번 트라비아 문제로 갔습니다.

처음에는 정말 막막했는데, 조금 생각만 하면 다 나오는 문제더라구요

그래서 인증했더니 인증성공! 이라는 메세지가 뜨고 저는 16위로 올라가게 됩니다....

상황판을 보니 역시 '대회파괘자' 님들께서 한두문제 풀고 있는 상황이었습니다.

그래서 저도 파괘왕이 되기위해 2번과 7번 리버스엔지니어링 문제를 잡고 다시 풀기 시작했습니다.

7번은 도저히 답이 안나와서 다시 2번을 풀고 다시 답이안나와서 7번.. 2번.. 등등했는데,

그렇게 한문제에 정착하지 않고 다른문제들에 옮겨다니다보니 상위권분들은 3문제 푼분들도 많더군요.

그때 분석을 했습니다. 어느 문제를 푸셨는가.. 해서 2번과 7번..을 가장 많이 풀었더군요

마침 2번문제 힌트가 공개되고 그 힌트를 이용해서 찾기 시작했습니다. 100과 관련되있으니 숫자와 관련이 되있을것이고

해서 C에서 숫자를 나타내는 %d를 찾았습니다.

그리고 다음단계를 넘어가기 위해선 퍼즐을 맞춰야 해서 체크를 하는 루틴을 찾고 그 부분을 점프로 넘겨주니

클릭을 할때마다 키값이 출력되고 다음단계로 넘어가도록 리버싱 되었습니다.

그래서 연구하면서 수백번의 광클과 함께 삽질과 함께 100단계까지 올라가서 키 값을 얻게 되고

인증을 했더니 인증이 되더군요 -_-

'이렇게 쉬운문제인데 삽질을 하다니' 라는 생각을 하면서 8위로 올라가게 되었습니다.

그리고 7번과 계속 씨름 하다가 대회는 3시에 종료되었습니다.

문제 2개를 풀었는데 8위라니.. 어려웠긴 하나 봅니다. :(

1등드신 고길님은 4문제 풀으시고.. 대단하셔요

어쩃든 대회가 끝이 낫습니다.

실력이 좀더 많았다면 더 많은 문제를 풀고 초반에 한문제도 못풀면 망신인데 라는 긴장을해서 초반에 많이 어벙벙 한거같습니다 ㅋㅋ

대회가 끝이나고 잠깐 15분정도 기다린다음 시상식이 진행되었습니다.

순위는 다음과 같습니다.

저는 그중 8위가 되었습니다.

1위만 높았더라면 7위가 되어 은상을 받을수 있엇을텐데 약간 아쉬운 마음을 뒤고 하고 대상까지 모두다 시상을 하고 기념촬영을 하고

국회 잔디밭에서 마지막 기념촬영을 하고 수상자 에대한 설명과 다른 분들의 축하를 받으며 대회는 성공적으로 종료되었습니다.

처음으로 가본 본선대회는 떨리고 막막했습니다.

그래도 중간부터 마음의 안정[?]을 유지하면서 문제를 풀다보니 8위가 되어 동상을 받게 되었습니다.

다음 년도엔 고3이지만 참가해서 더 좋은 성적을 받고 싶습니다.

이번기회에 더 많은 공부를 해야겠다는 것도 절실히 느꼇습니다 ㅋㅋ

참가하신분들 아침부터 올라오시느라 정말 고생이 많으셨습니다.

대회 끝나고 대부분 분들이 지친모습이 보이더군요.

수상자 분들도 모두다 축하드립니다. :D

안녕하세요 sweetchip입니다.

이번에 처음으로 예선을 참가하게 되었습니다.

우선적으로 결과는 4등이고, 한분이 안나가신다고 하셔서 3등으로 본선에 진출을하게 되었습니다.

왠지 이번엔 '운'으로 걸린것 같네요 :)

리버싱 문제들을 도전했으나 생각보다 너무 어렵고 아무도 풀지 못한 문제가 몇개 있어서 포기하기도 했고

웹은 계속 시도했으니 서버가 5분이내에 자꾸 죽어버리는 현상때문에 다른 문제로 넘어가기도 했고

무엇보다 현재 순위를 볼수 없어서 불편했습니다.

나머지는 대회가 잘 진행 되었던것 같구요.. :)

본선 가서 많은것을 배워오도록 하겠습니다.

10등..10등만 하게 해주세요..!! :)

사실 처음 목표는 본선 20위에 드는것이 목표였으나 운좋게 가장먼저 500점을 도달해서 이런 등수를 기록한것 같습니다.

이번기회에 정말 많은것을 배워왔으면 좋겠습니다 :)

본선 문제도 이렇게 나오면 좋으련만요 ^^..

하지만 그럴리가 없겟죠!

시스템과 웹을 좀더 공부해야겠습니다.

포너블 문제 주변분 다 풀었는데 저만 못푼것도 약간 슬펐습니다. ㅋㅋ..

밤이라서 글이 정리가 안되네요..

후에 다시 적어보도록 하겠습니다...