CTF/b01lers CTF 2023
-
[Clear] b01ler CTF 2023 fishy-motd writeupCTF/b01lers CTF 2023 2023. 3. 20. 23:31
주어진 URL에 접속해보면 메시지를 입력하여 MOTD(Message of the Day 인듯 하다) 를 생성 할 수 있는 입력창이 나타난다. Create를 하면 Preview와 Deploy가 있는데, Deploy를 하면 봇이 MOTD가 포함된 로그인 페이지에서 자동으로 로그인을 수행하도록 구성되어있다. Preview같은 경우 봇이 자동 로그인을 할 때 사용하는 페이지를 보여주는 듯 하다. 또한, 문제의 최종 목적은 로그인을 하여 플래그를 획득 하는 것이다. server.post('/login', (req, res) => { const username = req.body.username; const password = req.body.password; if (username === user && passw..
-
[Clear] b01lers CTF 2023 warmup writeupCTF/b01lers CTF 2023 2023. 3. 20. 16:52
웹 카테고리의 warmup 문제이다. 주어진 URL로 접근하면 base64인코딩 된 값으로 추정되는 경로값이 있고, 소스코드에 debug.html 이 언급되어있다. debug.html을 base64 인코딩 처리하여 접근해보았다. app.py를 통해 rendering 테스팅을 한다고 하여 app.py 도 base64처리하여 접근해보았다. 서버의 소스코드가 노출되었다. from base64 import b64decode import flask app = flask.Flask(__name__) @app.route('/') def index2(name): name = b64decode(name) if (validate(name)): return "This file is blocked!" try: file = o..