2022 ChristmasCTF Writeup - Web

2022/12/25 ~ 2022/12/27까지 진행되었던 ChristmasCTF에서 제가 출제했던 문제들의 Writeup을 공유합니다. 이 문제는 SQL Injection을 의도했던 문제입니다. 문제 링크에 들어가면 로그인 페이지가 나오는데, 필터링이 하나도 되어 있지 않아 간단한 SQL Injection 공격도 먹힙니다. ID : ' or 1=1# PW : dksfj(아무거나 써도 됨) 위와 같이 입력하면 로그인에 성공하면서 플래그를 얻을 수 있습니다. 이 문제는 Directory listing 취약점을 이용해서 푸는 문제였습니다. (언인텐으로 xss가 있었다는...) 메인 페이지에서 마땅히 얻을 만한 단서가 보이지 않습니다. 하지만 URL에서 main.html을 지우면 현재 디렉토리에 무슨 파일들이 ..

2022.12.31