2016년 숭실고등학교 해킹방어대회 Write Up

2016년에 숭실고등학교에서 개최한 해킹방어대회를 참여 했다. 필자는 ALL CLEAR 했다.

SteganoGrapy1

해당 문제의 사진을 다운로드 한뒤 메모장으로 열고 “key” 단어를 검색하면 flag 가 나옴.

SteganoGrapy 2

오픈스테가노 프로그램을 이용해 사진의 비밀번호를 획득함. key 가 스테가노~보노보노~티라노~피아노 였다.

Find B.G

해당 사이트를 들어가서 소스를 보면 real.jpg 가 주석 처리 되어있는걸 볼 수 있었음. url: picture/real.jpg 에 접속 하면 flag 값이 나옴.

Decord

해당 문제를 보면 key 값이 암호화 되어있는걸 알 수 있었음. md5 형식으로 복호화를 진행 했더니 앞축 비밀번호가 “fighting” 인걸 알 수 있었다. 해당 비밀번호로 앞축을 해제 한 뒤 동영상을 보면 마지막에 flag가 나옴

BruteForce

구글에서 zip 브루트포트 툴을 구해서 앞축을 풀음. (링크) 비밀번호는 0510 이라는게 밝혀졌고 flag 값이 나옴.

Find Answer

soongsilhc.com/ga_lib.php 해당 사이트를 접속해서 소스를 보면 flag값이 주석에 적혀있음.

Do Login

해당 사이트의 robots.txt 에 들어간다. 링크에 ../../database.txt 를 발견

아이디 비밀번호를 획득 한뒤, 해당 문제의 input 텍스트를 변경한 뒤 로그인을 했더니 flag가 나옴.

File Download

answer/A.txt 접속 하면 key 값이 나옴.

BMP Signature

구글에 사진복구 프로그램을 다운로드 한뒤 복구 했더니 key 값이 나옴

Listening

해당 문제의 음악파일을 다운로드 한뒤 골드웨이브 프로그램으로 key 값을 찾음.

Send Post

미션페이지로 가기 버튼을 이용해 POST 방식으로 폼을 만들었음. key 를 쉽게 찾을 수 있었음.

Network 1
HTML 프로토콜로 검색결과
Network 2

위 문제와 같이 와이어샤크로 해당 파일을 연뒤 tcp.steam eq 59 를 검색하면 ftp 로그가 나옴. ftp-data 를 입력하면 key 가 나옴.

Reversing 1~3
  1. 해당 파일의 소스를 보니 key 가 바로 나와있었음.
  2. 해당 (링크) 블로그 참고 했음 (아이다 툴 이용)
  3. 치트 엔진 프로그램을 이용해서 process list 를 찾고 스캔해서 아이디와 비밀번호를 획득함. 해당 파일을 실행해서 획득한 정보를 입력하니 비밀번호 변경사이트로 다이렉트 되었음. 해당 사이트에서 i like ramyeon 이라는 사진을 발견함, 사이트에서 비밀번호_ramyeon 을 치니 key 값을 얻게됨.
넌센스

해당 문제에 한자 단어가 몇개 주워졌다. 한자를 숫자로 변환 한뒤 컴퓨터에 기본적으로 설치되어 있는 계산기를 이용해 hex oct 값을 알아냄

Like what you read? Give Mingeun Kim a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.