2022년 24회 해킹캠프 CTF에서 출제했던 delicious cookie 문제에 대한 write up입니다.
문제에 들어가면 다음과 같은 화면이 보입니다.
소스코드를 보면 주석으로 제공된 힌트를 확인하실 수 있습니다.
chocolate is better than cookie.
cookie에서 눈치채신 분들이 계실 것 같습니다. 해당 웹사이트의 쿠키를 확인하시면 dessert라는 이름의 쿠키에 cookie라는 값이 들어가 있는 걸 확인하실 수 있습니다.
해당 값을 chocolate으로 변경해보겠습니다. 필자는 cookie editor를 사용해 변경하였습니다.
새로고침하면 화면에는 아무 일도 일어나지 않습니다. 대신 소스코드를 확인하면 주석이 하나 더 생긴 것을 확인할 수 있습니다.
candy is better than chocolate.
input에 candy를 치고 submit을 누르면 I need more...라는 문구가 나옵니다.
쿠키를 확인하시면 candy라는 이름의 쿠키가 생긴 것을 확인할 수 있습니다.
소스코드를 보시면 brute force attack이라는 힌트가 새로 생긴 것을 확인할 수 있습니다.
burp suite의 intruder 기능을 사용해 candy값을 1씩 올려보겠습니다.
candy값이 218일 때 플래그가 노출되는 것을 확인하실 수 있습니다.
파이썬을 이용해 플래그를 확인하실 수도 있습니다.
import requests
URL = "http://ctf-hackingcamp.com:3000/"
for i in range(0, 10000):
cookie = {"dessert": "chocolate", "candy":"{}".format(i)}
res = requests.get(URL, cookies=cookie)
if "HCAMP" in res.text:
print("OK")
print(res.text)
break
else:
print(format(cookie))
부족한 문제에 관심가지고 풀어주신 모든 분께 감사드립니다.
'CTF > CTF 문제제작&Write up' 카테고리의 다른 글
[26회 해킹캠프 CTF Write-up] Web - 이 노래 제목이 뭐였더라..? (0) | 2023.02.11 |
---|---|
POXX 2021 - pepero day Write-up (0) | 2022.06.03 |
POXX 2021 - Find admin's Password Write-up (0) | 2022.06.03 |