dohki
Google Capture The Flag 2016: Web 50 - Spotted Quoll 본문
Description
This blog on Zombie research looks like it might be interesting - can you break into the /admin section?
Write-up
접속해서 우측 상단에 위치한 Admin button 을 눌러보니 #err-user_not_found 를 url에 붙여준다. cookie 이름과 cookie 값을 base64 decode 한 값을 본 후에 바로 이 값이 python pickle module 을 이용해서 dump 한 data라는 것을 알 수 있었다. data 는 다음과 같은 dictionary 였다.
그래서 단순히 None을 'admin' 으로 치환하고 pickle 로 dump 한 뒤 base64 encode 한 값을 cookie에 넣어줬다. 다시 Admin button 을 눌러 보니 flag를 주었다.
Flag
CTF{but_wait,theres_more.if_you_call}
'Hacking > CTF write up' 카테고리의 다른 글
| Google Capture The Flag 2016: Web 50 - Ernst Echidna (0) | 2016.05.02 |
|---|---|
| Codegate CTF 2016 Quals: Web 222 - Combination Pizza (0) | 2016.03.14 |
| SSCTF 2016 Quals: Web 300 - Legend? Legend! (0) | 2016.03.01 |
| SSCTF 2016 Quals: Web 200 - Can You Hit Me? (0) | 2016.03.01 |
| Internetwache CTF 2016: Code 80 - Brute with Force (0) | 2016.02.26 |
'Hacking/CTF write up' Related Articles
more
Comments