개요
일시: 2024년 11월 9일 (토) 13:00 ~ 16:00 (온라인 대회)
닉네임: 0xH0P3 (2위 수상)
시작하기 (Misc)
문제 접속 정보의 /admin 페이지로 들어가니 flag가 나왔다.
Discord (Misc)
디스코드에 참가하니 #flag 채널에 flag가 있었다.
퀴즈 (Web)
접속 정보를 들어가니 아래 문제가 나왔다.
관리자 도구
유니코드를 포함한 플래그를 찾으세요:
HSOC{\\u006c\\u0065\\u006d\\u006f\\u006e\\u0074\\u0072\\u0065\\u0065\\u000d\\u000d}
유니코드인 것을 확인했고 해독하니 아래 결과가 나왔다.
\\u006c = l
\\u0065 = e
\\u006d = m
\\u006f = o
\\u006e = n
\\u0074 = t
\\u0072 = r
\\u0065 = e
\\u0065 = e
\\u000d\\u000d = 줄바꿈 (무시해도 무방)
따라서 플래그는 HSOC{lemontree} 이다.
콜렉트콜 (Network)
"10.26.104.103""10.241.148.35""6080""kimchi482""REGISTER""sip:10.241.148.35""session_08a4d826-f370-4ea1-9ce8-187e19c5ea11""""PLAIN""**HSOC{Y0u_$ucc3ss3d_1n_e4v3$dr0pp!ng}**"
"10.26.104.103""10.241.148.35""6080""kimchi482""INVITE""sip:rlacl1004@10.241.148.35""session_d2b80a46-0477-40d4-836b-6027da3b1de3""""SHA-1""cc3e16451028dc313e302f5bb2e63ecb6d73d9c8"
"10.26.104.103""10.241.148.35""6080""kimchi482""BYE""sip:rlacl1004@10.241.148.35""session_d2b80a46-0477-40d4-836b-6027da3b1de3""""SHA-1""a75efee43091fa9adbe0b00c550b9b4feadb7743"
문제에서 위 prob_50.txt 가 주어졌고, REGISTER 패킷 안에서 플래그를 확인할 수 있다.
ARP (Network)
arp 프로토콜을 사용한 패킷 중, 172.16.0.253를 찾는 패킷에 flag가 있다. 라고 문제에서 설명했고, 출발지나 목적지가 172.16.0.253인 ARP 패킷만 표시하는 필터를 적용하니 패킷이 1개 나왔다.
arp && (arp.src.proto_ipv4 == 172.16.0.253 || arp.dst.proto_ipv4 == 172.16.0.253)
와이파이 비밀번호 (Web)
소스코드 중 index.js에 입력된 아이디&패스워드가 맞으면 플래그를 출력하는 것을 보고 바로 그 플래그를 입력하였다.
비밀 (Web)
제공되는 HTML 소스에서 자바스크립트 코드를 찾았고,
코드가 난독화 되어있어서 https://obf-io.deobfuscate.io/ 에서 복호화 하였다.
복호화 해보니 Base64처럼 생긴 코드가 있었고 URL Decoding 을 시도하는 코드였다. 맨 아래 Base64를 디코딩 하고 나오는 URL 인코딩을 디코딩하면 플래그가 나온다.
enjoy (System)
문제파일 Enjoy.exe를 HxD로 열어 확인해보니, Funny_Programming 문자열이 있었다. 입력하니 플래그가 나왔다.
PPT Promotion (Forensic)
PPTX 파일은 실제로 ZIP 형식으로 압축되어 있는 파일이다. ZIP 파일로 열어서 slide2.xml 에서 HSOC{...} 형식을 발견했는데, ASCII 코드 형식으로 발견되었으며, 이를 해독하여 ***HSOC{Hansei_Love}**로 변환했다.
심사숙고해서 만든 문제 (Forensic)
Autopsy 툴을 사용해 vhd 파일을 불러오고 문제 설명에서 플래그가 지워졌다고 했으므로 $RECYCLE.BIN을 살펴보았다. $RECYCLE.BIN 안 $RYA4JVP.png 에 플래그가 있었다.