| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
- 코로나
- jango
- 정보보호영재원
- 웹해킹
- webhacking.kr문제풀이
- 림프구
- 장고vscode
- 가상환경
- djangovscode
- 파이썬웹
- 바이러스
- 파이썬
- AndroidOS
- 해킹문제
- bugbounty
- 백준
- 해커
- 2438
- vscode
- 해킹
- 모세포
- web
- 1546
- Hackerone
- 코로나바이러스19
- Django
- covid19
- env
- 코로나바이러스
- 장고
- Today
- Total
Kilkat
2018.7.31공주대 정보보호영재교육원 방학 집중교육+CTF 후기 본문
공주대학교 정보보호영재원에서 방학이라고 3박4일동안 집중교육과 CTF를 진행했다. 사실 집중교육보다는 CTF에 좀더 관심이 갔고 잔뜩 들떠서 갔다. 사실 딱히 준비한것 없이 평소 내 실력이 어느정도인지 테스트 하는겸 봤다. 예선전이였고 만약 12등안에 든다면 서울대학교에서 전국 영재원에서 모아둔 영재원 친구들과 같이 CTF를 진행하게 된다. CTF가 진행이 되고 맨처음 의식의 흐름대로 읽어나가면 되는 네트워크 문제부터 풀어나가기 시작했고 몇십분동안은 6등을 유지했다. 그래서 사실 다른 등수들과 점수 차이들도 많이 났기 때문에 내심 본선까지 가는걸 기대하고 있었다. 하지만 결과부터 말하자면
87명 중에 19등을 차지했다. 20등까지는 10월달에 심화교육을 받을수 있는기회가 주워지지만 딱히 기분이 좋지는 않았다. 사실 실망한게 더 컸고 더 열심히 노력해야겠다는 생각이 들었다. 우선 직접적으로 CTF에서 아쉬웠던 부분부터 말하자면 운영과 대회 문제의 질 즉 오류가 많아서 아쉬웠다. 대회 운영에 대해서 아쉬웠던 이유는 이번 대회는 REALSYSTEM이라고 해서 실 서버의 취약점을 이용해서 공격을 하고 자신의 서버를 방어도 하는 데프콘에서만 치뤄질법한 분야도 나와서 새로웠고 기존에 딱딱하다고 느낄수 있는 플래그 인증 방식의 CTF만 있는게 아니여서 좋았다. 그리고 문제를 풀려면 COIN이 필요한데 처음에는 어느정도 풀수 있을 만큼의 COIN을 준다 하지만 문제를 만약 열어놓고 풀지 못한다면 COIN을 회수할수 없고 그렇게해서 COIN을 다 소진하게 되면 새로운 문제를 못열게 된다. 60분을 기다려야지 COIN이 1~2 정확히 몇개였는지 기억은 안나지만 충전이 된다. 그래서 자신이 자신있는 분야 그리고 쉬운 문제부터 차근차근 풀어나가야 하는 어쩌면 전략이 필요할수도 있는 대회였다. 하지만 끝나기 몇십분전에 마지만 COIN을 준다면서 갑자기 10개의 COIN을 다 풀었다. 그로 인해서 17등에서 19등으로 떨어졌고 RANK에도 급격하게 많은 변화들이 일어났다. 이 마지막 무분별한 COIN뿌리기로 인해서 피해를 봤을수도 있는 친구들도 많을것이다. 그리고 두번째로 아쉬웠던 점은 문제의 질과 오류였다. 사실 문제가 어려워서 점수가 낮은거라면 더 노력하면 된다고 생각할수 있다. 하지만 문제가 어렵다기 보다는 그냥 엄청 꼬았다. 여러가지 방법들을 사용하게끔 한것에 대해서는 좋게 생각한다. 하지만 생각하는 문제를 만들었다기 보다는 그냥 문제를 위한 문제를 만들었다고 생각이 들정도의 별로 질이 좋지 않은 문제들이 출제가 되었다. 그리고 문제들의 오류도 심각했는데 특히 포너블의 MONEY FLOW 였나? 할튼 이런 문제가 있었는데 이 문제의 경우 nc에 접속하면 리눅스 명령어 3개를 칠수 있는 입력란이 뜨는데 거기서 권한을 확인하는 명령어를 선택하면 root로 떳다. 그래서 root권한을 줬으니까 혹시나 flag가 있어서 열어보라는 문제가 아닐까라고 생각이 들어서 cat flag를 사용해보니 해킹하지 말라는 문자가 출력이 되었고 여기서 flag가 필터링 되어있는걸 느꼈다. 그래서 f'lag'이런식으로 필터링을 우회시켜봤지만 실행이 안됬다. 이상하다고 느껴서 HINT를 열어봤는데 HINT1의 경우 cat이 힌트로 나왔고 이미 cat으로 하는건 예상을 하고 있어서 울며 겨자먹기로 HINT2도 열었다. 거기서 갑자기 뜬금없이 buffer overflow라고 힌트가 나왔다. 그래서 여기서 2차당황... 도저히 buffer overflow로 푸는 문제가 아닌것 같은데 풀라고 하니 답이 안나왔다. 그래서 되게 아까운 시간들을 소비해서 결국 HINT2가 잘못됬다는 것을 알았다. 푸는방법은 c'at' h'int'이런식으로 hint만 우회하는게 아니라 cat도 우회시켜야 되는문제였다. 이런식으로 문제 오류도 있었고 이런 문제 오류들로 인해서 몇백점은 사라졌다. 다음 해킹 대회에서는 좀더 보완이 됬으면 좋겠다. 후기를 쓰다보니 안좋은 부분만 쓴것 같은데 사실 REALSYSTEM처럼 신선한 문제들도 나와서 좋은 경험을 한 대회였고 재밌었다.
그리고 3번째 날에 갔던 KERIS 한국교육학술정보원은 보안을 보는 눈을 넓혀준 견학이였다고 생각한다. 사실 보안이라고 하면 한정적인 부분만 생각을 해왔었는데 교육쪽 보안도 중요하고 어떤식으로 노력하고 계신지 직접 눈으로 확인할수가 있었다. 보안 관제실도 다녀왔는데 그곳은 사진 촬영이 안되서 휴대폰을 사전에 제출하고 들어갔다. 들어가보니 전국 초중고대학교 모든 학교들의 실시간 해킹 침해 정보를 큰 화면에 보여주는데 관제는 처음봐서 그런지 신기했다.