웹 취약점 관련 카카오톡 단체방에 들어가 있었는데, 우연히 크리스마스에 t3n4ci0us라는 그룹에서 크리스마스날 CTF대회를 연다고 해서 잠시 참가해 보았다.
자랑
결론적으로 말하면 대회를 시작할때부터 끝날때까지 계속 잡고 푼 결과, 운좋게 1등을 할수있게 되었다. 사실 작은 규모의 CTF대회였고, 진짜들이 참가한 대회가 아니여서 단순히 시간싸움으로 1등할수 있지 않았나 싶다.
First Blood
대회 총평
이번이 네번째로 나간 CTF대회였다. 난이도는 지금까지 했던 CTF중 가장 낮았었고, 컴퓨터에 엉덩이 오래 붙여놨었던 사람들이라면 한번쯤 들어봤을법한 기법들의 문제들이 출제됐었다.
뒤져보니 t3n4ci0us가 학생들 동아리..? 인거 같은데 아마 짧은 기간에 적은 예산으로 만들어서 그런가 문제들도 기법만 알면 별다른 필터링 없이 쉽게 풀수 있었고 “이건가?” 싶으면 대부분 답이었다.
비슷한 기법을 쓰는 중복되는 문제도 두세 문제 있었고, 뭔가 일반인들을 위한 CTF라면 이런 느낌이겠거니.. 싶었다.
타 CTF와 달랐던 점은, 개발자가 아니라면 풀기 어려웠던 문제들이 몇개 출제됐었다는 점이다. 예를 들어 Git 커밋 로그를 추적해 플래그를 찾는다거나, 오픈 API를 이용해 문제를 푸는 등이 있었다.
OSINT?
이번 CTF에서 OSINT라는 분야를 처음 접해봤는데, 사실상 구글링 능력 싸움 문제였다. 이미지 검색 기능을 이용해 문제에서 물어본 것을 얼마나 잘 찾는지..
다른 CTF에서 출제된 OSINT 문제들을 보니 로그 추적, 가상화폐 계좌 추적, Git 로그 추적 등 다방면에 유용한 방법들을 응용한 문제였는데, 이 Christmas CTF에서는 단순히 구글 검색만 하는 문제를 출제했다는 점은 조금 아쉬웠다.
문제점은 이 뿐만 아니라, 문제가 ~~의 이름을 찾으시오 혹은 ~~의 날짜는? 같은걸 물어봐서 사실상 구글링해 나오는 모든 답들을 모두 브루트포스하는 방법으로 플래그를 얻어야 했다. 대소문자도 제대로 안알려줘서 다 대문자로 해봤다가, 다 소문자로 해봤다가, 대소문자 혼용했다가.. 정말 많은 시도를 했다.
또한 이 문제에 150점, 200점, 250점, 300점 등 굉장히 높은 점수가 포진되어 있어서 악으로 깡으로 구글링하며 플래그를 때려맞췄다.
풀이
포렌식, OSINT, WEB Writeup의 경우 이미 이곳에 풀이가 있다.
필자의 Writeup은 아마 다음 글에 게시할 예정이다.