Posts
-
SSRF 공격 포인트 정리 (localhost)
SSRF에 대한 글로 계속 업데이트 될 페이지인 듯하다. 이번에 시도한 페이지는 드림핵 웹 Crawling이라는 문제이다. 제목과 마찬가지로 Crawling 하는 페이지가 있으며, 코드를 보면 이 페이지의 /admin에 접근하면 flag를 얻을 수 있는 구조이다. 블랙리스트로 차단하는 사이트에서 localhost:3333/admin(127.0.0.1:3333/admin)에 접근하는 방법 3가지를 알아보자. 1. ShortURL 사용 구글링만해봐도 shortURL을 제공하는 사이트가 다수이다. 이중 하나를 정해서 다른 url로 변환해주는 서비스를…
-
Web BABY DUCKY NOTES: REVENGE
2023 TFC CTF WriteUp 안녕하세요? 이번 23년도 TFC CTF를 하면서 나왔던 문제에 대한 Write Up을 작성해보려고 해 이 문제 전 준비운동 문제인 ‘BABY DUCKY NOTES’ 같은 경우에는 admin의 글을 보려면 그냥 /posts/view/admin을 get 방식으로 들어가서 flag를 찾으면 되는 문제였습니다! 이번 문제는 2탄으로 역시 같은 방법으로는 admin의 글을 볼 수 없었다. (hidden으로 쓰인 상태) 간단하게 글에…
-
PERFETTO: Perfetto를 이용한 F2FS 파일시스템 모니터링
Perfetto를 이용한 안드로이드 Pixel 6 기기의 f2fs 파일시스템을 모니터링 해보는 실습을 진행해 보았습니다. 1. f2fs 설명 2. Perfetto 설명 3. 실습 진행 4. 결론 으로 구성된 글입니다.