SECCON Beginners
@ctf4b
Cookieを確認すると、何か分かるかもしれません。signin.phpのソースを確認してみてください。 #ctf4b #a_and_d
2015-06-07 14:17:44
SECCON Beginners
@ctf4b
スコアに動きが出てきました。他チームの攻撃によるものか、自らメンテナンスした結果かもしれません。#ctf4b #a_and_d pic.twitter.com/42rIj3k6kZ
2015-06-07 14:29:01
拡大
SECCON Beginners
@ctf4b
顧客情報を消すとサービスレベルが下がるので減点対象です!顧客のパスワードも変えてはだめですよ! #ctf4b #a_and_d
2015-06-07 14:33:23
SECCON Beginners
@ctf4b
挙動のおかしい telnet があり、コードもあります。そちらを見てみましょう。 #ctf4b #a_and_d
2015-06-07 14:39:32
SECCON Beginners
@ctf4b
Cookie の生成しているスクリプトを確認するとユーザ名をハッシュ化しているだけなので、簡単になりすませますよね? 管理者は違う仕組みになっています。 #ctf4b #a_and_d
2015-06-07 14:49:44
SECCON Beginners
@ctf4b
クライアント側で TELNET とコマンドを打つだけではなく、ソースなどを確認しながら引数も与えてみましょう #ctf4b #a_and_d
2015-06-07 15:09:25
SECCON Beginners
@ctf4b
かなり動きが出てきました。個人情報を奪取したチームが2チーム! ダメージを受けたチームのコメント「もう、どうしようもないです」 #ctf4b #a_and_d pic.twitter.com/8ECAEQeIVL
2015-06-07 15:50:01
拡大
SECCON Beginners
@ctf4b
お疲れ様でした〜。これから振り返りです。参加者の皆さんからコメントを聞いていきます。 #ctf4b #a_and_d
2015-06-07 16:12:18