![](https://s.togetter.com/static/web/img/placeholder.gif)
Cookieを確認すると、何か分かるかもしれません。signin.phpのソースを確認してみてください。 #ctf4b #a_and_d
2015-06-07 14:17:44![](https://s.togetter.com/static/web/img/placeholder.gif)
スコアに動きが出てきました。他チームの攻撃によるものか、自らメンテナンスした結果かもしれません。#ctf4b #a_and_d pic.twitter.com/42rIj3k6kZ
2015-06-07 14:29:01![](https://pbs.twimg.com/media/CG38U5xUAAAt3JM.png:medium)
![](https://s.togetter.com/static/web/img/placeholder.gif)
顧客情報を消すとサービスレベルが下がるので減点対象です!顧客のパスワードも変えてはだめですよ! #ctf4b #a_and_d
2015-06-07 14:33:23![](https://s.togetter.com/static/web/img/placeholder.gif)
挙動のおかしい telnet があり、コードもあります。そちらを見てみましょう。 #ctf4b #a_and_d
2015-06-07 14:39:32![](https://s.togetter.com/static/web/img/placeholder.gif)
Cookie の生成しているスクリプトを確認するとユーザ名をハッシュ化しているだけなので、簡単になりすませますよね? 管理者は違う仕組みになっています。 #ctf4b #a_and_d
2015-06-07 14:49:44![](https://s.togetter.com/static/web/img/placeholder.gif)
クライアント側で TELNET とコマンドを打つだけではなく、ソースなどを確認しながら引数も与えてみましょう #ctf4b #a_and_d
2015-06-07 15:09:25![](https://s.togetter.com/static/web/img/placeholder.gif)
かなり動きが出てきました。個人情報を奪取したチームが2チーム! ダメージを受けたチームのコメント「もう、どうしようもないです」 #ctf4b #a_and_d pic.twitter.com/8ECAEQeIVL
2015-06-07 15:50:01![](https://pbs.twimg.com/media/CG4O3uhUYAAx1iv.png:medium)
![](https://s.togetter.com/static/web/img/placeholder.gif)
お疲れ様でした〜。これから振り返りです。参加者の皆さんからコメントを聞いていきます。 #ctf4b #a_and_d
2015-06-07 16:12:18