알림 창이 뜨는 걸 보자마자 바로 개발자 도구부터 열어봤습니다. 딱 봐도 난독화가 되어있는 것 같기에 Console에서 String으로 변환시켜봤습니다. 실패했습니다. 왜 이런 에러가 나는지 이유를 몰라서 구글링을 해봤더니, 뒤에 붙어있는 ()를 떼야한다고 합니다. 저거 하나 때문에 20분을 날려먹었네요 :>>> 코드 해석부터 해보겠습니다. prompt에 입력하는 값이 들어가는 a라는 변수가 존재합니다. 이 a가 FLAG와 같다면 alert로 'bravo'를 출력하게 됩니다. 그럼 a==FLAG에서 FLAG에 해당하는 값을 제출란에 넣어보겠습니다. "구글링 실력이 곧 해킹 실력이다."라는 말이 있는데... 진짜 맞는 말인 것 같습니다. 구글은 신이야!

이번에는 메인 페이지에 아무것도 적혀있지 않습니다. 바로 JS 코드부터 보겠습니다. pass에 어떤 문자열을 unescape 해서 넣어주고 있습니다. 이 pass 변수가 아마 PW가 될 텐데, 문제에서 시키는 대로 Console에서 Decoding을 해보겠습니다. 제대로 FLAG가 나온 것 같네요. 제출해보겠습니다 :> CTF에서도 이렇게 쉽게 풀리면 좋으련만....ㅠㅠ

메인 페이지를 열자마자 또 알림 창이 떴습니다. PW를 입력하라고 하네요. 이번에도 역시 JS 코드를 열어서 문제를 풀어보도록 하겠습니다. 난독화 된 문자열이 들어있는 pass라는 변수가 눈에 띄네요. 이 변수를 unescape() 함수에 넣어서 다시 정상적인 문자열로 바꿔주는 걸 볼 수 있습니다. 그렇다면 이 문자열을 긁어와 Console에서 unescape() 해주면 FLAG가 나올 것이라고 유추할 수 있습니다. 나온 문자열을 PW라고 생각하고 PW 입력창에 넣어보겠습니다. 제대로 된 PW였네요. 이제 이 문자열을 FLAG 제출란에 넣어주겠습니다.

function connexion(){ var username = prompt("Username :", ""); var password = prompt("Password :", ""); var TheLists = ["000:000000"]; for (i = 0; i < TheLists.length; i++) { if (TheLists[i].indexOf(username) == 0) { var TheSplit = TheLists[i].split(":"); var TheUsername = TheSplit[0]; var ThePassword = TheSplit[1]; if (username == TheUsername && password == ThePassword) { alert("Vous pouvez uti..

들어가자마자 입력창이 떠서 그냥 아무 문자열이나 넣어봤습니다. 패스워드가 아니라고 뜨네요. 아무래도 JS 코드를 봐야 할 것 같습니다. 대놓고 PW가 적혀있습니다. 메인 페이지에서 새로고침을 한 후 PW를 입력해 정확한 PW인지 확인해보겠습니다. alert 창도 제대로 뜨네요. 이대로 FLAG 제출 칸에 제출해보겠습니다. :D

이번 문제에서는 입력 폼이 두 개 있습니다. 하나는 Username, 하나는 Password. 이것만 봐서는 어디에 취약점이 존재하는지 알 수 없으니 개발자 도구로 소스코드부터 뜯어보겠습니다. 약 2~3분 정도 코드를 보고 있었지만 아무것도 나오지 않았습니다. head 태그 안에 js 코드가 있으므로 이 코드를 확인해보겠습니다. JS 코드가 정답이였습니다. 코드에 나온 대로 ID, PW를 입력해봤습니다. alert 창에 써져있던 문구에 따라서 사용했던 PW를 FLAG 입력 칸에 넣어주겠습니다. ez!