제 17회 해킹캠프 후기

 지난 주말에 해킹캠프에 갔다왔다. 후기를 쓸지 말지 계속 고민하다가 결국 지금 쓰게 되었다. 나는 지금으로부터 2년전, 제 13회 해킹캠프부터 참여하기 시작했는데 그 때부터 나의 해킹 실력이 꾸준히 상승하지 않았나 싶다. 

 2016년 동계 제 13회 해킹캠프 : 시우랑, 주현이형, 현우형, 희태형이랑 같은 팀을 하게 되었다. CTF에서 1문제를 풀었다.

 2016년 하계 제 14회 해킹캠프 : 디미고 형들(윤서형)과 승현이형과 같이 팀을 하게 되었다. CTF에서 7문제를 풀었다. 

 2017년 동계 제 15회 해킹캠프 : "앗, 워게임 해킹보다 쉽다"라는 제목으로 발표를 하였다. (디미고 입학예정생이기도 하였다.)

 2017년 하계 제 16회 해킹캠프 : 데몬팀, 그리고 비오비 교육생인 신분으로 해킹캠프에 참가하게 되었다. 

 그리고 지난 주말, 2018년 동계 제 17회 해킹캠프에서는 스태프(문제 출제자)의 자격으로 해킹캠프에 참가했다. 

발표

 어느 해킹캠프 때보다, 정말 대단한 발표자 라인업이었다. 가장 재미있었던 발표는 낙현이형이 발표한 '취약점 분석 여행기' 발표였다. 이 발표를 들으면서, 내 공부 방법을 더 확실하게 잡게 되었던 계기가 되었다. 그리고 신정훈 멘토님께서 발표하셨던, femtocell(펨토셀)이라는 LTE 서비스에 대한 취약점 점검 발표를 비오비에서도 들었었는데, 해킹캠프에서 다시 들으니 감회가 새로웠다. 나도 올해 2018년 3개월 정도를 내가 원하는 연구를 하고 다양한 컨퍼런스에서 발표를 하고 싶다는 목표를 다시금 만들게 해준 발표였다. 심준보 멘토님, 박문범 멘토님의 발표도 해킹 초보자의 수준에서 이해하기 쉬운 내용이었다. 광호형, 영주형, 현수 발표도 다양한 사실을 알게 되어서 여러모로 재밌었던 이번 17회 해킹캠프였다. 

스태프 활동

 이번에는 처음으로 해킹캠프에 문제 출제자를 하게되어, 문제 출제자로 참가하게 되었는데, 이번 해킹캠프 CTF의 컨셉은 "문제 은행"이었다. 60문제 만드는 것이 목표였는데, 나는 웹문제 2개는 내겠다고 했다. 그렇게 한 달 전부터 준비했던 CTF였는데, 꽤 퀄리티가 있는 문제를 냈던 것 같아서 나름 기분이 좋다. 

archive.is

 archive.is 문제는 SQL Injection 취약점을 SSRF 공격으로 연계시키는 문제였다. 예전에 H3X0R 내부 CTF에서 UNION SQL Injection 기법을 SSRF로 연계하는 문제를 낸 적이 있었는데, 이번 해킹캠프에 낼 용도로 바꾸면서 INSERT 부분에서 취약점이 발생하도록 바꾸었다. 사실상 Attack Vector만 바뀐거지 공격 컨셉 자체는 비슷했다. 

read flag 

 이 문제는 대회 전, 여러 웹해커 분들에게 검수를 받았던 문제인데 생각보다 탱킹을 잘해주었다. PHP 트릭중 대표적으로 유명한 언더바 트릭을 이용한 문제였는데, 캠프 이틀 전 김용진님께 5분컷을 당하고 조금 불안했었다. 하지만, 1솔브라서 다행이었다. 1솔브하신 분은 내가 예상했던 원평이형이었다. 

 사실 이 문제는 ACEBEAR CTF에서 내가 발견했던 트릭을 이용했던 문제였다. 그래서 ACEBEAR CTF의 한 웹문제와 거의 비슷하다. 단지 %와 . (dot)을 막았던 것 빼고,,

 여담으로, passket 멘토님도 못푸셨다고 하는데 진짜 그런건지는 모르겠다. H3X0R 동민이형이 그렇게 말하긴 했는데 진짜 그랬으면 꽤 기쁘겠다.

숙소에서의 밤

 밤에 스태프 방에서 윤서형이랑, (문)성훈이형이랑 롤을 했었는데 재밌었다. 평창 동계 올림픽도 같이 봤었는데, 이승훈이 매스 스타트에서 금메달을 따서 박문범 멘토님께서 7만원 정도의 족발을 구매하셨다ㅋㅋ

 4시 경에는 경호가 같이 롤을 하자고 해서 롤을 했는데, 다시금 나의 천재적인 롤 실력에 감탄했다.,, 그리고 밤을 샜다,, 다음 날에 진짜 죽을 맛이었지만, 참앗다,,,후,,