BLOG2026-06-05
![[🥉 Bronze 1] innerHTML에 넣은 <script>는 안 뜬다 — DreamHack xss-2 풀이](/images/blog/dreamhack-xss-2-writeup/thumbnail.png)
blog
[🥉 Bronze 1] innerHTML에 넣은 <script>는 안 뜬다 — DreamHack xss-2 풀이
vuln 페이지가 param을 innerHTML로 꽂는다. innerHTML로 삽입된 script는 실행되지 않으니 img/onerror로 우회해 봇의 flag 쿠키를 읽고, 공용 /memo 저장소로 흘려보내 회수했다.
#dreamhack#ctf#web+4
Tag Archive
#cookie
이 태그가 포함된 글을 최신순으로 모아봤어요.
3
posts
BLOG2026-06-05
![[🥉 Bronze 2] 백업 기능이 쿠키를 그대로 셸에 넘긴다 — DreamHack Simple Note Manager 풀이](/images/blog/dreamhack-simple-note-manager-writeup/thumbnail.png)
blog
[🥉 Bronze 2] 백업 기능이 쿠키를 그대로 셸에 넘긴다 — DreamHack Simple Note Manager 풀이
메모 백업 기능이 backup-timestamp 쿠키를 그대로 cp 명령에 끼워 넣고 shell=True로 실행한다. 출력이 돌아오지 않는 블라인드 OS 커맨드 인젝션이라, 컨테이너 안의 curl로 flag를 읽어 앱 자신의 /create_note에 다시 집어넣고 /notes에서 회수했다.
#dreamhack#ctf#web+4
BLOG2026-05-23
![[⭐⭐⭐⭐] 디버그 엔드포인트가 세션 전체를 토해낸다 — DreamHack session-basic 풀이](/images/blog/dreamhack-session-basic-writeup/thumbnail.png)
blog
[⭐⭐⭐⭐] 디버그 엔드포인트가 세션 전체를 토해낸다 — DreamHack session-basic 풀이
Flask 세션 인증 서비스에서 개발자가 "나중에 고칠게" 주석으로 남겨둔 /admin 엔드포인트가 session_storage 딕셔너리 전체를 JSON으로 반환한다. 서버 부팅 시 미리 생성된 admin sessionid를 그대로 가져와 쿠키에 박으면 끝.
#dreamhack#ctf#web+4