SSo

hint : block 당한 계정을 bypass 하여라!

문제 접속 화면입니다. 로그인 폼이 있네요

get source로 소스코드 힌트를 확인해보겠습니다.

id에 guest 또는 blueh4g 가 있으면 "your account is blocked" 라는 문자열이 출력됩니다.

비밀번호가 틀리면 "wrong.."이 출력됩니다.

이렇게 말이죠

sql에선 대소문자를 구분하지 않습니다. 따라서 id에 guest가 아닌 gueSt를 입력하면 php에선 필터링에 걸리지 않고 sql에선 guest로 인정합니다.

hint : 버튼을 click!

버튼을 click 하려고 해도 마우스를 따라다니면서 옆에 찰거머리처럼 딱 붙어있네요..

 소스를 한번 확인해보도록 하겠습니다. 

onclick event를 확인합니다. 

http://wargame.kr:8080/flee_button/?key=39e7 로 접근하면 flag가 나옵니다.

hint : javascript 퍼즐 챌린지

문제를 클릭해보도록 하겠습니다.

qr코드가 흩어진 퍼즐조각처럼 있습니다. 클릭하면 퍼즐을 움직일 수 있지만 문제 의도는 소스코드를 통해 풀어야 하는 것 입니다.

소스를 한번 확인해보도록 하겠습니다. 

qr code의 원본 img 파일의 위치를 알아냈습니다.

qr code를 스캔하면 flag가 나옵니다.

hint : HTTP Response 헤더를 볼 수 있냐고 묻습니다.

문제를 한번 확인해 보겠습니다.

key를 획득했다는 문자열이 나옵니다. 프락시 툴로 HTTP Response를 확인해보도록 하겠습니다.

flag가 Response에 포함되어있습니다.