Blog Content

이 문제에서는 다음과 같은 풀이과정이 필요하다.계정 가입했을 때 얻는 토큰의 형태 이해apk 파일을 분석하여 동작방식 이해index.pyc를 찾아 웹 동작방식 이해계정에 따른 해쉬값의 패턴을 찾아 추측DB를 다운로드하여 디코딩 후 FLAG 획득 먼저 링크를 따라가면 위와 같은 간단한 가입 페이지를 볼 수 있다.여기서는 계정을 생성하여 토큰을 얻을 수 있는데 토큰의 형식은 계정의 hex값 - hash 이다.ex) testAccount = 746573744163636f756e74-51bd5ae127bffb3f dex2jar로 APK를 분석해보면 /private로 접근하면 DB를 다운로드 할 수 있는 것을 알 수있다. Fiddler를 이용하여 웹 사이트를 돌아다녀보면 /static/ 이라는 경로안에 파일이 존..