CTF/1753CTF (2024)

[1753CTF] [REV] Yesterday's News (write-up)

Gom_Po 2024. 4. 3. 05:43

Yesterday's News (챌린지 설명)

아이디, 비밀번호, OTP 번호를 입력하여 로그인 성공 시 Flag 값을 수집할 수 있음

 

풀이과정

APK 파일 JADX와 같은 디컴파일 도구를 통해 OTP 발급 시 하루 전 날짜로 발급되는 것을 확인할 수 있어, 해당 코드 변조하여 실시간 OTP를 통해 로그인 가능한 것을 파악함

 

실시간 OTP를 발급받기 위해 디컴파일 도구(ByteCodeViewer)를 통해 앱 코드 변조 후 컴파일

 

변조된 앱 설치 후 발급받은 OTP를 통해 로그인 시 Flag 값이 노출되는 것을 확인할 수 있음