CTF/1753CTF (2024)
[1753CTF] [REV] Yesterday's News (write-up)
Gom_Po
2024. 4. 3. 05:43
Yesterday's News (챌린지 설명)
아이디, 비밀번호, OTP 번호를 입력하여 로그인 성공 시 Flag 값을 수집할 수 있음
풀이과정
APK 파일 JADX와 같은 디컴파일 도구를 통해 OTP 발급 시 하루 전 날짜로 발급되는 것을 확인할 수 있어, 해당 코드 변조하여 실시간 OTP를 통해 로그인 가능한 것을 파악함
실시간 OTP를 발급받기 위해 디컴파일 도구(ByteCodeViewer)를 통해 앱 코드 변조 후 컴파일
변조된 앱 설치 후 발급받은 OTP를 통해 로그인 시 Flag 값이 노출되는 것을 확인할 수 있음