728x90
25번 가보자고~
엥 make 버튼을 눌렀더니 LAST NUMBER가 나온다!
일단 압축을 풀고 suninatas25 파일을 HxD로 파일을 분석했는데 또 ZIP 파일로 압축되어있다.
이번에도 안드로이드 파일인거 같다..?
아까처럼 class.dex 파일을 .jar 확장자로 변환시켜주었다.
자바 디컴파일러로 확인해보자! (방금 전에 푼 유형이라고 자신있게 하는중;)
http://www.suninatas.com/challenge/web25/chk_key.asp?id=" + editable1.toString() + "&pw=" + editable2.toString() + "&Name=" + str.toString() + "&Number=" + str1.toString())이 부분을 일단 그대로 url에 입력해봤는데 다음과 같이 뜬다.
흠,, 이것도 어플다운로드를 해야할까?
http://www.suninatas.com/challenge/web25/chk_key.asp?id=" + editable1.toString() + "&pw=" + editable2.toString() + "&Name=" + str.toString() + "&Number=" + str1.toString())음.. 참고로 number에는 아까 25번 문제에있던 3287을 입력하는거 같다!
http://www.suninatas.com/challenge/web25/Validate.aspx?id=f&pw=f&Name=f&Number=3287 여기서 또 하나 알게 된 사실은 Name이
바로 이 SuNiNaTaS라는거..
id랑 pw는 내 계정으로 했는데 이런 오류가 떴다.
개발자도구에서
이 부분을 클릭해 mobile 버전으로 바꿨더니
auth_key가 나왔다. 다른 방법으론 user-agent 값을 안드로이드로 바꿔서 burp suite을 사용하는 것도 있다. 참고로 이 문제는 안드로이드 어플로 다운이 안되더라.
728x90
'CTF, 워게임 문제 풀이 > Suninatas' 카테고리의 다른 글
| [System] 써니나타스 Challenges 27번 문제 (미해결) (0) | 2022.06.21 |
|---|---|
| [Forensic] 써니나타스 Challenges 26번 문제 (0) | 2022.06.20 |
| [System] 써니나타스 Challenges 24번 문제 (0) | 2022.06.18 |
| [Web] 써니나타스 Challenges 23번 문제 (0) | 2022.06.17 |
| [Web] 써니나타스 Challenges 22번 문제 (0) | 2022.06.16 |
댓글