2025-01-02 CTFの攻略フロー 確認フェーズ ソースコードが見れる場合 ソースコードを確認する ソースコードの、その意味を理解しようとし、わからない動作や関数は調べる。 手軽にデバックできる環境を整える。 (対象のサービスがphpの場合、php online editorを動かしてみる) sqlインジェクションが可能ならpaizaなどのsqlの実行環境を整える。 脆弱な関数がないかを確認する Burp Suiteでサイトを開いてみる。 HTTPヘッダーにヒントがないかを確認。 ChatGPTに聞いてみる 1/4ぐらいの確率で、ヒントを出してくれる。 試行錯誤フェーズ エラーが見れそうな時 オーバーフローさせてみる。 -> 意図しないところでエラーが発生し、ログが見れるかもしれない。[old-41の例] バイパスが可能なパラメーターを見つけに行く。
