Hacker Wannabe (Hawkis_CTF) write-up

 

Hacker Wannabe 문제

 

해당 문제의 Flag 값은 동아리 계정(dsu.hawkis@gmail.com)의 받은메일함 확인 시 획득 가능

 

따라서 동아리 계정의 비밀번호를 유추하여 로그인 후, 메일함의 Flag를 획득하여라!!

 

 

계정 비밀번호 유추

 

구글 로그인이며, 기술적 해킹을 필요로 하지 않고, 사회공학적 기법이 가능하다 하기에

 

처음엔 아무것도 없이 어떻게 비밀번호를 알아내야하는지 막막하였다

 

 

 

하지만, 기본적으로 동아리 계정이기때문에, 비밀번호도 당연히 hawkis가 들어가있을것이라 생각하였다

 

 

 

그래고 일반적으로 영문과 숫자를 조합하여 비밀번호를 만들기에

 

hawkis+" 숫자 " 이런형태일 것이라 생각하였고

 

이번년도가 2023이니 hawkis2023을 가장 처음으로 대입해 보았다

 

 

하지만 비밀번호가 틀리다고 출력되었으며

동신대를 상징하는 dsu를 결합한 dsuhawkis, hawkisdsu, dsu1234, 1234dsu, dsuinfosec, dsu2023등을 입력하였지만 

마찬가지로 불일치

 

계속해서 고민하던중

 

사회공학적 기법도 포함이기에 동아리 단체카톡방에 단서가 있을지 몰라

 

카톡 내역을 살펴보던중 

5월 16일에 보내신 [8층 랩실 AP 접속 정보]의 id와 pw를 발견하였고

이때 pw의 값이 hawkis2023!이였으며

 

 

동아리의 공식적인 여러 계정의 id, pw는 보통 비슷하거나 같게 만들어 놓을것 같다는 생각이 들었고

 

해당 pw값(hawkis2023!)을 동아리 구글계정 비밀번호로 대입시 로그인되는것을 확인 가능하였다

 

 

 

 

 

 

Flag 발견

 

로그인 후 받은편지함에 들어가 flag 값을 확인하였다