문제 페이지는 해당 페이지와 같다
view-source 링크와 ID가 guest이고 PW가 123qwe 라는 것을 알 수 있다.
view-source 링크를 통해 소스코드를 확인하면 php와 html로 이루어진 코드를 볼 수 있다.
01
해당 코드의 php 부분을 해석한다.
<?php
include "../../config.php";
if($_GET['view_source']) view_source();
if(!$_COOKIE['user']){
$val_id="guest";
$val_pw="123qwe";
for($i=0;$i<20;$i++){
$val_id=base64_encode($val_id);
$val_pw=base64_encode($val_pw);
}
$val_id=str_replace("1","!",$val_id);
$val_id=str_replace("2","@",$val_id);
$val_id=str_replace("3","$",$val_id);
$val_id=str_replace("4","^",$val_id);
$val_id=str_replace("5","&",$val_id);
$val_id=str_replace("6","*",$val_id);
$val_id=str_replace("7","(",$val_id);
$val_id=str_replace("8",")",$val_id);
$val_pw=str_replace("1","!",$val_pw);
$val_pw=str_replace("2","@",$val_pw);
$val_pw=str_replace("3","$",$val_pw);
$val_pw=str_replace("4","^",$val_pw);
$val_pw=str_replace("5","&",$val_pw);
$val_pw=str_replace("6","*",$val_pw);
$val_pw=str_replace("7","(",$val_pw);
$val_pw=str_replace("8",")",$val_pw);
Setcookie("user",$val_id,time()+86400,"/challenge/web-06/");
Setcookie("password",$val_pw,time()+86400,"/challenge/web-06/");
echo("<meta http-equiv=refresh content=0>");
exit;
}
?>
<html>
<head>
<title>Challenge 6</title>
<style type="text/css">
body { background:black; color:white; font-size:10pt; }
</style>
</head>
<body>
<?php
$decode_id=$_COOKIE['user'];
$decode_pw=$_COOKIE['password'];
$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);
$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);
for($i=0;$i<20;$i++){
$decode_id=base64_decode($decode_id);
$decode_pw=base64_decode($decode_pw);
}
echo("<hr><a href=./?view_source=1 style=color:yellow;>view-source</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>");
if($decode_id=="admin" && $decode_pw=="nimda"){
solve(6);
}
?>
</body>
</html>
if(!$_COOKIE['user']){
$val_id="guest";
$val_pw="123qwe";
for($i=0;$i<20;$i++){
$val_id=base64_encode($val_id);
$val_pw=base64_encode($val_pw);
}
쿠키 값이 'user'인 경우 val_id 값에 'guest'를 val_pw 값에 '123qwe'를 넣고 Base64 인코딩을 20번 한다
$val_id=str_replace("1","!",$val_id);
$val_id=str_replace("2","@",$val_id);
$val_id=str_replace("3","$",$val_id);
$val_id=str_replace("4","^",$val_id);
$val_id=str_replace("5","&",$val_id);
$val_id=str_replace("6","*",$val_id);
$val_id=str_replace("7","(",$val_id);
$val_id=str_replace("8",")",$val_id);
$val_pw=str_replace("1","!",$val_pw);
$val_pw=str_replace("2","@",$val_pw);
$val_pw=str_replace("3","$",$val_pw);
$val_pw=str_replace("4","^",$val_pw);
$val_pw=str_replace("5","&",$val_pw);
$val_pw=str_replace("6","*",$val_pw);
$val_pw=str_replace("7","(",$val_pw);
$val_pw=str_replace("8",")",$val_pw);
각 val_id 와 val_pw 값에 1부터 8까지의 숫자들을 특수문자로 치환한다.
Setcookie("user",$val_id,time()+86400,"/challenge/web-06/");
Setcookie("password",$val_pw,time()+86400,"/challenge/web-06/");최종 val_id와 val_pw 값을 쿠키값으로 지정한다.
$decode_id=$_COOKIE['user'];
$decode_pw=$_COOKIE['password'];지정된 쿠키값들을 decode_id 와 decode_pw 에 넣는다.
$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);
$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);decode_id와 decode_pw에 있는 특수문자들을 1부터 8까지의 숫자로 치환한다.
for($i=0;$i<20;$i++){
$decode_id=base64_decode($decode_id);
$decode_pw=base64_decode($decode_pw);
}Base64 디코딩을 20번 진행한다.
echo("<hr><a href=./?view_source=1 style=color:yellow;>view-source</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>");최종 디코딩 된 decode_id 와 decode_pw 가 ID 와 PW 로 출력된다.
if($decode_id=="admin" && $decode_pw=="nimda"){
solve(6);
}만약 최종 decode_id 가 'admin'이고 decode_pw가 'nimda' 인 경우 문제가 풀린다.
해당 소스코드를 해석한 결과, admin과 nimda를 Base64 인코딩 시킨후 1부터 8까지의 숫자를 특수문자로 치환 시킨 후 그 값을 해당 페이지의 쿠키값으로 설정해주면 문제가 풀린다는 것을 알 수 있다.
Base64 인코딩을 하기 위하여 Python 프로그램을 만들어 실행시킨다.
import base64
id = 'admin'.encode()
pw = 'nimda'.encode()
for i in range(20):
id = base64.b64encode(id)
pw = base64.b64encode(pw)
print("id : %s " % id)
print("pw : %s " % pw)
해당 프로그램은 'admin'과 'nimda'를 byte로 인코딩 한 후에 base64 인코딩 함수를 통하여 20번 인코딩을 한다.
| id : b'Vm0wd2QyUXlVWGxWV0d4V1YwZDRWMVl3WkRSV01WbDNXa1JTVjAxV2JET........VmJFSlZUVVF3UFE9PQ==' pw : b'Vm0wd2QyUXlVWGxWV0d4V1YwZDRWMVl3WkRSV01WbDNXa1JTVjAxV2JE........VmJFSlZUVVF3UFE9PQ==' |
해당 값들을 문제페이지의 쿠키값에 넣는다.
그리고 다시 문제 페이지로 이동하면 문제가 해결된 것을 알 수 있다.
'프로젝트 > Webhacking.kr' 카테고리의 다른 글
| [Webhacking.kr] Challenge(old) 8번 문제 (0) | 2021.07.05 |
|---|---|
| [Webhacking.kr] Challenge(old) 7번 문제 (0) | 2021.07.05 |
| [Webhacking.kr] Challenge(old) 5번 문제 (0) | 2021.07.02 |
| [Webhacking.kr] Challenge(old) 4번 문제 (0) | 2021.07.02 |
| [Webhacking.kr] Challenge(old) 3번 문제 (0) | 2021.07.01 |