wargame : https://webhacking.kr/
✔️ 문제
문제는 다음과 같다.
✔️ 풀이
guest라는 ID로 현재 로그인이 되어있는 듯하고,
해당 view-source에 들어가보자.
<?php
include "../../config.php";
if($_GET['view_source']) view_source();
if(!$_COOKIE['user']){
$val_id="guest";
$val_pw="123qwe";
for($i=0;$i<20;$i++){
$val_id=base64_encode($val_id);
$val_pw=base64_encode($val_pw);
}
$val_id=str_replace("1","!",$val_id);
$val_id=str_replace("2","@",$val_id);
$val_id=str_replace("3","$",$val_id);
$val_id=str_replace("4","^",$val_id);
$val_id=str_replace("5","&",$val_id);
$val_id=str_replace("6","*",$val_id);
$val_id=str_replace("7","(",$val_id);
$val_id=str_replace("8",")",$val_id);
$val_pw=str_replace("1","!",$val_pw);
$val_pw=str_replace("2","@",$val_pw);
$val_pw=str_replace("3","$",$val_pw);
$val_pw=str_replace("4","^",$val_pw);
$val_pw=str_replace("5","&",$val_pw);
$val_pw=str_replace("6","*",$val_pw);
$val_pw=str_replace("7","(",$val_pw);
$val_pw=str_replace("8",")",$val_pw);
Setcookie("user",$val_id,time()+86400,"/challenge/web-06/");
Setcookie("password",$val_pw,time()+86400,"/challenge/web-06/");
echo("<meta http-equiv=refresh content=0>");
exit;
}
?>
<html>
<head>
<title>Challenge 6</title>
<style type="text/css">
body { background:black; color:white; font-size:10pt; }
</style>
</head>
<body>
<?php
$decode_id=$_COOKIE['user'];
$decode_pw=$_COOKIE['password'];
$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);
$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);
for($i=0;$i<20;$i++){
$decode_id=base64_decode($decode_id);
$decode_pw=base64_decode($decode_pw);
}
echo("<hr><a href=./?view_source=1 style=color:yellow;>view-source</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>");
if($decode_id=="admin" && $decode_pw=="nimda"){
solve(6);
}
?>
</body>
</html>
엄청나게 긴 코드가 나오게 되는데,
풀이를 위한 코드는 다음으로 보인다.
if($decode_id=="admin" && $decode_pw=="nimda"){
solve(6);
}
decode_id가 admin이고 decode_pw가 nimda면
해당 문제가 풀리는 것으로 보인다.
$decode_id는 cookie의 user이고,
$decode_pw는 cookie의 password를 의미하는데
guest가 base64 인코딩을 20번을 돌리고,
그 중 문자열에 1~8까지 포함되는 것들은 해당 기호로
변환되는 것으로 보인다.
그리고서 해당 decode를 역순으로 복호화처럼 사용하는데,
우리는 그럼 admin과 nimda를 똑같이 인코딩하고
문자열을 바꿔서 쿠키에 넣어보도록 하자.
import base64
def encoding(a):
i=0
while i<20:
users = a.encode('utf-8')
str_base64 = base64.b64encode(users)
base64_str = str_base64.decode('utf-8')
a = base64_str
i+=1
return a
def replace_text(b):
b.replace("1", "!").replace("2", "@").replace("3", "$").replace("4", "^").replace("5", "&").replace("6", "*").replace("7", "(").replace("8", ")")
return b
user = encoding('admin')
user = replace_text(user)
pw = encoding('nimda')
pw = replace_text(pw)
print("user:", user)
print()
print("pw:", pw)
스크립트는 다음과 같이 파이썬을 사용하였다.
encoding 함수와 해당 문자열을 대체할 replace_text 함수를 작성하여
admin과 nimda를 각각 변환하고 출력하였다.
출력된 값을 복사하여 각 쿠키값에 집어넣고
새로고침을 하게 되면,
다음과 같이 decode 된 id와 pw 값을 정상적으로 확인할 수 있고,
문제 풀이에 성공하게 된다.
화이팅 💪
'보안 > wargame' 카테고리의 다른 글
| [webhackingkr] old-07 (0) | 2023.01.07 |
|---|---|
| [webhackingkr] old-05 (0) | 2023.01.06 |
| [webhackingkr] old-04 (0) | 2023.01.05 |
| [webhackingkr] old-03 (0) | 2023.01.04 |
| [webhacking.kr] old-02 (0) | 2023.01.03 |
