728x90
반응형
100점인 6번 문제를 풀어보도록 하자.
문제에 들어가게 되면 현재는 문제를 풀어버려서 admin/nimda 계정으로 변환되어 있지만, 원래는 guest/123qwe로 표시되어 있다.
view-source를 클릭하게 되면 힌트가 되는 코드를 확인할 수 있다.
<?php
include "../../config.php";
if($_GET['view_source']) view_source();
if(!$_COOKIE['user']){ # user에 cookie값이 존재하지 않으면 if문 수행
$val_id="guest"; # $val_id 변수에 "guest" 저장
$val_pw="123qwe"; # $val_pw 변수에 "123qwe" 저장
for($i=0;$i<20;$i++){
$val_id=base64_encode($val_id); # $val_id에 저장되어 있는 "guest"문자열 20번 base64 인코딩
$val_pw=base64_encode($val_pw); # $val_pw에 저장되어 있는 "123qwe"문자열 20번 base64 인코딩
}
$val_id=str_replace("1","!",$val_id); #str_replace함수 이용하여 "1"이라는 값이 있으면 "!"로 지환해서 $val_id에 저장
$val_id=str_replace("2","@",$val_id);
$val_id=str_replace("3","$",$val_id);
$val_id=str_replace("4","^",$val_id);
$val_id=str_replace("5","&",$val_id);
$val_id=str_replace("6","*",$val_id);
$val_id=str_replace("7","(",$val_id);
$val_id=str_replace("8",")",$val_id);
$val_pw=str_replace("1","!",$val_pw);
$val_pw=str_replace("2","@",$val_pw);
$val_pw=str_replace("3","$",$val_pw);
$val_pw=str_replace("4","^",$val_pw);
$val_pw=str_replace("5","&",$val_pw);
$val_pw=str_replace("6","*",$val_pw);
$val_pw=str_replace("7","(",$val_pw);
$val_pw=str_replace("8",")",$val_pw);
Setcookie("user",$val_id,time()+86400,"/challenge/web-06/"); #base64 인코딩되고 str_replace로 치환된 후 $val_id변수에 저장된 값을 user 쿠키에 저장
Setcookie("password",$val_pw,time()+86400,"/challenge/web-06/");
echo("<meta http-equiv=refresh content=0>");
exit;
}
?>
<html>
<head>
<title>Challenge 6</title>
<style type="text/css">
body { background:black; color:white; font-size:10pt; }
</style>
</head>
<body>
<?php
$decode_id=$_COOKIE['user']; # $decode_id변수에 user쿠키에 저장된 값을 저장
$decode_pw=$_COOKIE['password']; # $decode_pw변수에 password쿠키에 저장된 값을 저장
$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);
$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);
for($i=0;$i<20;$i++){
$decode_id=base64_decode($decode_id); # decode_id 값을 base64 decode 하여 $decode_id 변수에 저장
$decode_pw=base64_decode($decode_pw);
}
echo("<hr><a href=./?view_source=1 style=color:yellow;>view-source</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>"); # decode_ip, decode_pw 값 출력
if($decode_id=="admin" && $decode_pw=="nimda"){ # decode_id에 저장된 값이 admin이고 decode_pw에 저장된 값이 nimda면 문제 해결
solve(6);
}
?>
</body>
</html>코드를 해석해보면 id=admin, pw=nimda 값을 20번 base64 인코딩하여 값을 user와 password 쿠키의 값으로 입력하면 해결되는 것을 알 수 있다.
이제 20번의 base64인코딩을 위한 파이썬 코드를 작성해보자.
import base64
id = "admin"
pw = "nimda"
for i in range(0, 20):
i = i + 1
id1 = id.encode("UTF-8")
id2 = base64.b64encode(id1)
id = id2.decode("UTF-8")
pw1 = pw.encode("UTF-8")
pw2 = base64.b64encode(pw1)
pw = pw2.decode("UTF-8")
print(id)
print(pw)인코딩 된 값을 쿠키값으로 새로고침 해보게 되면
문제가 해결되는 것을 확인할 수 있다.
728x90
반응형
'CTF & WarGame > webhacking.kr' 카테고리의 다른 글
| [webhacking.kr] 8번 문제 (0) | 2020.02.29 |
|---|---|
| [webhacking.kr] 7번 문제 (0) | 2020.02.28 |
| [webhacking.kr] 5번 문제 (0) | 2020.02.27 |
| [webhacking.kr] 4번 문제 (0) | 2020.02.25 |
| [webhacking.kr] 3번 문제 (0) | 2020.02.25 |