문제에 처음 들어가면 가장 먼저 보이는 화면은 다음과 같다.
소스코드를 확인하는 버튼이 있어서 클릭해보니
위와 같은 코드임을 확인할 수 있다. 하나씩 살펴보자.
<base24 encode 해석>
<?php
include "../../config.php";
if($_GET['view_source']) view_source(); #view_source를 클릭하면 소스코드를 보여준다.
if(!$_COOKIE['user']){ #user 라는 쿠키값이 존재하지 않는다면
$val_id="guest"; #val_id 값을 guest로
$val_pw="123qwe"; #val_pw 값을 123qwe로 저장한다.
for($i=0;$i<20;$i++){ #for문을 반복한다.
$val_id=base64_encode($val_id); #val_id 값을 base64 인코딩한다.
$val_pw=base64_encode($val_pw); #val_pw 값을 base64 인코딩한다.
} ->해당 과정을 20번 반복
$val_id=str_replace("1","!",$val_id); #str_replace 함수를 이용해 val_id 값에 '1'이 있다면 '!'로 치환해서 저장
$val_id=str_replace("2","@",$val_id); #이하 동일
$val_id=str_replace("3","$",$val_id);
$val_id=str_replace("4","^",$val_id);
$val_id=str_replace("5","&",$val_id);
$val_id=str_replace("6","*",$val_id);
$val_id=str_replace("7","(",$val_id);
$val_id=str_replace("8",")",$val_id);
$val_pw=str_replace("1","!",$val_pw); #str_replace 함수를 이용해 val_pw 값에 '1'이 있다면 '!'로 치환해서 저장
$val_pw=str_replace("2","@",$val_pw); #이하 동일
$val_pw=str_replace("3","$",$val_pw);
$val_pw=str_replace("4","^",$val_pw);
$val_pw=str_replace("5","&",$val_pw);
$val_pw=str_replace("6","*",$val_pw);
$val_pw=str_replace("7","(",$val_pw);
$val_pw=str_replace("8",")",$val_pw);
Setcookie("user",$val_id,time()+86400,"/challenge/web-06/"); #20번 인코딩하고 str_replace로 문자가 치환된 값을 user 쿠키값에 저장, 해당 쿠키값은 24시간 동안 저장된다.
Setcookie("password",$val_pw,time()+86400,"/challenge/web-06/"); #20번 인코딩하고 str_replace로 문자가 치환된 값을 password 쿠키값에 저장, 해당 쿠키값은 24시간 동안 저장된다.
echo("<meta http-equiv=refresh content=0>");
exit;
}
?>
정리하면 처음 user 쿠키값이 없을 때 val_id 값에 guest, val_pw 값에 123qwe를 저장하고 20번 인코딩해 1~9의 숫자를 특수문자로 대체해 각각 user쿠키와 password쿠키에 저장한다.
실제로 쿠키값을 살펴보면 위와 같이 복잡한 값이 있는 것을 확인할 수 있다.
<base24 decode 해석>
<html>
<head>
<title>Challenge 6</title>
<style type="text/css">
body { background:black; color:white; font-size:10pt; }
</style>
</head>
<body>
<?php
$decode_id=$_COOKIE['user']; #decode_id 변수에 user 쿠키값을 저장한다.
$decode_pw=$_COOKIE['password']; #decode_pw 변수에 password 쿠키값을 저장한다.
$decode_id=str_replace("!","1",$decode_id); #str_replace 함수를 이용해 decode_id 값에 '!'가 있다면 '1'로 치환 후 저장
$decode_id=str_replace("@","2",$decode_id); #이하 동일
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);
$decode_pw=str_replace("!","1",$decode_pw); #str_replace 함수를 이용해 decode_pw 값에 '!'가 있다면 '1'로 치환 후 저장
$decode_pw=str_replace("@","2",$decode_pw); #이하 동일
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);
for($i=0;$i<20;$i++){ #for 문을 반복한다.
$decode_id=base64_decode($decode_id); #decode_id 값을 base64 디코딩한다.
$decode_pw=base64_decode($decode_pw); #decode_pw 값을 base64 디코딩한다.
} -> 해당 과정을 20번 반복
echo("<hr><a href=./?view_source=1 style=color:yellow;>view-source</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>"); #decode_id 와 decode_pw 값을 출력
if($decode_id=="admin" && $decode_pw=="nimda"){ #decode_id가 admin이고, decode_pw가 nimda이면 문제해결
solve(6);
}
?>
</body>
</html>
마찬가지로 정리하면 위의 코드는 user와 password 쿠키값을 가져와서 str_replace 함수로 특수문자들을 숫자로 치환하고, 20번 디코딩했을 때 해당 값들이 admin과 nimda이면 solve된다는 뜻이다.
그렇다면 해당 코드를 거꾸로 올라가 admin과 nimda를 20번 인코딩한 후 숫자를 특수무자로 치환해 그 각각의 값들을 user와 password 쿠키값으로 설정하면 될 것 같다.
인코딩 툴이 있지만 20번 반복하기는 너무 귀찮기 때문에 파이썬 코드를 짰다.
해당 코드를 실행하면 다음과 같은 값들을 얻을 수 있다.
엄청 길다......
이제 user와 password의 쿠키값에 넣고
쿠키값을 저장하면
풀렸다는 메세지와 함께 출력된 id와 pw가 각각 admin, nimda인 것을 확인할 수 있다.
'STUDY > WEB_Hacking' 카테고리의 다른 글
| Webhacking.kr 24번 문제(old) (1) | 2019.12.17 |
|---|---|
| Webhacking.kr 18번 문제(old) (0) | 2019.12.03 |
| Webhacking.kr 17번 문제(old) (0) | 2019.11.30 |
| Webhacking.kr 14번 문제(old) (0) | 2019.11.29 |
| Webhacking.kr 15번 문제(old) (0) | 2019.11.13 |