-
[Webhacking.kr] Challenge 4Security/Wargame 2014. 7. 10. 15:23336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
4번문제에 접속하게 되면 위와 같은 화면을 보게된다.
이상한 문자열...과 패스워드를 입력하란다.
이상한 문자열을 잘 보면
왠지 이놈이 딱봐도 Base64 인코딩 된것같은 느낌이 팍팍 든다.
Base 64 디코딩을 한번 해보자
Base 64로 디코딩 하니 40바이트의 해쉬값이 나왔다.
혹시나 해서 이 값을 인증해봐도 안된다 ㅋ
아마 이 해쉬값을 풀으라는 것 같은데...!
일단 어떤 해쉬값인지를 먼저 알아야 할 필요가 있다.
일단 40바이트를 가지는 해쉬는 다음과 같다.
우리가 흔히 들었던 sha1 이란 해쉬값이 40바이트이고,
나머지는 이름도 못들어본(?) 해쉬들이다.
위의 값은 아마 대중적으로 쓰는 sha1 해쉬값일거같다.
확실히 sha1 이 맞는지 identify 해보자
hash-identifier 로 해쉬값을 검증해보아도,
sha-1 해쉬임을 알려준다.
그럼 이 sha1 해쉬값을 크랙해서 원래 문자를 알아와야하는데..
구글에 sha1 crack 이런식으로 검색을 해본다
필자는 hashkiller 라는 사이트를 찾아서 사용하였다.
아무튼 위에서 얻은 해쉬값을 크랙하면
하나의 해쉬값이 또 나오게 된다.
그리고 나온 해쉬값을 또 크랙하면 원래의 문자가 나오게 된다.
즉
(원래문자) -> sha1 -> sh1 -> base64
단계로 3번에 거쳐 포장해놓은 문자라고 보면 되겠다.
그래서 원래 낳온 문자를 로그인하게 되면 문제를 클리어할수있다.
'Security > Wargame' 카테고리의 다른 글
[Webhacking.kr] Challenge 6 (4) 2014.10.07 [Webhacking.kr] Challenge 5 (1) 2014.07.10 [Webhacking.kr] Challenge 3 (2) 2014.06.19 [Webhacking.kr] Challenge 2 (6) 2014.06.17 [Webhacking.kr] Challenge 1 (3) 2014.06.13 댓글