[Webhacking.kr] Challenge 6

Security/Wargame

[Webhacking.kr] Challenge 6

rootnix 2014. 10. 7. 00:33

안녕하세요.

오늘은 Webhacking.kr 의 6번 문제 풀이를 작성해보도록하겠습니다.

6번 문제에 접속하시면 다음과 같은 화면을 보게됩니다.

ID: guest

PW: 123qwe

라는 내용을 보게 되고,

Hint 는 base64 라고 주어졌습니다.

일단 소스를 한번 보도록 하죠

index.phps 로 들어갑니다.

<?php
if(!$_COOKIE[user])
{
 $val_id="guest";
 $val_pw="123qwe";

for($i=0;$i<20;$i++)
 {
 $val_id=base64_encode($val_id);
 $val_pw=base64_encode($val_pw);
 }

$val_id=str_replace("1","!",$val_id);
    $val_id=str_replace("2","@",$val_id);
    $val_id=str_replace("3","$",$val_id);
    $val_id=str_replace("4","^",$val_id);
    $val_id=str_replace("5","&",$val_id);
    $val_id=str_replace("6","*",$val_id);
    $val_id=str_replace("7","(",$val_id);
    $val_id=str_replace("8",")",$val_id);

$val_pw=str_replace("1","!",$val_pw);
    $val_pw=str_replace("2","@",$val_pw);
    $val_pw=str_replace("3","$",$val_pw);
    $val_pw=str_replace("4","^",$val_pw);
    $val_pw=str_replace("5","&",$val_pw);
    $val_pw=str_replace("6","*",$val_pw);
    $val_pw=str_replace("7","(",$val_pw);
    $val_pw=str_replace("8",")",$val_pw);

Setcookie("user",$val_id);
    Setcookie("password",$val_pw);

echo("<meta http-equiv=refresh content=0>");
}
?>

<head>
<title>Challenge 6</title>

<?
$decode_id=$_COOKIE[user];
$decode_pw=$_COOKIE[password];

$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);

$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);

for($i=0;$i<20;$i++)
{
 $decode_id=base64_decode($decode_id);
 $decode_pw=base64_decode($decode_pw);
}
echo("  HINT : base64  <hr><a href=index.phps style=color:yellow;>index.phps</a> ");
echo("ID : $decode_id PW : $decode_pw<hr>");

if($decode_id=="admin" && $decode_pw=="admin")
{
    @solve(6,100);
}
?>

위와 같은 소스를 보게 됩니다.

소스를 분석해 보도록하죠

쿠키값이 없을 경우

id는 guest

pw는 123qwe

로 선언 후

각 값을 가지고 base64 Encode를 20번 합니다.

그리고 나온 결과값에서

1 -> !

2 -> @

3 -> $

4 -> ^

5 -> &

6 -> *

7 -> (

8 -> )

로 치환을 하게 됩니다.

그리고 치환된 값을

user에 id를 password에 pw를 넣어주고 새로고침을 시킵니다.

그럼 문제를 클리어하려면 어떤 조건이 필요한지 마지막 쪽을 보시면

if($decode_id=='admin' && $decode_pw=='admin')

이고, 위에부터 보면 쿠키값을 읽어와

위에서 치환했던 것들을 반대로 치환후 base64 Decode 를 20번 해줍니다.

즉 원래 문자열로 원복하는거죠.

그래서 나온 원본문자열이 admin 이면 문제를 해결할 수 있습니다.

즉 우리가 이 문제를 해결하려면

위에서 처음 id,pw 를 인코딩/치환 한것처럼

admin 이라는 문자열을 20번 인코딩/치환 한 후

쿠키값을 변조해주시면 문제를 해결할 수 있는 겁니다.

해당 인코딩/치환, 치환/디코딩 을 구현한 파이썬 스크립트를 첨부합니다.

webhackingkr_6.py

저작자표시