Challenge 6의 첫 화면으로, ID와 PW란에 각각 'guest', '123qwe' 값이 들어있다. view-source를 눌러보자.
코드는 크게 encoding 부분과 decoding 부분으로 나뉘어져 있다.
<?php
include "../../config.php";
if($_GET['view_source']) view_source();
if(!$_COOKIE['user']){ #user의 cookie값이 존재하지 않으면 if문을 수행한다
$val_id="guest"; #$var_id 변수에 "guest"를 저장한다
$val_pw="123qwe"; #$var_pw 변수에 "123qwe"를 저장한다
for($i=0;$i<20;$i++){ #20번 반복한다
$val_id=base64_encode($val_id); #$var_id값(guest)을 20번 base64 encoding한다
$val_pw=base64_encode($val_pw); #$var_pw값(123qwe)을 20번 base64 encoding한다
}
$val_id=str_replace("1","!",$val_id); #$val_id의 '1'을 '!'로 치환한다. 치환함수: str_replace()
$val_id=str_replace("2","@",$val_id);
$val_id=str_replace("3","$",$val_id);
$val_id=str_replace("4","^",$val_id);
$val_id=str_replace("5","&",$val_id);
$val_id=str_replace("6","*",$val_id);
$val_id=str_replace("7","(",$val_id);
$val_id=str_replace("8",")",$val_id);
$val_pw=str_replace("1","!",$val_pw);
$val_pw=str_replace("2","@",$val_pw);
$val_pw=str_replace("3","$",$val_pw);
$val_pw=str_replace("4","^",$val_pw);
$val_pw=str_replace("5","&",$val_pw);
$val_pw=str_replace("6","*",$val_pw);
$val_pw=str_replace("7","(",$val_pw);
$val_pw=str_replace("8",")",$val_pw);
Setcookie("user",$val_id,time()+86400,"/challenge/web-06/"); #$val_id값을 20번 base64 encoding 후, str_replace()함수로 치환한 값을 user 쿠키에 저장한다.
Setcookie("password",$val_pw,time()+86400,"/challenge/web-06/");
echo("<meta http-equiv=refresh content=0>");
exit;
}
?>
<html>
<head>
<title>Challenge 6</title>
<style type="text/css">
body { background:black; color:white; font-size:10pt; }
</style>
</head>
<body>
<?php
$decode_id=$_COOKIE['user']; #user 쿠키 값을 $decode_id 변수에 저장한다.
$decode_pw=$_COOKIE['password']; #password 쿠키 값을 $decode_pw 변수에 저장한다.
$decode_id=str_replace("!","1",$decode_id); #$decode_id값의 '!'를 '1'로 치환한다.
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);
$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);
for($i=0;$i<20;$i++){
$decode_id=base64_decode($decode_id); #$decode_id값을 20번 base64 decoding한다.
$decode_pw=base64_decode($decode_pw);
}
echo("<hr><a href=./?view_source=1 style=color:yellow;>view-source</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>"); #str_replace()함수 실행 후 20번 decoding된 값을 출력한다.
if($decode_id=="admin" && $decode_pw=="nimda"){ #$decode_id와 $decode_pw가 각각 "admin", "nimda"이면
solve(6); #문제가 풀린다!
}
?>
</body>
</html>
(1) 4번째 줄 if절로 인해, 첫 화면에 id와 pw값이 guest, 123qwe로 채워졌으며 그 쿠키 값은 20번 base64 encoding 후 치환한 값이다.
(2) id와 pw가 admin, nimda여야 문제가 풀리므로, 그 쿠키 값이 admin/nimda를 20번 encoding하고 str_replace() 치환한 값이면, decode하는 코드 부분의 치환-decoding을 거쳐 문제가 풀릴 것이다.
20번 encoding하는 파이썬 코드
from base64 import b64encode
data = b'nimda'
for i in range(20):
data = b64encode(data)
print(data)
이렇게 EditThisCookie 툴을 이용해서, user, password 각 쿠키에 값을 넣어주면
끝~!
'Wargame > webhacking.kr' 카테고리의 다른 글
| Challenge old 54 (100) (0) | 2019.10.13 |
|---|---|
| Challenge old 39 (100) (0) | 2019.10.08 |
| Challenge old 14 (100) (0) | 2019.10.01 |
| [미완] Challenge old 38 (100) (0) | 2019.10.01 |
| Challenge old 24 (100) (0) | 2019.09.29 |