Webhacking.kr Challenge 42 풀이.
첫 화면이다.
download 버튼이 2개가 있다.
test.txt의 다운로드를 눌렀다.
test.zip의 다운로드를 눌렀다.
일단 페이지 소스를 본다.
일단 주석 처리된 부분을 보면 test.zip 패스워드는 숫자로만 되어 있다.
test.zip을 받아야 된다.
원래 처음 본 화면으로 들어가서 F12를 누른다.
test.txt download 링크는 하이퍼 링크인 주소다.
test.zip의 download 링크는 접근 거부[=Access Denied]이 뜨는 하이퍼 링크 주소다.
txt에 있던 dGVzdC50eHQ= 는 뭘까?
대,소문자 숫자가 있는 것으로 봐서는 인코딩된 문구라고 생각한다.
= <- 이전 문제에도 풀었지만 base64로 인코딩 된 것을 알 수 있다.
일단 base64로 디코딩 해본다.
디코딩을 해보니 test.txt가 나온다.
즉 down 값에 파일 이름을 base64로 인코딩한 값을 넣으면, 그 파일의 주소로 이동하게 된다.
일단 test.zip의 주소로 이동해야 하므로, test.zip을 인코딩해서 down에 넣는다.
dGVzdC56aXA=란 값이 나왔다.
일단 down에 넣어본다.
cf) 변수에 값을 넣을 때는 주소 뒤에 ?를 붙이고 넣어야 한다.
주소를 치니 test.zip이 다운되는 것을 알 수 있다.
zip 파일을 보니 readme.txt가 있다.
암호를 입력하라고 한다. 일단 아까 소스 창에 적힌 것을 보면 암호는 무조건 숫자로만 되어 있다.
근데 암호가 뭔지를 도통 알 수가 없다.
일단 zip 파일의 암호를 풀어주는 프로그램인 azpr 프로그램을 써보겠다.
Zip-file 부분에 아까 다운 받은 test.zip을 넣어주고 비번은 오로지 숫자이므로 all digits 체크해주고 start 버튼을 누르면 된다.
일단 화면에 Current password: 852라고 나와 있다. 저게 진짜 Password.
참고로 Total Passwords는 password를 찾기 위해 대입한 숫자.
test.zip에 있는 readme.txt에 password를 넣어본다.
저 주소를 그대로 입력해본다.
드디어 password가 구해졌다.
인증(=Auth)을 해본다.
Cf) 암호 풀어야 될 때 당황만 안 하면 된다.
'# Related site issues > WEBHACKING.KR' 카테고리의 다른 글
| Webhacking.kr Challenge 11. (0) | 2018.05.12 |
|---|---|
| Webhacking.kr Challenge 47. (0) | 2018.05.11 |
| Webhacking.kr Challenge 12. (0) | 2018.05.06 |
| Webhacking.kr Challenge 23. (0) | 2018.05.04 |
| Webhacking.kr Challenge 1. (0) | 2018.05.04 |
