luvit

Webhacking.kr 6번 본문

Wargame/Webhacking.kr

Webhacking.kr 6번

HongJun Choi 2017.05.30 10:43

[그림 1] 6번 문제

 

6번 문제를 확인해보니 정보들이 꽤나 많다.


① 힌트는 base64.

② index.phps.

③ ID와 PW는 각각 guest, 123qwe


 

[그림 2] 소스 확인

 

index.phps로 들어가라고 유도했으니 먼저 확인해 보았다. 그림 2는 왼쪽에서 오른쪽으로 이어지는 소스이다. 초기 쿠키로 user와 password 변수를 주고 값은 val_id, val_pw를 각각 20번씩 base64 인코딩한 값을 담고 있다. 그리고 문제가 풀어지는 조건은 20번 디코딩한 user와 password의 쿠키 값이 admin이여야 한다는 것이다.

 

[그림 3] base64 인코딩 코드 작성

 

온라인 base64 인코딩 사이트를 이용해 20번씩이나 손수 돌리긴 귀찮으니까 간단한 base64 인코딩 코드를 작성해 보았다.

 

[그림 4] 쿠키 값 변조

 

그림 3에서 얻은 admin을 20번 인코딩 한 값을 EditThisCookie를 이용해 쿠키 값을 변조했다. user와 password 부분 둘 다 조건을 만족 해야 하니 둘 다 넣어주자.

 

[그림 5] 성공

 

쿠키 값을 변조하고 새로고침 해 보면 그림 5와 같이 level6 문제 풀이에 성공한 것을 볼 수 있다!

'Wargame > Webhacking.kr' 카테고리의 다른 글

Webhacking.kr 16번  (0) 2017.05.31
Webhacking.kr 15번  (0) 2017.05.31
Webhacking.kr 6번  (0) 2017.05.30
Webhacking.kr 4번  (0) 2017.05.30
Webhacking.kr 1번  (0) 2017.05.29
Webhacking.kr 로그인  (0) 2017.05.29
0 Comments
댓글쓰기 폼