728x90
[문제]
https://webhacking.kr/challenge/web-06/
https://webhacking.kr/challenge/web-06/
webhacking.kr
[문제 풀이]
<?php
include "../../config.php";
if($_GET['view_source']) view_source();
if(!$_COOKIE['user']){
$val_id="guest";
$val_pw="123qwe";
for($i=0;$i<20;$i++){
$val_id=base64_encode($val_id);
$val_pw=base64_encode($val_pw);
}
$val_id=str_replace("1","!",$val_id);
$val_id=str_replace("2","@",$val_id);
$val_id=str_replace("3","$",$val_id);
$val_id=str_replace("4","^",$val_id);
$val_id=str_replace("5","&",$val_id);
$val_id=str_replace("6","*",$val_id);
$val_id=str_replace("7","(",$val_id);
$val_id=str_replace("8",")",$val_id);
$val_pw=str_replace("1","!",$val_pw);
$val_pw=str_replace("2","@",$val_pw);
$val_pw=str_replace("3","$",$val_pw);
$val_pw=str_replace("4","^",$val_pw);
$val_pw=str_replace("5","&",$val_pw);
$val_pw=str_replace("6","*",$val_pw);
$val_pw=str_replace("7","(",$val_pw);
$val_pw=str_replace("8",")",$val_pw);
Setcookie("user",$val_id,time()+86400,"/challenge/web-06/");
Setcookie("password",$val_pw,time()+86400,"/challenge/web-06/");
echo("<meta http-equiv=refresh content=0>");
exit;
}
?>- 먼저 코드를 분석해 보면 크게 2가지로 나뉘어 있는데 첫 번째 부분은 쿠키를 설정하는 부분이다.
- 쿠키 user와 password가 설정되지 않은 경우 기본적으로 guest와 123qwe를 설정한다.
- base64_encode()를 20회 반복하여 값을 인코딩하고 str_replace()를 통해 일부 문자를 특수 문자로 변경하여 변조한다.
<?php
$decode_id=$_COOKIE['user'];
$decode_pw=$_COOKIE['password'];
$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);
$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);
for($i=0;$i<20;$i++){
$decode_id=base64_decode($decode_id);
$decode_pw=base64_decode($decode_pw);
}- 두 번째 부분은 쿠키 디코딩 부분으로 쿠키 user와 password 값을 읽어오고 이전에 인코딩 시 변환했던 특수 문자를 원래 문자로 되돌린다.
- 그다음. base64_decode()를 20회 반복하여 원래 값을 복구한다.
echo("<hr><a href=./?view_source=1 style=color:yellow;>view-source</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>");
if($decode_id=="admin" && $decode_pw=="nimda"){
solve(6);
}- 마지막으로 디코딩된 ID와 PW를 출력하여 화면에 표시하고 디코딩된 값이 ID가 admin, PW가 nimda일 경우 문제를 해결할 수 있다.
- 우선 코드를 분석한 결과 admin과 nimda를 20번 인코딩한 후 숫자를 특수문자로 치환해서 각각의 값을 쿠키로 설정하면 된다는 것을 알게 되었습니다.
import base64
def encode_and_replace(value, iterations=20):
# Base64 Encoding 20번 반복
for _ in range(iterations):
value = base64.b64encode(value.encode()).decode()
# 특정 문자 치환
replacements = {
"1": "!",
"2": "@",
"3": "$",
"4": "^",
"5": "&",
"6": "*",
"7": "(",
"8": ")"
}
for original, replacement in replacements.items():
value = value.replace(original, replacement)
return value
# 초기 값
id_value = "admin"
pw_value = "nimda"
# 인코딩 및 치환 수행
encoded_id = encode_and_replace(id_value)
encoded_pw = encode_and_replace(pw_value)
# 결과 출력
print("Encoded and Replaced ID:", encoded_id)
print("Encoded and Replaced Password:", encoded_pw)- 먼저, 입력 문자열을 20번 Base64로 인코딩하고, 문자 치환까지 수행하는 파이썬 코드를 짠 다음 나온 결과를 각각 쿠키 값이 입력해 주었습니다.
- 값을 설정해 주고 새로고침을 하니 ID랑 PW가 제 의도대로 바뀌었고 문제를 해결할 수 있었습니다.
