티스토리 뷰
1. 42번 메인 화면
2. 소스.
- 2가지 볼게 있습니다. 하나는 주석처리로 된 test.zip 패스워드 파일은 오직 숫자! 이 말은 즉, zip을 다운 받아서 암호를 풀라는 거네요. 전형적인 brute force 문제입니다. 하나더 볼 것은 <a href 부분인데, test.txt를 누르면 test.txt 안의 문자열 test~~라는 문자열이 출력됩니다. 하지만 밑에 test.zip의 하이퍼링크를 눌러보면 거부라는 내용의 alert 창이 뜨네요.
3. 일단 test.txt의 ?down= 부분의 dGVzdC50eHQ= 가 뭔가 해서 봤더니 base64로 인코딩 했다고 생각해서 디코딩을 해봤습니다. test.txt가 나오네요. 이 것을 응용해서 test.zip을 base64 인코딩 해서 ?down=~~~ 넣어주면 되겠다고 생각 했습니다.
4. dGVzdC50eHQ= 를 base64 디코딩한 모습
5. test.zip을 인코딩한 모습
6. test.zip을 인코딩 한 문자를 test.txt 하이퍼링크 부분같이 고대로 적어주고, 뒤로 돌아와서 zip을 다운로드 해봅니다.
7. test.zip이 다운로드 되었습니다.
8. 암호가 되어있네요. 아까 힌트로 오직 숫자만 하라고 했으니, 빨리 암호를 찾을 수 있겠네요!
9. 저는 칼리리눅스에 있는 frackzip 툴로 이용해서 brute force 를 진행하였습니다.
-b : brute force mode
-v : 자세한 정보 출력
-l : 글자 수 최소, 최대 글자
-u : 틀린 패스워드 출력 제외
-c : 문자 설정(오직 숫자라고 했으니 '1'을 입력합니다. 영어문자도 포함할 경우 aA 이런 식으로 -c와 쓰면 됩니다.)
쏴리질러! 풀렸네요.
10. zip 파일 안의 readme.txt 파일 안에는 또다른 힌트가 있습니다. 들어가 보겠습니다.
11. 위의 주소창을 들어간 화면입니다.
12. Clear!
'Wargame > webhacking.kr' 카테고리의 다른 글
Webhacking.kr 32번 문제 풀이 (0) | 2015.07.04 |
---|---|
Webhacking.kr 5번 문제 풀이 (2) | 2015.07.03 |
Webhacking.kr 24번 문제 풀이 (0) | 2015.07.02 |
Webhacking.kr 38번 문제 풀이 (0) | 2015.06.30 |
Webhacking.kr 26번 문제 풀이 (0) | 2015.06.30 |
- Total
- Today
- Yesterday
- Cisco Talos
- infostealer
- MS-Office
- idapython
- 스피어피싱
- us-cert
- Static Analysis Engine
- Flybits
- CVE-2018-9375
- Bisonal
- 멋쟁이사자처럼 4기
- Servey
- 해킹메일
- 비트코인
- 악성코드
- 출처 : Do it 안드로이드 프로그래밍
- 한글악성코드
- Yara
- Decoding
- 위협정보공유
- Kimsuky
- koodous
- vuln
- CVE-2018-0798
- cuckoo-sandbox
- .wll
- AMSI
- keylogger
- VirusBulletin
- malware
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |