Webhacking.kr 42번 문제 풀이

1. 42번 메인 화면

2. 소스.

- 2가지 볼게 있습니다. 하나는 주석처리로 된 test.zip 패스워드 파일은 오직 숫자! 이 말은 즉, zip을 다운 받아서 암호를 풀라는 거네요. 전형적인 brute force 문제입니다. 하나더 볼 것은 <a href 부분인데, test.txt를 누르면 test.txt 안의 문자열 test~~라는 문자열이 출력됩니다. 하지만 밑에 test.zip의 하이퍼링크를 눌러보면 거부라는 내용의 alert 창이 뜨네요.

3. 일단 test.txt의 ?down= 부분의 dGVzdC50eHQ= 가 뭔가 해서 봤더니 base64로 인코딩 했다고 생각해서 디코딩을 해봤습니다. test.txt가 나오네요. 이 것을 응용해서 test.zip을 base64 인코딩 해서 ?down=~~~ 넣어주면 되겠다고 생각 했습니다.

4. dGVzdC50eHQ= 를 base64 디코딩한 모습

5. test.zip을 인코딩한 모습

6. test.zip을 인코딩 한 문자를 test.txt 하이퍼링크 부분같이 고대로 적어주고, 뒤로 돌아와서 zip을 다운로드 해봅니다.

7. test.zip이 다운로드 되었습니다.

8. 암호가 되어있네요. 아까 힌트로 오직 숫자만 하라고 했으니, 빨리 암호를 찾을 수 있겠네요!

9. 저는 칼리리눅스에 있는 frackzip 툴로 이용해서 brute force 를 진행하였습니다. 

-b : brute force mode

-v : 자세한 정보 출력

-l : 글자 수 최소, 최대 글자

-u : 틀린 패스워드 출력 제외

-c : 문자 설정(오직 숫자라고 했으니 '1'을 입력합니다. 영어문자도 포함할 경우 aA 이런 식으로 -c와 쓰면 됩니다.)

쏴리질러! 풀렸네요. 

10. zip 파일 안의 readme.txt 파일 안에는 또다른 힌트가 있습니다. 들어가 보겠습니다.

11. 위의 주소창을 들어간 화면입니다.

12. Clear!