반응형
문제분석 & 풀이
코드와 계정이 주어진다.
코드를 분석하면 인코딩 , 디코딩 2가지로 나뉜다.
<?php
include "../../config.php";
if($_GET['view_source']) view_source();
if(!$_COOKIE['user']){
$val_id="guest";
$val_pw="123qwe";
for($i=0;$i<20;$i++){
$val_id=base64_encode($val_id);
$val_pw=base64_encode($val_pw);
}
$val_id=str_replace("1","!",$val_id);
$val_id=str_replace("2","@",$val_id);
$val_id=str_replace("3","$",$val_id);
$val_id=str_replace("4","^",$val_id);
$val_id=str_replace("5","&",$val_id);
$val_id=str_replace("6","*",$val_id);
$val_id=str_replace("7","(",$val_id);
$val_id=str_replace("8",")",$val_id);
$val_pw=str_replace("1","!",$val_pw);
$val_pw=str_replace("2","@",$val_pw);
$val_pw=str_replace("3","$",$val_pw);
$val_pw=str_replace("4","^",$val_pw);
$val_pw=str_replace("5","&",$val_pw);
$val_pw=str_replace("6","*",$val_pw);
$val_pw=str_replace("7","(",$val_pw);
$val_pw=str_replace("8",")",$val_pw);
Setcookie("user",$val_id,time()+86400,"/challenge/web-06/");
Setcookie("password",$val_pw,time()+86400,"/challenge/web-06/");
echo("<meta http-equiv=refresh content=0>");
exit;
}인코딩 부분은 "user" 라는 쿠키가 없는 경우 id='guest', pw='123qwe'를 각각 base64 인코딩을 20번 한 후, 그 값들을 replace를 이용하여 여러번의 치환과정을 거치고 각각 "user" , "password" 라는 쿠키에 넣고 있다.
<?php
$decode_id=$_COOKIE['user'];
$decode_pw=$_COOKIE['password'];
$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);
$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);
for($i=0;$i<20;$i++){
$decode_id=base64_decode($decode_id);
$decode_pw=base64_decode($decode_pw);
}
echo("<hr><a href=./?view_source=1 style=color:yellow;>view-source</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>");
if($decode_id=="admin" && $decode_pw=="nimda"){
solve(6);
}
디코딩은 인코딩과 반대로 "user" , "password" 쿠키의 값을 가져와 인코딩과 반대로 replace를 이용하여 여러번의 치환을 반대과정으로 먼저한 후 base64 디코딩을 20번 하여 디코딩된 id, pw 를 화면에 출력하고 있다.
마지막 코드를 보면
id=='admin'
pw='nimda'이면 문제가 해결된다.
admin 계정으로 로그인해야하는 상황인데, 인코딩 부분은 "user" 쿠키에 값이 없을 경우에 인코딩 과정 수행한다.
만약, [admin의 id,pw의 인코딩 결과]를 미리 "user" , "password" 쿠키에 저장한다면?
저장하고 새로고침을 하면 서버에서 "user" 쿠키에는 이미 값이 있는 상황이므로 인코딩 과정은 하지 않고 디코딩 과정만 수행한다.
즉, admin으로 디코딩되고 로그인이 될 것이다.
그렇다면, admin의 id,pw 값(admin, nimda)을 인코딩 부분의 알고리즘 대로 인코딩해서 값을 구해보자.
결과를 쿠키에 저장하고 새로고침 해보자.
반응형
