skid

다음과 같은 창이 나와 눌러보았다.

다음과 같이 코드가 나왔다.

이것을 해석해 보면 먼저 get방식으로 받은 id변수값이 admin인지 검사하여 참이면 no!를 출력한 후 종료되게 한다. - (1

그리고 id변수값을 urldecode를 해 주어 id변수에 다시 저장한다.

urlencode란 url을 통해 데이터를 전송하고자 할 때 인코딩을 해야 하는 경우에 사용된다. urlencode()함수는 인자로 전달받은 문자열 데이터를 16진수 ASCII코드로 변환하고 그 앞에 %기호를 붙인 형식으로 인코딩하여 반환한다.

그 값이 "admin"과 같으면 문제가 해결된다.

이 문제를 풀기 위해서는 admin을 urlencode 해 놓는다면 (1 에 걸리지 않고 $_GET[id] 값이 admin이 되어 문제가 풀린다.

다음 표에 맞춰서 url인코딩을 하였다.

admin -> %61%64%6d%69%6e

이때 주의해야 할 점은 url에 인코딩 된 값을 적어 넣을 때 웹브라우저에서 한 번 디코딩 된 상태로 인식되므로 두 번 인코딩 해 주어야 문제가 풀린다.

admin -> %61%64%6d%69%6e -> %2561%2564%256d%2569%256e

다음과 같이 문제가 풀렸다.

이미 문제를 풀어 다음과 같이 나와 있지만 원래

ID : guest

PW : 123qwe

였다.

index.phps를 눌러 보자.

첫 php문에서는, guest와 123qwe를 $val_id 변수와 $val_pw 변수에 넣었다.

그리고 base64로 20번 encode한 후 다시 변수에 저장하였다.

그 후 변수에 저장된 문자들을 다음과 같이 치환하였다.

그 값을 쿠키에 저장하고 첫 php문이 끝나게 된다.

2번째 php문에서는 첫번째 php문에서 수행한 코드를 반대로 수행하게 된다.

쿠키의 값을 변수에 담아 첫번째 php에서 치환한 것과 반대로 치환한 후 base64로 20번 디코딩하였다.

그 값이 admin이면 문제가 해결된다.

이 문제를 풀기 위해 쿠키에 저장되어 있는 값을 guest가 아닌 admin으로 변조해 주어야 한다.

그러기 위해서는 첫 번째 php문에서 $val_id, $val_pw에 들어간 문자열이 admin이라고 생각한 후 그곳에서 실행된 코드를 수행한 결과값을 쿠키에 저장해야 한다.

먼저 admin을 base64로 20번 인코딩 했다.

그리고 나온 값을 문자열 치환해 주기 위해 c언어로 스크립트를 작성하였다.

다음 코드로 문자열 치환한 결과값을 쿠키에 넣어주었다.

그 결과 다음과 같이 문제가 풀렸다.

다음과 같은 창이 나왔다. 코드를 살펴보자.

다음 코드에서, 우리가 눈여겨 보아야 할 부분은 javascript로 쓰여진 function문이다.

function 문을 해석해 보면 현 페이지의 url을 변수에 저장한 후 ".kr"의 인덱스 값을 ul변수에 넣어, 30을 곱한다.

그리고 그 값과 입력한 값이 일치한다면 Password를 출력하는 형식인데, Password는 ul변수와 우리가 입력한 값의 곱인 것을 알 수 있다.

그렇다면, 일단 ul변수 값에 들어간 값이 몇인지 알아보자.

크롬의 개발자 도구 콘솔창을 사용한다면 변수 값을 쉽게 사용할 수 있다.

변수 ul에 510이 들어가 있는 것을 볼 수 있다.

따라서 password는 260100일 것이다.

문제가 풀린 것을 볼 수 있다.