(νμ΅ λͺ©μ μΌλ‘ μμ±λμμ΅λλ€. μλͺ»λ λΆλΆμ΄ μλ€λ©΄ μ§μ ν΄μ£ΌμΈμ.)
4λ² λ¬Έμ λ‘ λ€μ΄κ° 보μ.
μ¬νν νλ©΄μ΄ λμ¨λ€.
μ΄λ‘μμ λ¬Έμμ΄μ λ± λ΄λ base64λ‘ μΈμ½λ©λ λ¬Έμμ΄μ²λΌ 보μΈλ€.
λ¬Έμμ΄μ base64λ‘ λλ €λ³΄κΈ° μ μ
μμ€μ½λλ₯Ό λ¨Όμ νμΈν΄ 보μ.
λ±ν λ³Ό κ²λ μκ³ ννΈκ° λ λ§νκ²λ μλ€.
λ©μΈ νλ©΄μΌλ‘ κ°μ ν¨μ€μλμ guestλ adminμ μ λ ₯ν΄λ³΄μ.
μλ¬΄λ° λ°μλ μλ€.
Sql Injection 곡격λ μλν΄λ΄€λλ° λκ°μ΄ μ무 λ°μμ΄ μλ€.
κ·ΈλΌ μ΄μ base64λ‘ μΈμ½λ©κ² κ°μ λ¬Έμμ΄μ λμ½λ© ν΄λ³΄μ.
( http://ostermiller.org/calc/encode.html )
λμ½λ© κ²°κ³Ό
μ΄λ κ² μμ‘°λ‘κ² λ³κ²½λμλ€.
νμ§λ§ μμ§ μ¬λμ΄ μμλ³Ό μ μλ λ¬Έμμ΄λ μλκ³ , λ΅ κ°μ§λ μμΌλ ν λ²λ λμ½λ© ν΄λ³΄μ.
μ΄λ μ¬μ΄νΈμμ μ무κ°λ μλμ€κ±°λ, λ€μκ³Ό κ°μ΄ κΉ¨μ§ κ°μ΄ λμ¨λ€.
μ¬κΈ°μ μ μ μκ°μ ν΄ λ³΄μλ€.
μ΄μνκ² μ²« λ²μ§Έλ λμ½λ©μ΄ μ λμ΄μ λκ° ν΄λ λκ³ μλ λ¬Έμμ΄μ΄ λμλ€.
λ λ²μ§Έλ μ ν μμμΉ λͺ»ν μ°λ κΈ° κ°μ΄ λμλ€.
2λ²μ§Έ λ¬Έμμ΄μμ νλκ·Έ μ±μ μ ν΄λ³΄μλλ°, μ€ν¨λ€.
λΆλͺ ν λμ½λ©μ΄ λ λμ΄μΌ ν ν λ° μλμμΌλ, λ€λ₯Έ λ°©μμΌλ‘ ν λ² λ μΈμ½λ© μν¨ κ² κ°λ€.
μλ₯Ό λ€μ΄, Hexλ‘ μΈμ½λ© ν base64λ‘ μΈμ½λ©μ ν μ μλ€.
μ¬μ§μ 보μ.
1. μ΅μ°λ―Ό μ΄λΌλ λ¬Έμμ΄μ Hexλ‘ μΈμ½λ©
μΈμ½λ© λ λ¬Έμλ₯Ό λ§€λ² λ³΄λ μ¬λλ€μ λ¨λ²μ hexλ‘ λμꡬλ λΌκ³ μ μκ° μκΈ° λλ¬Έμ
보μμ ?μΌλ‘ λ€λ₯Έ μΈμ½λ© λ°©μμΌλ‘ ν λ²λ μΈμ½λ© ν΄μ€λ€.
μ΄λ²μ μ κ°μ base64λ‘ μΈμ½λ© ν΄λ³΄μ.
3. Hexκ°μ Base64λ‘ μ¬ μΈμ½λ©
μ΄λ κ² λ΄κ° μνλ λ¬Έμμ΄μ λ€μν Encode λ°©μμΌλ‘ μ¨κΈΈ μ μλ€.
4λ² λ¬Έμ λ λκ°λ΄λ base64λ‘ μΈμ½λ©λ λ¬Έμμ΄μ ν λ²μ ν μ μλλ‘ νκΈ° μν΄
λ€λ₯Έ μΈμ½λ© λ°©μμ νμ©ν κ² κ°λ€.
λ€μ λ¬Έμ λ‘ λμκ°μ 2λ²μ§Έ λ¬Έμμ΄μ κ°μ§κ³ μ¬λ¬κ°μ§ λμ½λ© μ¬μ΄νΈλ₯Ό λλ©΄μ λμ½λ©μ ν΄ λ³΄μλ€.
SHA-1 νμμΌλ‘ λμ½λ© νμ λ μλ‘μ΄ λ¬Έμμ΄μ΄ λνλ¬λ€.
(
https://www.hashkiller.co.uk/sha1-decrypter.aspx
)
SHAλ?
β» Secure Hash Algorithm, μμ ν ν΄μ μκ³ λ¦¬μ¦ μ λλ€.(μν€λ°±κ³Ό μ°Έμ‘°)
νμ¬λ shaμ μ·¨μ½μ μ΄ λ°κ²¬λμ΄ λμ΄μ μ¬μ©μ κΆκ³ νμ§ μλλ€κ³ ν©λλ€.
β» sha-1μ κΈΈμ΄λ 16λΉνΈλ‘ λ 40μ리λΌκ³ ν©λλ€.
μΌμͺ½ λ¬Έμμ΄μ SHA1 νμμΌλ‘ λμ½λ© λ κ²°κ³Ό μ΄λ‘ λ¬Έμ₯μΌλ‘ λ λ¬Έμμ΄μ΄ λμλ€.
μ΄κ²μΌλ‘ SHA1λ‘ μΈμ½λ© λ λ¬Έμμ΄μ΄λ κ²μ μμλ€.
νμ§λ§, μμ§λ μΈμ½λ©λ κ²μ²λΌ 보μ΄λ λ¬Έμμ΄μ΄ λμμΌλ―λ‘ ν λ²λ μλν΄λ³΄μ.
μ΄λ κ² λμ½λ©μ΄ μλ£λμ΄ test λΌλ λ¬Έμ₯μ΄ λμλ€.
λ¬Έμ μ μΆμλ testλΌλ νλ¬Έμ κ°μ§κ³ sha1 λ°©μμ 2λ² κ±°μ³ λ§μ§λ§μΌλ‘ base64λ‘ μΈμ½λ©νλ€λ κ²μ μ μ μλ€.
μ΄ κ°μΌλ‘ passwordμ λ£κ³ μ μ‘ν΄λ³΄λ μΆννλ€λ alertμ°½μ΄ λ΄λ€.
'π³ WarGame > π webhacking.kr' μΉ΄ν κ³ λ¦¬μ λ€λ₯Έ κΈ
[webhacking.kr] 5λ² λ¬Έμ (0) | 2017.09.24 |
---|---|
[webhacking.kr] 3λ² λ¬Έμ (0) | 2017.09.10 |
[webhacking.kr] 2λ² λ¬Έμ (0) | 2017.09.02 |
[webhacking.kr] 1λ² λ¬Έμ (0) | 2017.08.27 |
[webhacking.kr] νμκ°μ (0) | 2017.08.26 |