[webhacking.kr] 5번 문제

(학습 목적으로 작성되었습니다. 잘못된 부분이 있다면 지적해주세요.)

 

5번 문제로 들어가 보자.

 

다음과 같은 화면이 보인다.

 

 

로그인 부분과 회원가입 부분으로 분류되어있다.

 

먼저 로그인을 클릭하여 들어가보면 다음과 같은 화면이 나온다.

 

 

id부분과 pw부분에 admin/admin으로 로그인 시도를 해 보았다.

 

 

패스워드가 맞지 않다는 출력결과를 볼 수 있다.

 

 

id는 맞으나, 패스워드가 틀린 것을 알 수 있다.

 

id가 실제로 admin인지 테스트하기 위해 admin2/admin으로 접속 시도해 보았다.

 

 

id가 틀렸다는 문구가 출력됨으로써 id는 admin이다.

 

 

패스워드는 현재 모르는 상황이니, 회원가입을 페이지에 접속해보자.

 

 

join 버튼을 눌러보자.

 

 

접근이 허가되지 않았다고 한다.

 

소스보기를 통해 확인해본 결과 다음과 같다.

 

 

no() 함수가 실행됨으로써 alert창이 실행된다.

 

여기서 move(page) 함수를 자세히 들여다 보면

 

location.href 경로가 mem 디렉토리 밑에 login.php로 이동된다는 소스가 있다.

 

 

이런식으로 경로가 노출되어 있으면 join으로 가기 위한 경로를 추측을 해 볼 수있다.

 

필자가 추측한 경로는

 

mem/register.php

mem/join.php

 

두 가지 이다.

 

첫 번째 mem/register.php는 페이지가 없다고 한다.

두 번째 mem/join.php는 성공적으로 회원가입 페이지에 접속됐다.

 

위와같이 추측하여 성공적으로 접속했지만, 경로를 잘 보면 디렉토리가 mem이란 것을 알 수 있다.

 

이것 또한 디렉토리까지의 경로로 접속 시도해볼 만하다.

 

다음과 같이 경로를 입력해주었다.

 

 

mem으로 접속 시도하였더니 mem디렉토리에 있는 파일들이 무엇이 있는지 확인 가능하다.

 

이러한 것을 '디렉토리 리스팅'이라고 한다.

(다른 용어도 존재한다.)

 

 

join 페이지를 추측하여 쉽게 접속하였지만, 아무것도 표시되어있지 않다.

 

소스보기를 통해 확인해 본 결과 다음과 같이 javascript 난독화된 소스를 볼 수 있다.

 

사용자들 입장에서 사이트의 소스보기를 통해 확인해 보면 javascript 코드가 어떻게 짜여져 있는지 모두 확인 가능하다.

 

이러한 점을 보완하기 위해 javascript 난독화가 탄생?되었다.

 

l이 하나일 경우 'a'라는 문자라는 뜻이고,

l이 두 개일 경우 'b'라는 문자라는 뜻이다.

 

이런식으로 하나하나 복호화하여 조합해본다면 답이 나오지만, 시간이 오래 걸린다.

 

javascript 난독화를 복호화해줄 사이트가 많이 때문에 필자는 사이트를 이용해 복호화시켜 보았다.

 

 

<html>
<title>Challenge 5</title>
</head>
 
<body bgcolor=black>
    <center>
        <script>
            l = 'a';
            ll = 'b';
            lll = 'c';
            llll = 'd';
            lllll = 'e';
            llllll = 'f';
            lllllll = 'g';
            llllllll = 'h';
            lllllllll = 'i';
            llllllllll = 'j';
            lllllllllll = 'k';
            llllllllllll = 'l';
            lllllllllllll = 'm';
            llllllllllllll = 'n';
            lllllllllllllll = 'o';
            llllllllllllllll = 'p';
            lllllllllllllllll = 'q';
            llllllllllllllllll = 'r';
            lllllllllllllllllll = 's';
            llllllllllllllllllll = 't';
            lllllllllllllllllllll = 'u';
            llllllllllllllllllllll = 'v';
            lllllllllllllllllllllll = 'w';
            llllllllllllllllllllllll = 'x';
            lllllllllllllllllllllllll = 'y';
            llllllllllllllllllllllllll = 'z';
            I = '1';
            II = '2';
            III = '3';
            IIII = '4';
            IIIII = '5';
            IIIIII = '6';
            IIIIIII = '7';
            IIIIIIII = '8';
            IIIIIIIII = '9';
            IIIIIIIIII = '0';
            li = '.';
            ii = '<';
            iii = '>';
            lIllIllIllIllIllIllIllIllIllIl = lllllllllllllll + llllllllllll + llll + llllllllllllllllllllllllll + lllllllllllllll + lllllllllllll + ll + lllllllll + lllll;
            lIIIIIIIIIIIIIIIIIIl = llll + lllllllllllllll + lll + lllllllllllllllllllll + lllllllllllll + lllll + llllllllllllll + llllllllllllllllllll + li + lll + lllllllllllllll + lllllllllllllll + lllllllllll + lllllllll + lllll;
            if (eval(lIIIIIIIIIIIIIIIIIIl).indexOf(lIllIllIllIllIllIllIllIllIllIl) == -1) {
                bye;
            }
            if (eval(llll + lllllllllllllll + lll + lllllllllllllllllllll + lllllllllllll + lllll + llllllllllllll + llllllllllllllllllll + li + 'U' + 'R' + 'L').indexOf(lllllllllllll + lllllllllllllll + llll + lllll + '=' + I) == -1) {
                alert('access_denied');
                history.go(-1);
            } else {
                document.write('<font size=2 color=white>Join</font><p>');
                document.write('.<p>.<p>.<p>.<p>.<p>');
                document.write('<form method=post action=' + llllllllll + lllllllllllllll + lllllllll + llllllllllllll + li + llllllllllllllll + llllllll + llllllllllllllll +
                    '>');
                document.write('<table border=1><tr><td><font color=gray>id</font></td><td><input type=text name=' + lllllllll + llll + ' maxlength=5></td></tr>');
                document.write('<tr><td><font color=gray>pass</font></td><td><input type=text name=' + llllllllllllllll + lllllllllllllllllllllll + ' maxlength=10></td></tr>');
                document.write('<tr align=center><td colspan=2><input type=submit></td></tr></form></table>');
            }
        </script>
</body>
 
</html>

 

이렇게 복호화가 되어졌다.

 

나머지 태그부분의 변수들을 복사하여 검색하는 방식으로 하나하나 대입해보았다.

 

if (eval(document.cookie).indexOf(oldzombie) == -1) {
                bye;
            }
            if (eval(document.URL).indexOf(mode=1) == -1) {
                alert('access_denied');
                history.go(-1);
            } else {
                document.write('<font size=2 color=white>Join</font><p>');
                document.write('.<p>.<p>.<p>.<p>.<p>');
                document.write('<form method=post action=join.php>
                    '>');
                document.write('<table border=1><tr><td><font color=gray>id</font></td><td><input type=text name=id maxlength=5></td></tr>');
                document.write('<tr><td><font color=gray>pass</font></td><td><input type=text name=pw maxlength=10></td></tr>');
                document.write('<tr align=center><td colspan=2><input type=submit></td></tr></form></table>');
            }

 

 

복호화가 완료되었으니 해석해보자.

 

1. cookie 값이 oldzombie가 없으면 bye된다.

 

2. URL에 mode=1이 없으면 alert창이 출력되고 페이지 뒤로가기가 된다.

 

 

첫 번째로 쿠키를 oldzombie로 바꿔보자.

 

쿠키 조작후 join을 들어가보았지만 접근 거부되어있고

 

join페이지 조차 들어가지지 않는다.

 

 

그렇다면

두 번째 조건으로 mode=1로 맞춰보자.

 

 

위와 같이 mem/join.php?mode=1 로 대입후 접속한 결과 Join페이지가 떴다.

 

id = admin

pw = admin

으로 회원가입을 해보았으나 이미 존재하다고 뜬다.

 

 

다시 위의 소스를 확인해보자.

 

name=id maxlength=5

name=pw maxlength=10

 

id의 경우 최대길이가 5이면서

pw의 경우 최대길이가 10이라고 제한되어있다.

 

id 부분의 최대길이를 조작해보자.

 

필자는 크롬의 개발자도구를 이용하여 max값을 15로 지정한 후

 

id = admin%20

pw = admin

으로 회원가입에 성공하였다.

 

여기서 %20이란 공백으로 쓰여진다.

 

이 부분은 구글을 참고했다.

 

다시 로그인 페이지로 돌아와서 admin으로 로그인 해보면 로그인 성공이다.