KISA 해킹 방어 훈련장 문제에 대한 풀이입니다.
Web Level1 문제를 보면 아래와 같습니다.
제목 : 이것은 무엇에 쓰이는 것인고 ?
설명 : 해당 웹 사이트에 접속하여 사이트에 숨겨져
있는 값을 찾아 인증키를 추출해 보아라~
문제 풀기를 클릭하면 다음 사이트로 이동합니다.
여기저기 둘러 봐도 딱히 볼만한게 없어 보이네요.
뭔가 참고할 만한 내용이 있는지 각 페이지의 html소스를 살펴보다 보니 뭔가 수상한 내용이 보입니다.
product_details.html파일 입니다.
속성이 'hidden'으로 된 'authkey'라는 이름의 값이 보이는군요.
딱 봐도 뭔가 난독화된 코드 같다는 느낌이 드네요.
난독화된 코드를 풀어보기 위해 적당한 사이트를 구글링을 해서 찾아봅시다.
저는 아래 사이트를 이용했습니다.
value에 해당하는 내용을 복사한 다음 윗쪽 입력 창에 붙여넣고 'obfuscate'버튼을 눌러봅시다.
원래는 난독화를 시키기 위한 기능 같은데.. 어쨌든 하단 창에 복호화된 코드 내용이 출력됩니다.
이제 이 내용을 실행시켜보면 됩니다.
실행 시키는 방법은 많겠지만.. 따로 파일을 만드는게 귀찮으시다면 저처럼 w3schools사이트를 잘 활용 하시면 됩니다.
w3schools.com 사이트에 들어가셔서 아무 메뉴나 들어가 보면 'Try it yourself'라는 버튼이 보입니다.
소스를 입력하고 실행시키면 결과 화면을 보여주는 기능입니다.
아래와 같은 창이 뜨고 왼쪽편 입력 창에 디코드된 자바 스크립트 코드를 붙여넣고 'Submit Code' 버튼을 누르면..
짜잔~ 실행 결과가 팝업창으로 뜹니다.
스포일러를 할 순 없으니 키 값은 지웠습니다. ^^
'IT 생활 > 해킹' 카테고리의 다른 글
| [해킹/문제풀이] KISA 해킹방어 Network Lv1 - PCAP파일에서 IRC 통신 내용 분석 및 zip 파일 추출 (2) | 2013.09.27 |
|---|---|
| [해킹/ 문제풀이] KISA 해킹방어 Web Lv2 - XSS 필터링 우회 기법 (0) | 2013.09.23 |
| 파일 종류 별 매직 넘버 (magic number) (0) | 2013.09.16 |
| [해킹/문제풀이] KISA 해킹방어 System Lv2 - perl을 활용한 커맨드 입력 (5) | 2013.08.29 |
| [해킹/문제풀이] KISA 해킹방어 System Lv1 - 권한 획득 (2) | 2013.08.28 |
