1. 공격 유형 : 파라메터 변조, 역공학
2. 취약점 환경 : View Source의 PHP 코드를 역공학하여 인증값 입력
3. Write Up
ㅇ 코드 해석
- $val_id, $val_pw 값을 각각 guest, 123qwe로 선언한 뒤 base64_encode 함수를 이용해 20번 인코딩
- 인코딩된 $val_id, $val_pw 각각의 변수를 str_replace 함수로 난독화 수행
- 난독화한 변수를 Setcookie를 이용하여 user, password에 입력함
- $decode_id, $decode_pw 변수에 난독화한 user, password값 선언 후 str_replace 함수로 복호화 수행
- 복호화된 $decode_id, $decode_pw 변수를 base64_decode 함수를 이용하여 20번 디코딩
- $decode_id, $decode_pw가 각각 admin, nimda라면 solve(6) 수행
ㅇ 공격 시도
'2. Information Security > 3. War Game' 카테고리의 다른 글
| 웹해킹 10번 (webhacking.kr old 10) (0) | 2019.11.01 |
|---|---|
| 웹해킹 9번 (webhacking.kr old 9) (0) | 2019.10.30 |
| 웹해킹 8번 (webhacking old 8) (0) | 2019.10.20 |
| 웹해킹 1번 (webhacking old 1) (0) | 2019.10.20 |
| 웹해킹 7번 (webhacking old 7) (0) | 2019.10.20 |
댓글