▼ Challenge 42는 다음과 같습니다.
test.txt의 download를 눌러보면 다운로드는 되지 않고 그냥 다른 페이지가 보입니다.
test.zip download를 눌러보면 "Access Dined" 알림창이 뜹니다.
▼ 다음과 같이 소스코드에 해결책이 나와 있습니다.
test.txt의 download를 누르면 "?down=dGVzdC50eHQ="로 이동하게 링크가 걸려있습니다.
"dGVzdC50eHQ="는 Base64로 인코딩된 값이고 디코딩하면 "test.txt"라는 문자가 나옵니다.
이것을 이용하여 "test.zip" 문자를 Base64 인코딩하면 "dGVzdC56aXA=" 값이 나오고
해당 Javascript를 지우고 <a href="?down=dGVzdC56aXA="를 입력하면 test.zip 파일을 다운로드 받으실 수 있습니다.
하지만 test.zip 파일은 암호화가 걸려 있습니다.
zip 파일 Crack은 많이 알려져 있죠?
▼ 여러가지 Tool이 있겠지만, 저는 다음과 같이 Kali Linux를 이용하여 Cracking 하였습니다.
'WarGame > webhacking.kr' 카테고리의 다른 글
| [webhacking.kr] Challenge 61 :: SQL Injection (alias) (0) | 2015.11.22 |
|---|---|
| [webhacking.kr] Challenge 59 :: SQL Injection (reverse함수) (0) | 2015.11.21 |
| [webhacking.kr] Challenge 36 :: swp 파일 (0) | 2015.11.20 |
| [webhacking.kr] Challenge 52 : Header Injection (0) | 2015.11.20 |
| [webhacking.kr] Challenge 23 :: XSS (0) | 2015.11.20 |
