Web hacking 04

Notice

Recent Posts

Recent Comments

Link

관리 메뉴

GaGe

Web hacking 04 본문

SISS (2017-2018)/웹해킹(순서대로X)

Web hacking 04

Sorrel 2018. 4. 3. 15:12

Web hacking 04

일단 4번 문제의 페이지를 소스코드(f12)를 열어보았습니다.

근데 페이지 구성하는 디자인 뿐, 특별한 힌트나 주석 등은 보이지 않았습니다.

역시 주어진 힌트는 저 base64방식으로 암호화된 것으로 추정되는 문자열 뿐인가봅니다.

(이젠 base64로 암호화 된 것이라는 문자열이 조금씩 보이기 시작하는 것이 제 스스로 대견합니다.)

web hacking 사이트에서 제공하는 디코딩 기능을 활용하겠습니다.

창에 문자열을 넣고 <-base64를 눌러보겠습니다.

뭔가 있어보이는 문자열이 나왔습니다.

뭔가 이렇게 하는 게 맞는 것 같습니다.

한 번 더 눌러봤습니다.

아닌 것 같습니다.

URL로 디코딩, hex로 디코딩, asc 코드로도 디코딩 다 해봤는데 별로 힌트가 되거나

알아볼 수 있는 문자열이 나오지 않았습니다.

여기서 끝인가 하여 password 창에 넣어봤지만

역시 틀렸습니다.

이쯤으로 호락호락하게 넘어갈 웹해킹이 아닙니다.

대체

c4033bff94b567a190e33faa551f411caef444f2

이 내용을 어떻게 해야 되나 감이 안 잡혀서

그냥 냅다 구글에 쳐봤습니다.

SHA-1 reverse for 어쩌구 저쩌구가 맨 위에 뜹니다.

SHA-1 이 뭔지 찾아봤습니다.

SHA(Secure Hash Algorithm, 안전한 해시 알고리즘) 함수들은 서로 관련된 암호학적 해시 함수들의 모음이다.

SHA도 base64와 비슷한 암호학의 한 종류인가 봅니다.

일단 풀어보고 SHA에 대한 것은 밑에서 다시 정리하여 공부해보도록 합시다.

Reverse를 눌러봤습니다.

a94a8fe5ccb19ba61c4c0873d391e987982fbbd3

아래에 이렇게 reverse 되었다고 뜹니다.

한 번 더 해보겠습니다.

오 뭔가 password 같은 "test"라는 문자열이 나왔습니다.

password에 입력해보겠습니다.

문제가 풀렸습니다!

150점 획득!

<보충수업>

https://ko.wikipedia.org/wiki/SHA#SHA_함수군

SHA

종류로는 SHA-0, SHA-1, SHA-2등이 있다.

특성을 요약한 표이다.

SHA-0과 SHA-1는 특성이 같은데 뭐가 다른 걸까?

내가 한 것은 40개의 글자(40개*4bit=160bit)의 암호라 SHA-0이나 SHA-1의 알고리즘으로 reverse 한 것 같은데

흠.....

그래서 SHA-0와 SHA-1의 차이점을 찾아보았다.

SHA-1은 SHA-0의 압축 함수에 비트 회전 연산을 하나 추가한 것으로, NSA에 따르면 이는 원래 알고리즘에서 암호학적 보안을 감소시키는 문제점을 고친 것이라고 하지만 실제로 어떤 문제점이 있었는지는 공개하지 않았다. 일반적으로 SHA-1은 SHA-0보다 암호학적 공격이 힘든 것으로 알려져 있으며, 따라서 NSA의 주장은 어느 정도 설득력이 있다. SHA-0과 SHA-1은 최대 2⁶⁴비트의 메시지로부터 160비트의 해시값을 만들어 내며, 로널드 라이베스트가 MD4 및 MD5 해시 함수에서 사용했던 것과 비슷한 방법에 기초한다.