휴대폰의 분실과 노트북의 용량 부족으로 인해 일시적으로 안드로이드와 머신러닝 공부가 지연되어서
심심한 관계로 워게임이나 풀어서 포스팅해보자는 명목으로 webhacking.kr을 풀기 시작하였다.
웹해킹을 시작하기에 앞서 로그인해야 하는데, 이게 무슨일인가 로그인 항목외에 회원가입을 찾아볼 수 없다.
한번 웹 페이지의 소스를 분석해 보자.
중간에 보면 주석 처리된 Register 라는 항목이 보인다.
소스코드를 조금 살펴보자.
<!--
Register
===========================================
<input type=button value='Register' onclick=location.href='join/includ2_join__frm__0001.php?mode=def71697e676149c7db83fea899f1b48' style=width:50pt;height:20pt;border:0;background:black;color:lightgreen></td></tr>
===========================================
-->
회원 가입 버튼이 주석처리로 인해 비활성화 되어있는 것으로 확인된다.
그렇다면 크롬 개발자도구로 해당 버튼을 활성화 시켜보자.
해당 회원가입이 활성화 된것을 확인할 수 있다.
회원 가입 버튼을 클릭시
아이디 비밀번호 이메일 디코드미 라는 인풋 박스가 보인다.
아이디 비밀번호 이메일은 해당 사이트에 회원가입하기 위한 일반적인 정보로 생각되지만
decode me는 무엇을 의미하는가.
지금은 가려놓았지만
해당 문자열은 영문 대문자와 소문자가 혼합되며 마지막 단어가 ==로 끝난다.
직관적으로 보았을 때 해당 문자열은 암호화되어 있는 것으로 확인할 수 있다.
그리고 마지막이 == 로 끝나는 것은 Base64방식으로 인코딩 되어있는 것으로 예상된다.
그렇다면 해당사이트에 해당 문자열을 넣자.
정상적으로 해당문자열이 디코딩 되는 것을 확인할 수 있다.
이를 몇번 반복하면
회원가입하고자 하는 유저의 아이피 어드레스를 얻게 된다.
이를 입력하고 가입하게 되면
정상적으로 가입됨을 알수 있다.
한번로그인 해보자.
많은 유저들의 나눔의 장과 로그인 됨을 확인할 수 있다.
회원가입도 이렇게 도전적이라니 센스쩐다
'IT > 웹 해킹(Web Hacking)' 카테고리의 다른 글
| webhacking.kr [문제 6번] (0) | 2018.02.24 |
|---|---|
| webhacking.kr [문제 5번] (0) | 2018.02.23 |
| webhacking.kr [문제 4번] (0) | 2018.02.23 |
| webhacking.kr [문제 2번] (5) | 2018.01.28 |
| webhacking.kr [문제1번] (0) | 2018.01.27 |
