일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- Spring MVC
- 네트워크
- webhacking
- BOF
- hacking
- Lord of BOF
- 정보처리기사 실기
- OS
- Shell code
- 정보보안기사
- Buffer Overflow
- 운영체제
- stack overflow
- LOB
- 웹해킹
- Pwnable.kr
- Spring
- System
- 워게임
- pwnable
- webhacking.kr
- Spring Framework
- 해킹
- Operating System
- 정보보안기사 실기
- PWN
- SQL
- system hacking
- Payload
- wargame
- Today
- Total
DongDD's IT
[webhacking.kr] Level 58 본문
[webhacking.kr] Level 58
문제에 들어가면 다음과 같은 화면을 볼 수 있다. 오른쪽 클릭시 adobe flash player 설정에 관한 것이 나오기때문에 flash file인 것을 알 수 있었다. flash file을 보면 PW: 옆에 입력을 할 수 있게 되어있었고 아무거나 입력하고 Login을 눌렀을 때 "PW:" 옆에 "Wrong"이라는 message가 출력 되는 것을 볼 수 있었다. 올바른 Password를 입력하면 문제에 통과하게 되어있는 것 같다.
일단 page 코드를 살펴보았다. 별 다른 Hint같은 것은 없었고 flash file의 이름이 나와있었다. hackme.swf 라는 이름을 가진 swf파일이였다.
http://webhacking.kr/challenge/web/web-35/hackme.swf의 url을 이용해 swf파일을 받을 수 있었다. flash file 분석을 해본 적이 없어 어떤 방법이 있는지 찾아보다가 FFDEC(JPEXS Flash Decomplier)라는 flash decompiler를 알게 되었고 swf 파일을 분석하기 위해 이 프로그램을 이용했다.
Download link : https://www.free-decompiler.com/flash/download/
FFDEC을 다운로드받고 다운받은 hackme.swf 파일을 열어보았다. 오른쪽에는 flash file 어떻게 보여지는지 아까 웹페이지에서 봤던 화면이 표시되었다. 왼쪽에는 아마 해당 swf파일에 대한 정보들이 있는 것 같았다.
하나씩 눌러보면서 어떤 파일이 있는지 알아보았다.
header에는 size, version 등 해당 swf파일에 대한 기본적인 정보들이 담겨있었다. shape에는 해당 swf 파일에 들어간 image들이 저장되어 있었다.
texts에는 해당 swf 파일에 들어간 text들이 저장되어 있었고 button에는 해당 swf 파일에서 클릭할 수 있는 button들에 대한 정보가 담겨있었다.
fonts에는 정확히 무엇인지는 모르겠지만 fonts에 대한 정보가 있는 것 같았다.
frame에는 전체 화면을 볼 수 있게 되어있었고 others에는 background color와 debugging이 가능한지에 대한 EnableDebugger가 있었다.
마지막으로 scripts에는 Button클릭 시 어떤 동작을 하는지에 대한 script 함수가 있었다.
sciprts에 있는 코드를 보니 단순한 if문으로만 이루어진 script였다. 입력한 password가 특정 문자열과 일치하는지만 확인하고 일치한다면 문제에 통과할 수 있게 되어있었다.
단순히 password입력으로 통과하는 방법말고도 답이 일치했을 때 리다이렉션되는 link를 복사해서 들어가도 문제에 통과할 수 있게 되어있었다.
이 문제는 어려움없이 단순히 swf파일에 대한 정보를 확인할 수 있는지 없는지에 대한 것을 묻는 문제인 것 같았다. swf파일에 대한 정보를 처음 보았는데 일반적인 프로그램이랑 별 차이 없는 것 같았고 단순한 문제여서 쉽게 통과할 수 있었던 것 같다.
************** Answer & Flag **************
'Wargame > webhacking.kr' 카테고리의 다른 글
[webhacking.kr] Level 51 (0) | 2017.12.20 |
---|---|
[webhacking.kr] Level 52 (0) | 2017.12.02 |
[webhacking.kr] Level 10 (0) | 2017.11.19 |
[webhacking.kr] Level 3 (0) | 2017.11.11 |
[webhacking.kr] Level 11 (0) | 2017.09.30 |