[webhacking.kr] Level 58

[webhacking.kr] Level 58

문제에 들어가면 다음과 같은 화면을 볼 수 있다. 오른쪽 클릭시 adobe flash player 설정에 관한 것이 나오기때문에 flash file인 것을 알 수 있었다. flash file을 보면 PW: 옆에 입력을 할 수 있게 되어있었고 아무거나 입력하고 Login을 눌렀을 때 "PW:" 옆에 "Wrong"이라는 message가 출력 되는 것을 볼 수 있었다. 올바른 Password를 입력하면 문제에 통과하게 되어있는 것 같다.

일단 page 코드를 살펴보았다. 별 다른 Hint같은 것은 없었고 flash file의 이름이 나와있었다. hackme.swf 라는 이름을 가진 swf파일이였다.

http://webhacking.kr/challenge/web/web-35/hackme.swf의 url을 이용해 swf파일을 받을 수 있었다. flash file 분석을 해본 적이 없어 어떤 방법이 있는지 찾아보다가 FFDEC(JPEXS Flash Decomplier)라는 flash decompiler를 알게 되었고 swf 파일을 분석하기 위해 이 프로그램을 이용했다.

Download link : https://www.free-decompiler.com/flash/download/

FFDEC을 다운로드받고 다운받은 hackme.swf 파일을 열어보았다. 오른쪽에는 flash file 어떻게 보여지는지 아까 웹페이지에서 봤던 화면이 표시되었다. 왼쪽에는 아마 해당 swf파일에 대한 정보들이 있는 것 같았다.

하나씩 눌러보면서 어떤 파일이 있는지 알아보았다.

header에는 size, version 등 해당 swf파일에 대한 기본적인 정보들이 담겨있었다. shape에는 해당 swf 파일에 들어간 image들이 저장되어 있었다.

texts에는 해당 swf 파일에 들어간 text들이 저장되어 있었고 button에는 해당 swf 파일에서 클릭할 수 있는 button들에 대한 정보가 담겨있었다.

fonts에는 정확히 무엇인지는 모르겠지만 fonts에 대한 정보가 있는 것 같았다.

frame에는 전체 화면을 볼 수 있게 되어있었고 others에는 background color와 debugging이 가능한지에 대한 EnableDebugger가 있었다.

마지막으로 scripts에는 Button클릭 시 어떤 동작을 하는지에 대한 script 함수가 있었다.

sciprts에 있는 코드를 보니 단순한 if문으로만 이루어진 script였다. 입력한 password가 특정 문자열과 일치하는지만 확인하고 일치한다면 문제에 통과할 수 있게 되어있었다.

단순히 password입력으로 통과하는 방법말고도 답이 일치했을 때 리다이렉션되는 link를 복사해서 들어가도 문제에 통과할 수 있게 되어있었다.

이 문제는 어려움없이 단순히 swf파일에 대한 정보를 확인할 수 있는지 없는지에 대한 것을 묻는 문제인 것 같았다. swf파일에 대한 정보를 처음 보았는데 일반적인 프로그램이랑 별 차이 없는 것 같았고 단순한 문제여서 쉽게 통과할 수 있었던 것 같다.

**************     Answer & Flag     **************