swlug 2학년_1학기_1주차_웹해킹_과제

공통문제1

 

 

https://www.root-me.org/en/Challenges/Web-Client/Javascript-Obfuscation-1

Challenges/Web - Client : Javascript - Obfuscation 1 [Root Me : Hacking and Information Security learning platform]

 

고등학교 3학년 때 CTF를 살짝 건드려본게 다인 CTF 첫 도전기

password를 입력하라고 해서

일단 아무 자판이나 눌러봄.

아니래요.

 

확인을 누른 후 페이지가 종료되거나, 첫 페이지로 돌아가지 않고

빈 화면이 출력되길래

현재 웹프로그래밍을 수강 중에 있어

주석문으로 프로그래머들에게 전달하는 메세지가 있다고 배워,

일단 페이지 소스보기 창을 들어감.

 

바로 인코딩 된 passwored가 나와서

디코딩하여 공통문제 clear!-!

https://www.urldecoder.org/ko/

URL 디코딩 및 인코딩 - 온라인

 

2학년 문제

https://www.root-me.org/en/Challenges/Web-Client/Javascript-Obfuscation-2

Challenges/Web - Client : Javascript - Obfuscation 2 [Root Me : Hacking and Information Security learning platform]

이 문제는 start challenge를 누르자마자 빈 화면..

또 페이지 소스보기 클릭.

password가 적혀있긴 하지만.. 

디코딩을 한 번 거친 후

unescape("String.fromCharCode%28104%2C68%2C117%2C102%2C106%2C100%2C107%2C105%2C49%2C53%2C54%29")

여전히 알아볼 수 없는 상태

혹시나 하는 마음에 실행해봤지만

실패.

 

아직 못 알아볼 수 없기에

한 번 더 디코딩

unescape("String.fromCharCode(104,68,117,102,106,100,107,105,49,53,54)")

 

아스키 코드가 나왔어요..

아스키 코드를 텍스트로 변환 해봅시다...

https://ko.calc-site.com/bases/ascii

ASCII 코드 변환 - 진수 변환 - 계산 사이트

 

 

2학년 문제2

https://www.root-me.org/en/Challenges/Web-Client/Javascript-Authentication?

Challenges/Web - Client : Javascript - Authentication [Root Me : Hacking and Information Security learning platform]

첫 접속했더니 왠 해골이,,

재접속 했더니 아이디 비번 창이 나왔습니다.

제목에 java가 들어있어 페이지 소스보기를 눌러보았지만

딱히 별 다른 점 없어,

페이지 검사(F12)를 눌러보았습니다.

 

바로 나온 Network

페이지에는 html 코드 뿐 java 코드는 따로 없었습니다.

Sources 페이지에서 바로 자바스크립트 코드 발견

id와 password를 코드 안에서 발견 할 수 있었습니다.