webhacking #42

webhacking #42.

다운로드가 2개 링크되어 있다.

1번 test.zip을 클릭하니 Access Denied 창이 뜬다.

2번 test.txt를 클릭하니 아래와 같이 뜬다.

소스를 보니 1번에는 alert가 뜨도록 되어있고

2번은 ?down=dGVzdC50eHQ= 으로 연결되도록 되어있다. dGVzdC50eHQ=는 base64로 test.txt를 인코딩한 것이다.

그렇다면 test.zip을 base64로 인코딩하여 ?down=dGVzdC56aXA=로 이동하도록 하면 될 것 같다.

다운로드에 성공했다.

그런데 비번이 걸려있다.;;;

아까 위의 소스에서 test.zip 비밀번호는 숫자로만 되어있다고 했다.

알집 비밀번호를 푸는 프로그램을 이용하여 비번을 찾으니

759852

압축 풀린 파일을 보니 아래와 같이 url이 나와있다.

들어가보니 password가 나온다.

123456789null0987654321