btr95

너무 황당하고.. 그랬네요 좀..

level5를 빠르게 먼저 풀었어가지고 이것도 비슷한 방법으로 해봤습니다.

무슨 데이터가 숨어있나 찾아보기도 했고 암호화나 해쉬값으로 되어있나 찾아봤지만

답을 찾을 수 없었습니다.... 온통 이상한 글자들 뿐..

우선 사진은 다음과 같습니다. 여기서 데이터를 찾으면 된다고 합니다.

결론부터 이야기를 하자면 사진에는 Exif(교환 이미지 파일 형식)이라는 친구가 있습니다.

이것은 사진의 다양한 데이터를 넣을 수 있는데 사진을 찍었을 때 카메라 설정, 날짜. 저작권 등등 다양한 정보를 사진의 포함 시킬 수 있습니다.

Windows는 우클릭 속성에서 다음과 같이 간단하게 그 정보를 확인 할 수 있습니다..

위에 값을보고 만든 이가 "james"인걸 보고 이게 username인가 ? 했으며

설명의 "I like chocolate"을보고 이게 password인가해서 인증해봤는데 아니였습니다.

그래서 여기에서 얻을 수 있는게 없다 판단하고... HxD도 확인해보고... Notepad에 옮겨서 차근차근 읽어봤지만 실패..

더이상 정보를 얻을 수 없었습니다..

오랜시간 후에 james/chocolate 으로 인증해보니 되었습니다.

너무 황당했네요..ㅜ

일반적인 암호화는 쉽게 풀린다고 합니다.

일반적인 암호에는 MD5, SHA, Basa64 .. 같은게 있죠.

소스보기를 해봅니다.

"passwordfile"이라면서 "level10pass.txt"가 있다고 합니다 해당 파일에 복호화해야할 문자열이 있겠죠?

근데 정확한 경로를 안알려줘서 좀 해맸습니다...

다른 문제에서 파일들이 보통 /level/extras에 있어서 혹시 몰라 해보니 있네요...

보아하니 ':' 로 구분되어 있고 앞에는 id, 뒤에는 pwd라는 것을 짐작할 수 있습니다.

우선 자리수는 64개이고 모두 숫자와 영문으로 되어있습니다.

64개의 암호문이면 sha256를 떠올릴 수 있습니다. 

sha256으로 해쉬 복호화를 해보면 값이나오고 인증하면 성공합니다.

영어 해석 때문에 제대로 안풀렸고 오래걸린 문제입니다. ㅠㅠ

①구글번역

개발자는 이제 비밀번호 알림을 받을 수 있는 기능을 추가했습니다. 대신 로그인 정보를 보내기 위해 악용 할 수 있습니까?

②파파고 번역

개발자는 이제 비밀번호 알림 기능을 추가했습니다. 대신 로그인 세부 정보를 보낼 수 있습니까?

③실제 의미하는 바(자해석)

개발자에게 비밀번호가 보내지도록 되어있는데, 너에게 로그인 정보를 보내도록 할수 있냐?

이런 느낌인거 같습니다.

"Request detailes"에 가보면 다음과 같은 소스코드를 보실 수 있습니다.

"hidden" 타입으로 value="admin@hackthis.co.uk"로 되어있는 것을 보아 저 이메일 주소로 로그인 정보가 보내지는 것으로 보여집니다.

여기에 본인의 email 주소로 바꿔놓고 전송하게 되면 성공하게 됩니다.

번역기가 정확한 해석을 해줄 수 있는 것은 아니기 때문에 나름대로 더 해석해 봐야했고

영어의 중요성을.... ㅠ

해석 하나로 전혀 다른 방안으로 풀고 있었습니다.