webgoat Crypto Basics

인코딩과 디코딩은 보안에서 정말 중요한 요소입니다. 반대로 이걸 뚫을 수 있다면 많은 정보를 얻을 수 있습니다.

base64

첫번째 문제는 base64에 대한 것입니다.

 

문제에 있는 d2ViZ29hdDpwYXNzd29yZA==를 복호화하면 됩니다.

 

burp suite에서는 암호화, 복호화 기능도 지원해 줍니다. 이 기능을 이용해 해결할 것입니다.

 

오른쪽의 decode as를 base64로 바꾸고 문제에 있는 문자열을 입력하면 해답이 나옵니다.

 

xor encoding

다음은 xor인코딩 관련 문제입니다. 아쉽게도 burp suite에는 xor 인코딩 기능이 없습니다. 그러니 다른 사이트에서 알아봅시다.

https://gchq.github.io/CyberChef/ 에서는 다양한 인코딩, 디코딩 기능을 제공해 줍니다.

 

우선 문제 뒤에 ==이 있는 것이 base64같으니 base64 디코딩을 해줍니다.

왼쪽에서 from base64를 드래그 드랍을 하면 오른쪽처럼 나옵니다. 이제 xor를 진행해 봅시다.

 

죄측에서 encryption/encoding에 보면 xor을 볼 수 있습니다. 근데 키가 있어야 한다고 하네요. 저희는 키를 지금 모르는 상태이니 이것을 쓸 수 없습니다.

 

그러니 그 밑에 있는 XOR Brute Force를 가져옵니다.

 

정말 다양하게 나오는데 그 중 글자처럼 생긴 것이 하나 있습니다. 이것을 webgoat에 넣으면 통과할 수 있습니다.

hash

해시는 원본 데이터가 손실되기 때문에 원대래도 돌릴 수 없습니다. 하지만 모든 경우를 다 대입함으로서 해시값에 맞는 원본을 찾을 수 있습니다.

https://hashes.com/en/decrypt/hash 에서 해시 값을 찾을 수 있습니다.

 

해당 값을 입력하면 답을 알 수 있습니다.