webhacking.kr - old-04(Challenge 4)

첫 화면은 어떤 해시값이 써져 있고 아래에는 비밀번호를 제출하는 곳이 있다. 

[view-source]를 눌러 소스코드를 확인해 본다. 

 

if((isset($_SESSION['chall4'])) && ($_POST['key'] == $_SESSION['chall4'])) solve(4);

사용자로 부터 key(비밀번호)를 입력을 받으며, chall4 세션과 일치하면 solve(4)를 실행한다. 

제일 중요한 아랫부분을 살펴보면

 

$hash = rand(10000000,99999999)."salt_for_you";

10000000~99999999까지의 랜덤의 정수를 가져와서 "salt_for_you"라는 솔트를 합친다. 

그래서 이 "랜덤숫자_salt_for_you"는 chall4 세션에 할당한다. 

 

 

for($i=0;$i<500;$i++) $hash = sha1($hash);

다시 아래로 돌아와서 for문을 보면 500번을 $hash를 sha1함수에 넣는 것을 반복한다. 

 

<tr><td colspan=3 style=background:silver;color:green;><b><?=$hash?></b></td></tr>

최종적으로 해시화한 결과를 사용자에게 힌트로 보여준다. 

 

결국 도전자는 직접 많은 양의 비밀번호를 해시화한 레인보우 테이블을 생성해서 푸는 수밖에 없다. 

 

 

chall4.py

import hashlib
import threading
import os, shutil, time

salt = "salt_for_you"

start_time = None

def encodeSHA1(s):
    sha1 = hashlib.new('sha1')
    sha1.update(bytes(s, 'utf-8'))
    return sha1.hexdigest()


def solver(min, max, tid):
    global start_time
    n=0

    for num in range(min, max):
        
        with open( "./table" + "/" + str(tid) + "_rainbow_table.txt", "a") as f:

            h = k = str(num) + salt
            for _ in range(500):
                h = encodeSHA1(h)

            if not (num%1000):
                print(f"(thread_{tid} | {round(n / len(range(min, max)) * 100, 5)}%) [{round(time.time() - start_time)} sec]")
                
            data = k + " = " + h + "\n"
            f.write(data)
                
        n += 1
    print(f"(thread_{tid} | {round(n / len(range(min, max)) * 100, 5)}%) [{round(time.time() - start_time)} sec]")


if __name__ == '__main__':

    start_time  = time.time()

    start = 10000000
    end = 100000000

    if not os.path.exists("./table"):
        os.mkdir("./table")
    else:
        shutil.rmtree("./table")
        os.mkdir("./table")


    t1 = threading.Thread(target=solver, args=(start, end//2, 1))
    t1.start()

    t2 = threading.Thread(target=solver, args=(end//2, end, 2))
    t2.start()

    t1.join()
    t2.join()

    os.system("pause")

그래서 직접 해시 테이블을 생성하는 스크립트를 짜보았다. 

 

그렇게 실행한지 15시간 정도가 지나고... 

 

thread_1이 먼저 작업을 다 끝을 내서 1_rainbow_table.txt 파일을 확인해 보았다. 용량은 2.42GB이므로 그냥 메모장으로 열면 안 되서 vim으로 열어주었다. 

 

 

 

문자를 찾으려면 vim 에디터에서 /(슬래시)를 누르고 문자를 입력하고 엔터를 친다.

나한테 주어진 해시 값을 vim에 입력을 해서 그에 대응하는 비밀번호를 찾아내는데 성공하고

 

입력란에 입력을 했는데!...

 

세션이 끝나서 사이트에 로그인을 해달라고 alert이 떠서 다시 로그인을 해주었다..

 

당연히 패스워드 해시는 바껴서 다시 사전 파일의 새로운 해시에 대응하는 비밀번호를 찾아주었다. 

 

다시 해시 값을 찾아서 입력을 해본다. 

 

 

혹시나 오타가 있는가 확인을 하고 제출!

 

 

old-04 Pwned!

 

푸는데만 15시간.. 정말 길고도 긴 시간이었다... 긴 시간 동안 많은 일을 시킨 컴퓨터가 많이 걱정이 된다. 

물론 지금은 레인보우 테이블이 있어서 또 푸는데 오래 걸리진 않는다.