늘모자란, 개발 :: [wargame.kr] Challenge 18 - crack crack crack it

늘모자란, 개발

.htaccess crack!

can you local bruteforce attack?


.htaccess 는 웹해킹.kr에서 좀 해본거같아서 자신있게 풀수있지 않을까? 라는 생각을 하고 시작한다.
그 기대는 깨졌다. htpasswd가 나왔기때문이다... 해본적없음...

웁스, 패스워드를 까먹었어요!! 누가 도와주세요 ㅜ_ㅜ(분명 제 기억상으로, 패스워드의 처음엔 G4HeulB 라는 문자열로 시작하고 다른 글자들은 숫자랑 영어 알파벳 소문자로만 이루어졌던거 같아요.)
주의: 이 .htaccess 파일은 아이피마다 다른 값이 들어있습니다. 반드시 다운받은 ip에서 인증해 주세요.

옛날에 비밀번호를 만들기위해서 generator를 사용해본적 있는데 digest, sha1, md5, crpyt 알고리즘으로 비밀번호를 만들 수 있었다.
근데 찾아보니 더 많은 알고리즘이 지원된다고 해서 일일히 해볼 생각을 포기하고 디크립터를 찾아보기로 했다
찾아보니 옛날 리눅스 쉐도우따서 디크립트 하려고 했던 john the ripper 툴이 가장 유명하다고 한다

사용은 이런식으로 하면되는데

john -i FILE


힌트가 G4HeulB 가 나왔는데 안쓸수가 없었다. 시간도 오래걸릴것같고..
그래서 사용법을 한참 찾다가 그냥 치트키를(...) 쓰기로 했다.

요점은 john the ripper의 stdin 옵션을 이용해서, python으로 랜덤코드를 만들어서 바로 꽂아서 비교해버리겠다는건데
왜 이생각을 못했을꼬... 역시 배워야 산다.






2016/06/13 01:37 2016/06/13 01:37