Раймонд
Обновлено 3 года назад
Онлайн-сервисы
3 комментария
Большую часть времени компьютерный взлом автоматически ассоциируется с компьютерными преступниками, взломавшими компьютеры, серверы или системы безопасности для получения несанкционированного доступа. Однако это не всегда так, потому что эксперты по компьютерной безопасности также являются хакерами, за исключением того, что они принадлежат к категории белых шляп и не используют свои навыки, чтобы нарушать закон. Чтобы быть хакером, нужно, по крайней мере, знать, как использовать надлежащие инструменты, которые обычно не используются любителями компьютеров, для сбора информации, которая может выявить лазейки для входов в черный ход. Быстрый способ научиться использовать некоторые из инструментов – это пройти через испытания, поставленные Try2Hack,
Try2Hack предлагает бесплатные испытания, где вы начнете с 1-го уровня, и после его завершения вы перейдете на следующий уровень, пока не достигнете 12-го уровня. Каждое испытание требует решения по-разному, и с ростом уровня это становится все труднее. Мы предоставим решения и пошаговое руководство для уровней, чтобы вы могли их решить, если вы застряли, а также изучите новые навыки. Нажмите здесь, чтобы начать испытание!
1-й уровень
Задача: введите пароль, чтобы продолжить
Решение. Просмотрите исходный код HTML, нажав Ctrl + U в Firefox. Вы увидите небольшой фрагмент кода javascript с паролем, а также местоположение уровня 2. Если вы введете неправильный пароль, вы попадете на сайт Disney.
Уровень 2
Задача: введите имя пользователя и пароль в форме входа на основе флэш
Решение: просмотрите исходный код HTML, и вы увидите, что форма входа загружается из флэш-файла level2.swf. Загрузите level2.swf и откройте его с помощью Блокнота. Имя пользователя и пароль отображаются в виде открытого текста.
Уровень 3
Задача: введите пароль во всплывающем окне
Решение: этот вызов содержит обман в попытке обмануть вас. Просмотрите исходный код HTML и откройте внешний исходный файл Javascript.
Нажмите на ссылку на исходный файл Javascript, чтобы загрузить ее в средство просмотра HTML-кода, и вы увидите реальный пароль, корректирующий и неправильный значения.
Уровень 4
Задача: войти в веб-форму на основе Java
Решение. Просмотрите исходный код HTML, загрузите файл классов Java (PasswdLevel4.class) и декомпилируйте его с помощью JD-GUI.
В декомпилированном файле классов Java он читает другой внешний файл с именем level4 находится по адресу http://www.try2hack.nl/levels/level4. Загрузите файл level4, откройте его с помощью Блокнота, имя пользователя, пароль и URL уровня 5 находятся там.
Уровень 5
Задача: введите имя пользователя и пароль в программе Visual Basic 3.0
Решение: Загрузите DoDi VB 3.0 Discompiler. Запустите его, загрузите файл level5.exe в декомпилятор и дождитесь завершения процесса. Будет создано несколько файлов, и вам следует обращать внимание только на файлы MAIN.TXT и LEVEL5.BASE. Имя пользователя, пароль и URL-адрес уровня 6 находятся в файле LEVEL5.BAS, но они зашифрованы и могут быть легко расшифрованы путем обращения к файлу MAIN.TXT. Мы собираемся сделать два примера, чтобы вы поняли, как рассчитываются имя пользователя и пароль.
Чтобы расшифровать (gc0006, 56, 1), обратитесь к файлу MAIN.TXT. Во-первых, он говорит вам обратиться к gc0006, который является строкой, которая включает цифры, строчные и прописные буквы, а также символы. Затем число 56 представляет 56-ю букву в этой строке, а последняя цифра 1 означает, что вы должны прочитать только один символ, который начинается с 56-й буквы. Значение для (gc0006, 56, 1) будет прописной буквой «Т». Что касается Mid (gc0006, 28, 1), это будет строчная буква «r».
Уровень 6
Задача: Загрузите и запустите программу Visual Basic 6.0, для которой требуется ввести правильное имя пользователя и пароль.
Решение. Быстрый тест программы покажет, что она подключается к Интернету для аутентификации введенного вами имени пользователя и пароля. Первое, что вы должны проверить, это посмотреть, где он подключается. Вместо использования сложного инструмента отслеживания пакетов, вы можете просто использовать URL Snooper, который покажет, что программа извлекает файл с именем level6.data по адресу http://www.try2hack.nl/levels/level6.data.
Файл level6.data содержит зашифрованное имя пользователя, пароль и страницу, и нам придется его расшифровать. В нем есть подсказка об используемом алгоритме шифрования, и это БАКОНСКИЙ. Вы можете легко расшифровать BACONIAN-шифр, зайдя на эту веб-страницу, введите каждый блок зашифрованного текста и нажмите кнопку «Расшифровать». Вы не можете вставить все блоки в декодированный. Он должен быть расшифрован один за другим.
7 уровень
Задача: использовать Microsoft Internet Explorer 7.66
Решение: Эта защищенная страница просто проверяет, используете ли вы Microsoft Internet Explorer 7.66 в системе Linux или Unix и ссылается ли на странице Microsoft. Это легко сделать, используя спуфинговые плагины для Google Chrome. Сначала установите расширение под названием User-Agent Switcher для Chrome. Нажмите на значок Chrome UA Spoofer в правом верхнем углу и выберите «Настройки». Введите следующую информацию и нажмите Добавить.
Новое имя агента пользователя: Try2Hack
Новая строка User-Agent: Mozilla / 4.0 (совместимая; MSIE 7.66; Linux; WOW64; Trident / 4.0; SLCC1)
Группа: Internet Explorer
Добавить? Заменить
Флаг индикатора: T2H
Снова нажмите на значок Chrome UA Spoofer, расположенный в правом верхнем углу, выберите Internet Explorer, а затем Try2Hack. Если вы обновите страницу уровня 7, вы увидите OK для проверки браузера и ОС, но не пройдете проверку ссылки. Теперь установите другое расширение под названием Referer Control. Щелкните правой кнопкой мыши на странице уровня 7 и выберите «Создать фильтр реферера для этого сайта»> «Использовать собственный реферер»> «URL». В выделенном поле замените (URL) на http://www.microsoft.com/ms.htm.
Снова обновите страницу уровня 7, и на странице появится ссылка на уровень 8.
Уровень 8
Задача: Форма входа, использующая скрипт CGI
Решение. Просмотрите исходный код HTML, и вы увидите, что он передает информацию для входа в систему / cgi-bin / phf. Существует очень хорошо известный и старый эксплойт phf, который можно использовать для отображения файла passwd в системе linux. Просто введите URL-адрес ниже в вашем веб-браузере, и файл passwd будет отображен.
http://www.try2hack.nl/cgi-bin/phf?Qalias=3Dx%0a/bin/cat%20/etc/passwd
Опять же, информация для входа в файл passwd зашифрована, но может быть расшифрована с помощью John the Ripper. Загрузите бинарную версию Windows, распакуйте ее в новую папку, скопируйте все из файла passwd и сохраните в текстовом файле. Поместите текстовый файл в тот же каталог, где находится Джон Потрошитель, и введите в командной строке следующую команду. Замените passwd.txt на имя файла, которое вы использовали для сохранения содержимого файла passwd.
john.exe passwd.txt
Отображается пароль учетной записи пользователя root, который можно использовать для входа в веб-форму уровня 8.
Уровень 9
Задача: введите имя пользователя и пароль в обычной веб-форме входа.
Решение: На форме входа в систему уровня 9 все выглядит нормально, пока я не начал исследовать заголовки HTTP, используя плагин Live HTTP заголовки для Firefox. У него есть имя пользователя и пароль на куки, но использование учетных данных для входа не работает.
Имя пользователя и пароль в файле cookie на самом деле правильные, но существует другое значение, которое приводит к сбою, а именно auth = no. Все, что нам нужно сделать, это использовать расширение под названием Edit Cookies для Firefox, чтобы изменить auth = no на auth = yes. После установки плагина нажмите Alt + T и выберите Cookie Editor в меню. Найдите сайт www.try2hack.nl с именем cookie в качестве auth, нажмите на него, чтобы выделить файл cookie, и нажмите редактировать кнопка.
В окне содержимого измените с нет на да и нажмите Сохранить кнопка.
Немедленно войдите в форму уровня 9 с именем пользователя и паролем, указанными ранее, с помощью заголовков Live HTTP. Не перезагружайте и не обновляйте страницу 9-го уровня, иначе вам потребуется заново отредактировать файл cookie.
Самое интересное в Try2Hack – попытаться решить проблемы самостоятельно, определив возможные решения, а не сразу искать ответы или URL-адреса уровней. Попробуйте их и узнайте, как работает эта программа, чтобы вы могли использовать их в будущем для подобных ситуаций.