Hack me 3.0 – Podpowiedzi..

Jakiś czas temu na lekcji systemów operacyjnych oglądaliśmy fajną gre, która miała służyć łamaniu „zabezpieczeń” strony i ogólnie chyba zabawie, chociaż więcej nerwów.

Nie powiem wcale takie łatwe to nie jest, tym co zrobiłem chciałem się pochwalić i pokazać jak to zrobić! 🙂

Link gra jak najbardziej warta uwagi 😛

Poniżej podpowiedzi

Zadanie.1


Hackme 3.0 - level #1

Podaj haselko:

czyli hasłem jest : javascript:prompt(”,document.title)
Tytuł dokumentu.

Zadanie.2


Hackme 3.0 - level #2

Podaj haselko:

(liczba*liczba==1550025) ?

Zadanie.3


Hackme 3.0 - level #3

Podaj haselko:

Tutaj już trzeba poczytać o substringach, ( fraza ==’leowi’, substring.fraza(0,2) , dwie litery, zero przesunięcia, 'le’ ) , ogólnie też miałem z tym problem hasło to „wiola”
Zadanie.4


Hackme 3.0 - level #4

Podaj haslo:

Tutaj zachodzi eleminacja co drugą litere. Hasło ? – ananas
Zadanie 5.

Hackme 3.0 - level #5

A teraz zaczyna sie jazda z PHP :P
Login: Haslo:

Tutaj musimy wejść do pliku pierwszy.php, pierwsza sprawa www.uw-team.org/hm3next/pierwszy.php , następnie po wyświetleniu komunikatu Podales zle haslo! , i zmianie linku nawww.uw-team.org/hm3next/pierwszy.php?error=zle.htm , wpisujemy error=pierwszy.php i enterujemy. Pokazuje nam się taki kod :
if (($haslo==”zaqq”) && ($login==”root”)){$kod=”zle.htm”;} else {$kod=”ciekawe.php”;} include(„$kod”);
login root, hasło zaqq.
Zadanie 6.

Należy przejść na stronęwww.uw-team.org/hm3next/skrypty/ i zobaczyć plik config.inc ,
$wysokie_rachunki=true;
$losowe_0700=true;
$zakodowane_haslo=”gnavr ebmzbjl!”; //zakodowane dla pewnosci!
$mail=”ladmin@tpsa.jest.najlepsza.pl”;

Hasło jest zakodowane w ROT-13 , przesunięcie o 13.
Hasło które należy wpisać do admin.php , to 'tanie rozmowy!’

Zadanie 7.
Tutaj należy poczytać o SQL injections, i ogólnie o SQL chodzi o to by sql myślał że hasło które wpisujemy nie jest hasłem a dalszym jego zapytaniem(?) , ciężko mi to opisać,
webhosting.pl/SQL.Injection..Jak.hakerzy.omijaja.zabezpieczenia.stron.WWW.?page=5
Warto zobaczyć.

Tak więc wpisujemy 'OR 1=1
I przechodzimy dalej.
Zadanie 8.

Hackme 3.0 - level #8

Czasami nie chcemy, aby internetowy robot przeszukiwał wszystkie katalogi na naszym serwerze. W tym celu tworzymy specjalne pliki, które ograniczają ten proceder.

Tymi plikami są oczywiście robots.txt
Wpisujemy więc w przeglądarke robots.txt, i dostajemy
User-agent: googlebot
Disallow: haselka.txt
Wchodzimy teraz haselka.txt , i tam dostajemy haslo które nalezy wpisac czyli : iamthebest
Zadanie.9
Jest to liczba 12 , sprawdź sam.
wchodzimy więc do następnego zadania wpisując ../12.php
Zadanie.10
To zadanie jest dość trudne, bo nie wiadomo na poczatku co zrobić, dopóki nie sprawdzimy ciasteczek ( cookie ) , jeśli zobaczymy nasze cookie, to jeden będzie miał nazwe administator i parametr nie, jeśli zmienimy parametr na „tak” zadanie zostanie zaliczone!

Komentarze

Dodaj komentarz