Jakiś czas temu na lekcji systemów operacyjnych oglądaliśmy fajną gre, która miała służyć łamaniu „zabezpieczeń” strony i ogólnie chyba zabawie, chociaż więcej nerwów.
Nie powiem wcale takie łatwe to nie jest, tym co zrobiłem chciałem się pochwalić i pokazać jak to zrobić! 🙂
Link gra jak najbardziej warta uwagi 😛
Poniżej podpowiedzi
Zadanie.1
Hackme 3.0 - level #1
czyli hasłem jest : javascript:prompt(”,document.title)
Tytuł dokumentu.
Zadanie.2
Hackme 3.0 - level #2
Podaj haselko:
(liczba*liczba==1550025) ?
Zadanie.3
Hackme 3.0 - level #3
Podaj haselko:
Tutaj już trzeba poczytać o substringach, ( fraza ==’leowi’, substring.fraza(0,2) , dwie litery, zero przesunięcia, 'le’ ) , ogólnie też miałem z tym problem hasło to „wiola”
Zadanie.4
Hackme 3.0 - level #4
Podaj haslo:
Tutaj zachodzi eleminacja co drugą litere. Hasło ? – ananas
Zadanie 5.
Hackme 3.0 - level #5
A teraz zaczyna sie jazda z PHP :P
Tutaj musimy wejść do pliku pierwszy.php, pierwsza sprawa www.uw-team.org/hm3next/pierwszy.php , następnie po wyświetleniu komunikatu Podales zle haslo! , i zmianie linku nawww.uw-team.org/hm3next/pierwszy.php?error=zle.htm , wpisujemy error=pierwszy.php i enterujemy. Pokazuje nam się taki kod :
if (($haslo==”zaqq”) && ($login==”root”)){$kod=”zle.htm”;} else {$kod=”ciekawe.php”;} include(„$kod”);
login root, hasło zaqq.
Zadanie 6.
Należy przejść na stronęwww.uw-team.org/hm3next/skrypty/ i zobaczyć plik config.inc ,
$wysokie_rachunki=true;
$losowe_0700=true;
$zakodowane_haslo=”gnavr ebmzbjl!”; //zakodowane dla pewnosci!
$mail=”ladmin@tpsa.jest.najlepsza.pl”;
Hasło jest zakodowane w ROT-13 , przesunięcie o 13.
Hasło które należy wpisać do admin.php , to 'tanie rozmowy!’
Zadanie 7.
Tutaj należy poczytać o SQL injections, i ogólnie o SQL chodzi o to by sql myślał że hasło które wpisujemy nie jest hasłem a dalszym jego zapytaniem(?) , ciężko mi to opisać,
webhosting.pl/SQL.Injection..Jak.hakerzy.omijaja.zabezpieczenia.stron.WWW.?page=5
Warto zobaczyć.
Tak więc wpisujemy 'OR 1=1
I przechodzimy dalej.
Zadanie 8.
Hackme 3.0 - level #8
Czasami nie chcemy, aby internetowy robot przeszukiwał wszystkie katalogi na naszym serwerze.
W tym celu tworzymy specjalne pliki, które ograniczają ten proceder.
Tymi plikami są oczywiście robots.txt
Wpisujemy więc w przeglądarke robots.txt, i dostajemy
User-agent: googlebot
Disallow: haselka.txt
Wchodzimy teraz haselka.txt , i tam dostajemy haslo które nalezy wpisac czyli : iamthebest
Zadanie.9
Jest to liczba 12 , sprawdź sam.
wchodzimy więc do następnego zadania wpisując ../12.php
Zadanie.10
To zadanie jest dość trudne, bo nie wiadomo na poczatku co zrobić, dopóki nie sprawdzimy ciasteczek ( cookie ) , jeśli zobaczymy nasze cookie, to jeden będzie miał nazwe administator i parametr nie, jeśli zmienimy parametr na „tak” zadanie zostanie zaliczone!
Bardzo fajny blog. Pozdrawiam autora! Czytam z ciekawością.
Ja nie mogę przejść pierwszego Lvl wpisuję „document.title” i to jest złe hasło 👿
hackme wpisz 👿
Mi w 6 nie działa 🙁
Ja nie mogę przejść pierwszego Lvl wpisuję „document.title” i to jest złe hasło 👿
bo document.title to jest tytul strony, czyli hackme debilu