Det meste av tiden er datahacking automatisk assosiert med at datakriminelle bryter inn datamaskiner, servere eller sikkerhetssystemer for å få uautorisert tilgang. Dette er imidlertid ikke alltid fordi datasikkerhetsekspertene også er hackere, bortsett fra at de tilhører kategorien hvit hatt og ikke bruker ferdighetene sine for å bryte loven. For å være en hacker, må man i det minste vite hvordan man bruker de riktige verktøyene som normalt ikke brukes av datamaskinamatører for å høste informasjon som kan avdekke smutthull for oppføringer bak. En rask måte å lære å bruke noen av verktøyene på er å gå gjennom utfordringene fra Try2Hack .
Try2Hack tilbyr gratis utfordringer der du starter fra 1. nivå og fullfører det vil bringe deg til neste nivå til du kommer til nivå 12. Hver utfordring krever annen teknikk for å løse og det blir vanskeligere etter hvert som nivået øker. Vi vil tilby løsninger og gjennomgang for nivåene, slik at du kan løse dem hvis du sitter fast og også lære nye ferdigheter. Klikk her for å starte utfordringen! Nivå 1
Utfordring: Angi passord for å fortsette
Løsning: Vis HTML-kildekoden ved å trykke på Ctrl + U i Firefox. Du vil se et lite JavaScript-utdrag med passordet og også plasseringen til nivå 2. Hvis du skriver feil passord, kommer du til Disneys nettsted.
Nivå 2
Utfordring: Angi brukernavn og passord på flashbasert påloggingsskjema
Løsning: Vis HTML-kildekoden, så ser du at påloggingsskjemaet er lastet fra flash-fil level2.swf. Last ned level2.swf og åpne det med Notisblokk. Brukernavnet og passordet vises i klartekst.
Nivå 3
Utfordring: Angi passord på en popup
Løsning: Denne utfordringen inneholder bedrag når du prøver å lure deg. Vis HTML-kildekoden og åpne den eksterne Javascript-kildefilen.
Klikk på Javascript-kildefilekoblingen for å laste den inn i HTML-kodeviseren, så ser du det virkelige passordet, korrigeringssiden og feilstedverdiene.
Nivå 4
Utfordring: Logg inn på et Java-basert nettskjema
Løsning: Vis HTML-kildekoden, last ned Java-klassefilen (PasswdLevel4.class) og dekompilere den med JD-GUI.
I den dekompilerte Java-klassefilen leser den en annen ekstern fil kalt level4 som ligger på http://www.try2hack.nl/levels/level4. Last ned level4-filen, åpne den med Notepad, brukernavnet, passordet og nivå 5 URL er der.
Nivå 5
Utfordring: Angi brukernavn og passord i et Visual Basic 3.0-program
Løsning: Last ned DoDi's VB 3.0 Discompiler. Kjør den, last level5.exe-filen til dekompilatoren og vent til prosessen er fullført. Det blir en haug filer som blir generert, og du bør bare ta hensyn til MAIN.TXT- og LEVEL5.BASE-filer. Brukernavnet, passordet og URL-en til nivå 6 er i LEVEL5.BAS-filen, men de er kryptert og kan enkelt dekrypteres ved å henvise til MAIN.TXT-filen. Vi skal gjøre to eksempler slik at du forstår hvordan brukernavnet og passordet blir beregnet.
For å dekryptere (gc0006, 56, 1), se MAIN.TXT-filen. Først forteller den deg å referere til gc0006, som er linjen som inkluderer tall, små og store bokstaver og symboler. Dernest representerer tallet 56 den 56. bokstaven på den linjen, og det siste tallet 1 betyr at du bare bør lese ett tegn som starter fra den 56. bokstaven. Verdien for (gc0006, 56, 1) vil være store bokstaver "T". Når det gjelder Mid (gc0006, 28, 1), ville det være små bokstaver “r”.
Nivå 6
Utfordring: Last ned og kjør et Visual Basic 6.0-program som krever å oppgi riktig brukernavn og passord.
Løsning: En rask test på programmet vil vise at den kobles til Internett for å autentisere brukernavnet og passordet du har skrevet inn. Det første du bør sjekke er å se hvor den kobles til. I stedet for å bruke et sofistikert pakkesniffeverktøy, kan du bare bruke URL Snooper som vil avsløre at programmet trekker en fil som heter level6.data på http://www.try2hack.nl/levels/level6.data.
Level6.data-filen inneholder det krypterte brukernavnet, passordet og siden, og vi må dekryptere den. Den har et snev av krypteringsalgoritmen som brukes, og den er BACONIAN. Du kan enkelt dekryptere BACONIAN-chifferet ved å gå til denne nettsiden, angi hver blokk med chiffertekst og klikke på Avkode-knappen. Du kan ikke lime inn alle blokkene som er dekodet. Det må dekodes en og en.
Nivå 7
Utfordring: Bruk Microsoft Internet Explorer 7.66
Løsning: Denne beskyttede siden sjekker ganske enkelt om du kjører Microsoft Internet Explorer 7.66 på Linux eller Unix-system og blir henvist fra en Microsoft-side. Dette kan enkelt gjøres ved å bruke forfalskningsprogrammer for Google Chrome. Installer først en utvidelse som heter User-Agent Switcher for Chrome. Klikk på Chrome UA Spoofer-ikonet øverst til høyre og velg Innstillinger. Skriv inn følgende informasjon og klikk Legg til.
Nytt brukeragentnavn: Try2Hack
Ny brukeragentstreng: Mozilla / 4.0 (kompatibel; MSIE 7.66; Linux; WOW64; Trident / 4.0; SLCC1)
Gruppe: Internet Explorer
Vedlegg ?: Erstatt
Blinklys: T2H
Klikk igjen på Chrome UA Spoofer-ikonet øverst til høyre, velg Internet Explorer, etterfulgt av Try2Hack. Hvis du oppdaterer nivå 7-siden, vil du se OK for nettleser- og operativsystemkontroll, men mislykkes i koblingssjekken. Nå installerer en annen utvidelse kalt Referer Control. Høyreklikk på nivå 7-siden og velg "Opprett refererfilter for dette nettstedet"> "Bruk tilpasset referer"> "URL". Bytt ut [URL] med den markerte boksen med http://www.microsoft.com/ms.htm.
Oppdater nivå 7-siden igjen, og en lenke til nivå 8 vises på siden.
Nivå 8
Utfordring: Påloggingsskjema som bruker CGI-skript
Løsning: Vis HTML-kildekoden, så ser du at den sender inn påloggingsinformasjonen til / cgi-bin / phf. Det er en veldig kjent og gammel phf-utnyttelse som kan brukes til å vise passwd-filen på linux-systemet. Bare skriv inn URLen nedenfor i nettleseren din, så passwd-filen vises.
http://www.try2hack.nl/cgi-bin/phf?Qalias=3Dx%0a/bin/cat%20/etc/passwd
Igjen er påloggingsinformasjonen på passwd-filen kryptert, men kan dekrypteres ved hjelp av John the Ripper. Last ned Windows-binærversjonen, pakke den ut til en ny mappe, kopier alt fra passwd-filen og lagre den i en tekstfil. Plasser tekstfilen i samme katalog som John the Ripper, og kjør følgende kommando i ledeteksten. Bytt passwd.txt til filnavnet du har brukt til å lagre innholdet i passwd-filen.
john.exe passwd.txt
Passordet til rotbrukerkontoen vises som kan brukes til å logge inn på skjemaet nivå 8.
Nivå 9
Utfordring: Angi brukernavn og passord på et normalt pålogget nettskjema.
Løsning: Alt ser normalt ut på nivå 9-påloggingsskjemaet til jeg begynte å undersøke på HTTP-overskriftene ved å bruke en plugin som heter Live HTTP-headers for Firefox. Det har brukernavn og passord på informasjonskapselen, men bruk av legitimasjon for å logge inn fungerer ikke.
Brukernavnet og passordet på informasjonskapselen er faktisk riktig, men det var en annen verdi som får den til å mislykkes, som er Authority = nei. Alt vi trenger å gjøre er å bruke en utvidelse som heter Edit Cookies for Firefox for å endre autor = nei til autor = ja. Etter å ha installert plugin-modulen, trykk Alt + T og velg Cookie Editor fra menylinjen. Søk på nettstedet www.try2hack.nl med informasjonskapsnavnet som autorisasjon, klikk på det for å markere informasjonskapselen og klikk på Rediger- knappen.
I innholdsboksen endrer du fra nei til ja og klikker på Lagre- knappen.
Logg deg øyeblikkelig på nivå 9-skjemaet med brukernavnet og passordet som ble vist tidligere ved bruk av Live HTTP Headers. Ikke last inn eller oppdater nivå 9-siden, ellers trenger du å redigere informasjonskapselen på nytt.
Den virkelige moroa med Try2Hack er å prøve å løse utfordringene selv ved å identifisere de mulige løsningene i stedet for å umiddelbart se etter svar eller URL til nivåene. Prøv dem ut og lær hvordan disse programmet fungerer slik at du kan bruke dem i fremtiden for lignende situasjoner.
