Didžiąją laiko dalį kompiuterio įsilaužimas yra automatiškai susijęs su kompiuterių nusikaltėliais, įsilaužiančiais į kompiuterius, serverius ar apsaugos sistemas, siekiant gauti neteisėtą prieigą. Tačiau taip yra ne visada, nes kompiuterių saugumo ekspertai taip pat yra įsilaužėliai, išskyrus atvejus, kai jie priklauso baltųjų skrybėlių kategorijai ir nenaudoja savo įgūdžių pažeisdami įstatymus. Norėdami tapti įsilaužėliu, jis bent jau turi žinoti, kaip panaudoti tinkamas priemones, kurių paprastai nenaudoja kompiuterių mėgėjai, kad būtų galima surinkti informaciją, kuri galėtų atskleisti įėjimo į galinius duris spragas. Greitas būdas išmokti naudotis kai kuriomis priemonėmis yra išbandyti „ Try2Hack“ pateiktus iššūkius.
„Try2Hack“ siūlo nemokamus iššūkius, kuriuos pradėsite nuo 1-ojo lygio, o jį baigę pateksite į kitą lygį, kol pasieksite 12 lygį. Kiekvienam iššūkiui išspręsti reikia skirtingos technikos, ir, sunkėjant lygiui, darosi vis sunkiau. Mes pateiksime sprendimų lygmenis ir aprašymus, kad galėtumėte juos išspręsti, jei įstrigote, taip pat išmoktumėte naujų įgūdžių. Spustelėkite čia, kad pradėtumėte iššūkį! 1 lygis
Iššūkis: įveskite slaptažodį, jei norite tęsti
Sprendimas: Peržiūrėkite HTML šaltinio kodą spausdami „Ctrl“ + U „Firefox“. Pamatysite mažą „JavaScript“ fragmentą su slaptažodžiu ir 2 lygio vietą. Įvedę neteisingą slaptažodį pateksite į „Disney“ svetainę.
2 lygis
Iššūkis: įveskite vartotojo vardą ir slaptažodį naudodamiesi „Flash“ prisijungimo forma
Sprendimas: Peržiūrėkite HTML šaltinio kodą ir pamatysite, kad prisijungimo forma įkelta iš „Flash“ failo level2.swf. Atsisiųskite level2.swf ir atidarykite jį naudodami Notepad. Vartotojo vardas ir slaptažodis rodomi aiškiu tekstu.
3 lygis
Iššūkis: įveskite slaptažodį iššokančiame lange
Sprendimas: Šis iššūkis apima apgaulę bandant jus apgauti. Peržiūrėkite HTML šaltinio kodą ir atidarykite išorinį „Javascript“ šaltinio failą.
Spustelėkite „Javascript“ šaltinio failo saitą, kad įkeltumėte jį į HTML kodo peržiūros programą, ir pamatysite tikrąjį slaptažodį, taisymo ir klaidingo puslapio reikšmes.
4 lygis
Iššūkis: prisijunkite prie „Java“ pagrindu sukurtos žiniatinklio formos
Sprendimas: Peržiūrėkite HTML šaltinio kodą, atsisiųskite „Java“ klasės failą (PasswdLevel4.class) ir iškompiliuokite jį naudodami JD-GUI.
Neapjungtame „Java“ klasės faile jis skaito kitą išorinį failą, vadinamą level4, esančiu http://www.try2hack.nl/levels/level4. Atsisiųskite „level4“ failą, atidarykite jį naudodami „Notepad“, jame yra vartotojo vardas, slaptažodis ir 5 lygio URL.
5 lygis
Iššūkis: „Visual Basic 3.0“ programoje įveskite vartotojo vardą ir slaptažodį
Sprendimas: atsisiųskite „DoDi“ VB 3.0 diskompiliatorių. Vykdykite jį, įkelkite „level5.exe“ failą į dekompiliatorių ir palaukite, kol procesas bus baigtas. Bus sugeneruota daugybė failų ir turėtumėte atkreipti dėmesį tik į MAIN.TXT ir LEVEL5.BASE failus. 6 lygio naudotojo vardas, slaptažodis ir URL yra faile LEVEL5.BAS, tačiau jie yra užšifruoti ir juos galima lengvai iššifruoti nurodant failą MAIN.TXT. Mes pateiksime du pavyzdžius, kad jūs suprastumėte, kaip apskaičiuojamas vartotojo vardas ir slaptažodis.
Norėdami iššifruoti (gc0006, 56, 1), žiūrėkite failą MAIN.TXT. Pirmiausia nurodoma kreiptis į „gc0006“, tai yra eilutė, kurioje yra skaičiai, mažosios ir didžiosios raidės bei simboliai. Kitas skaičius 56 reiškia 56-ąją raidę toje eilutėje, o paskutinis skaičius 1 reiškia, kad turėtumėte perskaityti tik vieną ženklą, prasidedantį nuo 56-osios raidės. (Gc0006, 56, 1) reikšmė būtų didžiosios raidės „T“. Kalbant apie vidurį (gc0006, 28, 1), tai būtų mažosios raidės „r“.
6 lygis
Iššūkis: atsisiųskite ir paleiskite „Visual Basic 6.0“ programą, kuriai reikia įvesti teisingą vartotojo vardą ir slaptažodį.
Sprendimas: greitas programos bandymas parodys, kad ji prisijungia prie interneto, kad autentifikuotų jūsų įvestą vartotojo vardą ir slaptažodį. Pirmas dalykas, kurį turėtumėte patikrinti, yra pamatyti, kur jis jungiasi. Užuot naudoję sudėtingą paketų šnipinėjimo įrankį, galite tiesiog naudoti „URL Snooper“, kuris parodys, kad programa nuskaito failą, vadinamą level6.data, esančiu http://www.try2hack.nl/levels/level6.data.
„Level6.data“ faile yra užšifruotas vartotojo vardas, slaptažodis ir puslapis, ir mes turėsime jį iššifruoti. Jis turi užuominą apie naudojamą šifravimo algoritmą ir yra BACONIAN. BACONIAN šifrą galite lengvai iššifruoti apsilankę šiame tinklalapyje, įveskite kiekvieną šifravimo teksto bloką ir spustelėkite mygtuką Dekoduoti. Negalite įklijuoti visų blokų, kad dekoduotumėte. Jis turi būti dekoduojamas po vieną.
7 lygis
Iššūkis: naudokite „Microsoft Internet Explorer 7.66“
Sprendimas: Šis apsaugotas puslapis tiesiog patikrina, ar naudojate „Microsoft Internet Explorer 7.66“ „Linux“ ar „Unix“ sistemose ir ar esate nukreipiami iš „Microsoft“ puslapio. Tai lengva padaryti naudojant „Google Chrome“ apgaulingus papildinius. Pirmiausia įdiekite plėtinį, vadinamą „Chrome“ skirtu „User-Agent Switcher“. Spustelėkite „Chrome UA Spoofer“ piktogramą, esančią viršuje dešinėje, ir pasirinkite „Nustatymai“. Įveskite šią informaciją ir spustelėkite Pridėti.
Naujas vartotojo agento vardas: „Try2Hack“
Nauja vartotojo agento eilutė: „Mozilla“ / 4.0 (suderinama; MSIE 7.66; „Linux“; WOW64; „Trident“ / 4.0; SLCC1)
Grupė: Internet Explorer
Pridėti ?: Pakeisti
Indikatoriaus vėliava: T2H
Dar kartą spustelėkite „Chrome UA Spoofer“ piktogramą, esančią viršuje dešinėje, pasirinkite „Internet Explorer“, po to - „Try2Hack“. Jei atnaujinsite 7 lygio puslapį, pamatysite „Gerai“, kad patikrinsite naršyklę ir OS, tačiau nepavyks patikrinti nuorodų. Dabar įdiekite kitą plėtinį, vadinamą „Referer Control“. Dešiniuoju pelės mygtuku spustelėkite 7 lygio puslapį ir pasirinkite „Sukurti šios svetainės nuorodos filtrą“> „Naudoti pasirinktinį nuorodų kodą“> „URL“. Pažymėtame laukelyje pakeiskite [URL] į http://www.microsoft.com/ms.htm.
Vėl atnaujinkite 7 lygio puslapį ir puslapyje pasirodys nuoroda į 8 lygį.
8 lygis
Iššūkis: prisijungimo forma, kurioje naudojamas CGI scenarijus
Sprendimas: Peržiūrėkite HTML šaltinio kodą ir pamatysite, kad jis pateikia prisijungimo informaciją į / cgi-bin / phf. Yra labai gerai žinomas ir senas „phf“ išnaudojimas, kuris gali būti naudojamas norint parodyti slaptą failą „Linux“ sistemoje. Tiesiog įveskite žemiau esantį URL savo naršyklėje ir pasirodys slaptas failas.
http://www.try2hack.nl/cgi-bin/phf?Qalias=3Dx%0a/bin/cat%20/etc/passwd
Vėlgi, prisijungimo informacija perduotame faile yra užšifruota, tačiau ją galima iššifruoti naudojant John the Ripper. Atsisiųskite „Windows“ dvejetainių versijų versiją, ištraukite ją į naują aplanką, nukopijuokite viską iš perduoto failo ir išsaugokite tekstiniame faile. Įdėkite teksto failą į tą patį katalogą kaip ir Jonas Ripperis ir komandinėje eilutėje paleiskite šią komandą. Pakeiskite „passwd.txt“ į failo pavadinimą, kurį panaudojote išsaugoto slapto failo turiniui išsaugoti.
john.exe passwd.txt
Rodomas pagrindinio vartotojo abonemento slaptažodis, kurį galima naudoti prisijungiant prie 8 lygio žiniatinklio formos.
9 lygis
Iššūkis: įveskite vartotojo vardą ir slaptažodį įprastoje išvaizdos prisijungimo žiniatinklio formoje.
Sprendimas: 9 lygio prisijungimo formoje viskas atrodo normalu, kol aš pradėjau tirti HTTP antraštes naudodamas „Firefox“ papildinį, vadinamą „Live HTTP“ antraštėmis. Slapuke yra vartotojo vardas ir slaptažodis, tačiau prisijungimui naudoti prisijungimo duomenis neveikia.
Slapukas vartotojo vardas ir slaptažodis iš tikrųjų yra teisingi, tačiau jį sugadinti sukėlė kita vertė - auth = ne. Viskas, ką turime padaryti, yra naudoti plėtinį, vadinamą „Firefox“ slapukų redagavimu, norint pakeisti auth = ne į auth = taip. Įdiegę papildinį paspauskite „Alt + T“ ir meniu juostoje pasirinkite „Cookie Editor“. Ieškokite svetainės www.try2hack.nl su slapuko pavadinimu kaip auth, spustelėkite jį, kad pažymėtumėte slapuką, ir spustelėkite mygtuką Redaguoti .
Turinio laukelyje pakeiskite nuo ne į taip ir spustelėkite mygtuką Išsaugoti .
Nedelsdami prisijunkite prie 9 lygio formos naudodami vartotojo vardą ir slaptažodį, parodytus anksčiau, naudodami tiesiogines HTTP antraštes. Neperkraukite ir neatnaujinkite 9 lygio puslapio, nes priešingu atveju turėsite iš naujo redaguoti slapuką.
Tikras įdomumas apie „Try2Hack“ yra bandymas pačiam išspręsti iššūkius nustatant galimus sprendimus, užuot iškart ieškant atsakymų ar URL į lygius. Išbandykite juos ir sužinokite, kaip ši programa veikia, kad galėtumėte ateityje jas naudoti panašiose situacijose.
