xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加文章 English Version

www.try2hack.nl 菜鸟全攻略


创建时间:2002-08-14
文章属性:原创
文章提交:iltt (cloudy2166_at_sina.com)

ROOT注:这文章可以给大家想搞HACKGAME的人提供一些思想,所以把这文章提了上来。
==============================================================

测试你『黑』能力的网站=try 2 hack=www,try2hack.nl

有小皮皮鲁说,从这里就能看出来刀光雪影的实力已经没落了,看样子他来自

灰色轨迹论坛了,他给了http://www.sandflee.net/cgi-bin/lb5000/topic.cgi?forum=1&topic=8229

有通8关的答案,我想看看,耶,还要注册才可以,看样子有些拽耶

还是自己动手吧!



我很菜阿,一天才搞定,这会和众菜鸟哥哥,弟弟,妹妹,姐姐,谈谈小生的思路,

这个站设计的漏洞应该是很好的,只要我们思路清楚,一般过8关菜菜的过,我的方法

就是多想想设计者为什么这样设计,他设计的漏洞其意图何在,得了,费话少说,

开杀:

目标:www.try2hack.nl

no.1 访问level1.html

查看源文件,密码就在源文件中写着拉:if (passwd =="hackerzzz"),别告诉我你不知道怎么查看阿

密码就是这个hackerzzz,对了它就就给出第2关的文件名levvel2.html,大家注意到了没有,设计者是

通过文件名来控制各关进度,如果你直接猜到了第7关的文件名是LEVELSEVEN.html,你可以直接访问第

7关了,要不,跟我一关一关来。

no.2 level2.html

查看源文件,仔细看,要你输入用户名、密码,里面没有INPUT的东东,原来是那个flash文件要求的密码,

你看到的flash文件显示时一般缓存到本机了,找吧,找出来,用notepad打开,有东东:Try2Hack(NokiaIsGood)

no.3 LLeVeLL3.html

一打开这关,就出现询问密码,很明显,这是用VB或JAVA 脚本写的,是在客户端执行的,因此我们可以看它的

代码,注意,手脚迅速些,在询问打开之前,赶快点菜单看源文件,文件开头是这样的:

<HTML>
<HEAD>
<SCRIPT src="JavaScript"></SCRIPT>
<SCRIPT language="JavaScript">

注意第3行,呵呵,它比后面的先执行,变量password是读取这个叫"JavaScript"而后赋的值,

PASSWORD="AbCdE"已经验证完才执行的,所以跟本不是"AbCdE",是个幌子,我们试试能不能访问这个叫

JavaScript的文件,耶,可以访问的:PASSWORD = "TheCorrectAnswer"

no.4 thelevel4.html

查看源文件,仔细看,要你输入用户名、密码,里面没有INPUT的东东,但有这么一行“<applet code

="PasswdLevel4.class" WIDTH="370" HEIGHT="220">”,呵呵,密码是这个applet要的,地球人都知道

applet是在客户端执行的,找吧,你的机上有这个文件的,或者你直接访问PasswdLevel4.class,就可以

DOWN下来。找到打开,是乱码,但是地球人还知道*.class是可以反编译的,随便下载个反编译软件,反了

它,注意这些代码,其初始语句:infile = new String("level4");
try
{
inURL = new URL(getCodeBase(), infile);
}

就是说,它在施行询问之前,先去老家拿了个叫level4的文件,访问它并看他的源文件,levle4内容:

5_level_5.html(这名字够复杂的)
Try2Hack
AppletsAreEasy

no.5 5_level_5.html

它要你download一个用vb3.0写成的程序,下载它,这个程序要你输入用户密码,然后程序给你第6关的HTML

文件名。用记事本打开这个程序,当然是乱码拉,能不能象JAVA那样反编译看他的代码,可以的,去网上下个

反编译VB3.0程序的软件,反了它,有如下关键代码:
Const mc001A = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ.,:;-*+=~|&!_$#@()[]{}<\/>"If txtUsername <> Mid(mc001A, 56, 1) & Mid(mc001A, 28, 1) & Mid(mc001A, 35, 1) & Mid(mc001A, 3, 1) & Mid(mc001A, 44, 1) & Mid(mc001A, 11, 1) & Mid(mc001A, 13, 1) & Mid(mc001A, 21, 1) Then
MsgBox "Username not accepted."
Exit Sub
End If
If txtPassword <> Mid(mc001A, 51, 1) & Mid(mc001A, 31, 1) & Mid(mc001A, 30, 1) & Mid(mc001A, 51, 1) & Mid(mc001A, 16, 1) & Mid(mc001A, 45, 1) & Mid(mc001A, 24, 1) & Mid(mc001A, 29, 1) & Mid(mc001A, 26, 1) & Mid(mc001A, 19, 1) & Mid(mc001A, 28, 1) & Mid(mc001A, 11, 1) & Mid(mc001A, 30, 1) & Mid(mc001A, 19, 1) & Mid(mc001A, 25, 1) & Mid(mc001A, 24, 1) Then
MsgBox "Username/Password don't match."
Else
MsgBox "User logged in !"

大意就是如果用户名是Try2Hack密码是OutOfInspiration,它就告诉你第6关的HTML文件名是:我忘了

no.6 文件名我忘了

它要你下载一个用VB5.0写成的程序,好象跟上一关差不多阿,耶,其实差的不少,VB5.0编译的程序一般不可以反编译的

没着了吧,没关系,执行它,随便输入,它提示连接,校验,然后说密码不对,它和谁连接的应该是我们破解的入手点,

找个sniffer工具,随便哪个能抓应用层包的工具都成,做个过滤,本端地址,对端地址填213.19.140.2,不然抓的太多了不好

分析,在执行那个程序,我们会发现这个程序验证密码时到www.try2hack.nl拿了一个叫p.lv6的文件,访问p.lv6,得到文件内容:

(ENCRYPTION TYPE)
B*C*N**N
(USERNAME)
ababa abbab baaaa aaabb
(PASSWORD)
ababa aaaaa abbaa abbba aaaaa baaaa baaba babba
(PAGE)
ababa aabaa baabb aabaa ababa baaab aabaa baabb aabaa abbaa

这个算法是什么东西,晕啊,不知道啊 ,不管它,我们搞IP欺骗,在自己机上开个http服务,把这个文件修改了放上去,我是把user

行的最后一个拿出来替换所有的user和password组合,随便a,b,c试下去,到输入dddd,dddddddd,它就乖乖地招了:
http://www.try2hack.nl/LEVELSEVEN.HTML

no.7 LEVELSEVEN.html

打开这个页面,有个到http://www.try2hack.nl/cgi-bin/level7.pl页面,打开,这个它,它告诉我们我们的浏览器不是

IE6.72,我们的操作系统不是LIUNX,我们不是重www.microsoft.com/ms.htm中链接过去的,有病阿,linux有IE6.72?

微软会在它的页面上放上到http://www.try2hack.nl/cgi-bin/level7.pl的链接?看level7.pl的源代码,它是在服务器端

执行的,我们看不到的,还是研究一下我的IE6.00和它通信时都告诉了它什么,抓包,我们会发现,我们的IE6.00告诉对方:

我是MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705。。。。耶,level7.cgi应该是根据这些信息知道我们不是它要求的

客户,嘿嘿,需要欺骗对方才行,用军刀来做吧,怎么做,格式我不讲拉,如下做就可以哄对方了:

nc www.try2hack.nl 80 [enter]

GET /cgi-bin/level7.pl HTTP/1.1 [enter]
Accept: image/gif, image/x-xbitmap, application/msword, */* [enter]
Referer: http://www.microsoft.com/ms.htm [enter]
Accept-Language: zh-cn [enter]
Accept-Encoding: gzip, deflate [enter]
User-Agent: Mozilla/4.0 (compatible; MSIE 6.72; Linux 8.8.8 i986) [enter]
Host: www.try2hack.nl [enter]
Connection:

Keep-Alive [enter]

注意,如果出现HTTP 400时,说明你输入格式有问题,出现httpd 200回应时,就给出结果了:

......Level-8.html......

no.8 Level-8.html

第8关其实很简单的,主页的作者用phf.cgi做第8关的验证CGI,phf.cgi是个古老的漏洞,其意在于引发你使用CGI漏洞来过这关,

访问/cgi-bin/phf.cgi?Qalias=x%0a/bin/cat%20/etc/passwd,你会得到BuiZe:Bu3kOx4cCMX2U,echo BuiZe:Bu3kOx4cCMX2U>1.txt 用john.exe:john 1.txt,在win2000上跑,10分钟得到结果:BuiZe(arsanik).

进去:User "BuiZe" logged in.

New message for BuiZe :

Level 8 completed !
Go to irc.quakenet.org and join #try2hack
There open a query to the bot 'TRY2HACK' and type 'perfect-start'

A query is a private message! So don't go pasting it in the channel.

OK,8关搞定,怎么样,大家给我打及格吧,这是刀光雪影的一个答案,大家说有灰色轨迹的帐号的,不怕丢丑,给他们也甩个连接

让他们来看哇!