2. Cikkek
  3. Egyéb

Hack-test.com - hackelés játékosan!

Múltkoriban találtam rá az alábbi, szerintem ötletes weboldalra: Hack-test.com

Ez egy 20 szintből álló online játék, lényege, hogy tudd meg a jelszavakat, felhasználóneveket, törd fel, és juss tovább a következő szintre! Ehhez viszont szükség lehet némi programozási ismeretre, meg némi html ismeretre, de elég teljesen alapszinten tudni pár dolgot, legalábbis az első pár szintig így megy, de utána bekeményít, egyre trükkösebb feladatokat ad. Talán a játék segítségével - ha tudsz webes programnyelvet - betömheted az oldaladon a biztonsági réseket, így nehezebb lesz majd feltörni.

Lényege az írásomnak az lenne, egyrészt lektöni titeket, próbálkozzatok csak, másrészt esetleg ez az egész valakinek a hasznára is válhat (remélem nem kárára), harmadrészt, próbáljuk meg közösen megfejteni mind a 20 szintet! Szerintem nem lesz könnyű, de talán sikerül. Amit eddig nekem sikerült megfejtenem azokat ide beírom, illetve aki próbálkozik vele és továbbjutna, örülnénk ha leírná mikéntjét a fórumba, így együtt, továbbhaladnánk ugyebár 1-1 szinttel.

A következőktől csak az olvassa el aki megoldotta, és akit nem izgat a játék, de aki ugyanúgy el akarja kezdeni, izgulni, szenvedni vele az álljon meg az olvasással, és uccu neki! De majd ha elakad nyugodtan belenézhet a megoldásba, hisz azért lesz ez itt! No akkor lássuk a medvét:

Level 1

Egy jelszót kér be, hát én kapásból megnézem az oldal forráskódját (jobb klikk->oldal forráskódja), és elkezdem nézegetni a forráskódot. Megtalálom az ablaknak a html kódját, és a form a következőre utal -

action="javascript:check()"

- ez számomra egyértelműen mutatja, hogy meg kell keresnem a JavaScript kódban a check függvényt. Itt bizony az

a

nevű változót ellenőrzi le, de annak az értéke megvan adva közvetlen a függvény előtt -

var a="null";

- tehát a jelszavunk a null !

Level 2

Itt a legelején nyomj egy mégsét. Nézd meg az oldal forráskódját. Az előzőek alapján ugyancsak egy JavaScript kódot kell keresni és a mi részünk a 44. sorban kezdődik. Logikailag ha megnézed rájössz bizony, hogy nem lehet más itt a jelszó, mint a

pass

változóben szereplendő l3l ! Frissítsük az oldalt és be lehet írni.

Level 3

Itt ugyancsak kattints a mégsé-re, és nézzük a forráskódot. A 44. sortól kell nézni, ott lesz a JavaScript kódunk, méghozzá a pass függvényben: az Eingabe változó az, amit mi majd be fogunk írni a felugró ablakba, így nem ennek az értékét kell keresni, hanem a pw változó értékét. Erre a következőt találtam -

pw=window.document.alinkColor;

- , nos ez mit is jelenthet? Hát a css, a stílusfájlban meg kellene nézni mi is megadva az a:link-ben a color-nak. Ezt a default.css-ben lesz, és meg is lesz a jelszó, ami a #000000 . Frissítsük az oldalt és be lehet írni.

Level 4

Hát itt kattintsunk a linkre. (Előre megmondanám mielőtt rákattintunk a linkre előbb mentsük le a linken lévő .html fájlt, amire most megyünk.) Tehát le van mentve, egy felugróablak kéri a jelszavat, tehát újra reményeink szerint JavaScript lesz segítségünkre. Nem is kell sokat keredgélni, és újra megtaláljuk a 44. sorban azt a kódrészletet ami nekünk kellhet. A 46. sorban a következő áll -

if (pass=="SAvE-as hELpS a lOt") {

- hát ez számomra egyértelműen megmondja, hogy a jelszó nem más, mint SAvE-as hELpS a lOt !

// nemtudom, lehet hogy itt elcsúsztak kicsit a szerkesztők a számlálással, nah egal!

Level 6

Itt nyomjunk egy mégsé-t, és nézzük meg az oldal forráskódját. A 45. sorban a következőt találtam -

var pass, i;

- úgy érzem, ez még hasznunkra válhat! Nézzük továb a forráskódot erősen böngésszük, és rájövünk, hogy a 141. sorban be van illesztve src-vel (source) egy .js, azaz JavaSript fájl -

<SCRIPT SRC="psswd.js" LANGUAGE="JavaScript" type="text/javascript">

- hát ezt a psswd.js -t mentsük le /nézzük meg. Itt ez a sor lesz a menő -

if (pass=="streetzkornerz") {

- amely számomra egyértelműen megmondja a jelszót: streetzkornerz ! Frissítsük az oldalt, és írjuk be a megfejtett jelszót.

Level 7

Mondanom se kell, forráskód! Emlékszem, régebben olvastam egy helyen, ahol .gif kiterjesztésű fájlba, ügyesen be lehet tenni html kódot. Nemtudom de már ezelőtti szintekben is átnéztem az ilyen jellegű képeket de itt most feltűnt egy új kép, mégpedig a 42. sorban -

</head><body bg="images/included.gif">

- hát, nézzük meg mit tartalmaz a .gif. Hopp, az alján van némi írás, nézzük csak meg közelebbről! Az van odaírva, hogy Username: phat Password: jerkybar3.

Most csak ugrat minket? Hát, nem tehetünk mást, mint kipróbáljuk. Hoppáré! Továbbengedett, örüljünk.

Level 8

[link] - Hát tekintsük meg az oldal forráskódját. Ne tévesszen meg senkit se, hogy látunk ott PHP forráskódot, ugyanis az nem fut le, mertja lefutna nem is láthatnánk ugyebár, mindössze html megjegyzésbe rakták bele a trükkösfiúk. Én személy szerint nem találtam semmi gyanúsat, így hát 1 dolog maradt, megnézni azt az oldalt, amire fog vinni a login, ahol leellenőrzi majd az adatokat, a phat.php -t kell megtekinteni. Hát bizony, az 5. sorban egyből gyanús dologra lettem figyelmes -

<BODY BGCOLOR="#ffffff" TEXT="#000000" bg="images/phat.gif">

- ezen belül természetesen a gif fájl miatt fáj a szemem, hát ne habozzunk! Nézzük meg. Mintha látnék némi írást a jobb alsó sarokban, hát nagyítsuk fel. Ez áll ott -

Look for a -PhotoShopDocument

- hát én mikor először itt jártam próbálkoztam azzal hogy letöltöm, megnyitom photoshoppal, hátha van vmi érdekes, vagy kiterjesztését átírom .psd-vé, de ez se volt nyerő, de végül kipróbáltam, mivan ha a szerveren van fenn egy .psd fájl, hát egyből átírtam a .gif-et .psd-re, így letöltöttem a http://www.hack-test.com/images/phat.psd PhotoShop fájlt. Megnyitom, turkálok a rétegek közt, mígnem rátalálok a DEMO DEMO DEMO DEMO DEMO rétegben a lényegre. Természetes hogy ez volt legalul a rétegek között. Tehát a Felhasználónév: zadmin , Jelszó: stebbins !

Level 9

Mivan? Crack the password? Kössz... Sebaj, nézzük meg a jól bevált forráskódot. Nem ír semmit, na de várjál, hoppá! Ott alul van még valami. Nézzétek meg csak a 2^10-en sorban mi van oda írva! Password: Z2F6ZWJydWg= add a page extention to that. Hát csak annyit mond hogy a jelszóhoz hozzákéne adni az oldal kiterjesztését a php-t. Nos én ezt próbáltam sokféle módon de nem jöttem rá mi a megoldás, mert pl az, hogy

http://www.hack-test.com/phat.php?Z2F6ZWJydWg=php

nem nyerő.

Én eddig jutottam el, innentől tietek a pálya! Sok sikert a megoldáshoz, remélem tetszett az írásom. Én ezt szántam elsőre ami a Gamepod.hu-n is megjelenik.

Üdv: raczger