“New Way”黑客通关技术细节.docVIP

“New Way”黑客通关技术细节 Simeon 在某一个安全群丢来一个地址“/hack/”，以下为该网站的介绍： 挑战的不仅仅是黑客技术，近几年玩过国内、国外许多黑客闯关的游戏，它们大多数是以web脚本技术为主要挑战项目。也有少部分用到反编译、软件破解、社会工程学或其它非web方面的技术。现在，我也来设计一套黑客技术闯关题目，力争把技术面做得更广、更深一些。欢迎白帽子、黑帽子等各色帽子们前来指教！本游戏的关卡设计思路是由易到难，由web客户端技术到web服务器端技术，再扩展到传统软件技术、新型应用程序技术，以及社会工程学等。中间也会有部分关卡用到比较老的技术或思路。有些关卡的过关方法不止一种，尤其是提供了“New Way”的那些关卡。(New Way means another way to pass the level)。 废话少说，开始闯关！ 第1关脚本隐藏真实“密码” 闯关地址：/hack/?level=1，要求输入密码，获取真实密码即可进入下一关，如图1所示，根据其提示语“仅在浏览器端用脚本进行身份验证是不安全的”猜测其密码应该保持在网页中。 图1第一关题目 解题思路： 通过浏览器查看其网页源代码，右键单击，查看网页源代码，果然在代码中获取过关密码“54321go”，如图2所示。第一关密码在保存在“function gogogo()”中。在第一关密码框中输入获取的密码，顺利过关，如图3所示。 图2获取第一关过关密码 图3通过第一关 第2关禁用脚本直接过关 第2关闯关地址：/hack/?level=222。过关提示“这讨厌的脚本，为什么阻止我！ 图4禁用脚本过第2关 第3关神秘的“cookie”值 第3关闯关地址：/hack/?level=3login。粗看第3关没有什么信息，根据提示“您还没有登录，所以看不到本页的秘密”，如图5所示，猜测应该有隐藏的登录。 图5第3关 解题思路： 通过查看网页源代码，以及输入常见的后台地址，均无收获，后面估计应该是cookie值设置的开关，在Google Chrome浏览器中右键单击，选择“审查元素”，在“Name”中单击“?level=3login”，右边窗口选择查看“Cookies”，如图6所示，发现Login的值为“no”。在FireFox中安装一款Cookie管理工具，打开该网站所在Cookie，如图7所示，修改Login的值为“yes”，刷新网页，通过第三关，如图8所示。 图6获取过关Cookies值 图7修改Cookie 图8通过第3关 第4关摩尔斯电码 第4关闯关地址：/hack/?level=4ditdah，闯关提示：向嘀嗒嘀嗒的电子时代老一辈黑客们致敬IAMOK”。输入密码成功过关。 字符 代码 字符 代码 字符 代码 字符 代码 字符 代码 字符 代码 字符 代码 A ·- B -··· C -·-· D -·· E · F ··-· G --· H ···· I ·· J ·--- K -·- L ·-·· M -- N -· O --- P ·--· Q --·- R ·-· S ··· T - U ··- V ···- W ·-- X -··- Y -·-- Z --·· /hack/?level=5crack，根据提示“用流行的加密算法把密码加密成ac3320或YmFzZTY0aXNvaw==的形式并不可靠”，如图10所示，密码“ac3320”为md5加密，通过网站查询其密码为“543520”，密码“YmFzZTY0aXNvaw==”采用Dbase64加密，通过Dbase64解密获取其密码为“base64isok”，输入任何一个密码均可过关。 图10第5关密码破解 第6关计算机常见端口 第6关闯关地址：/hack/?level=6p，如图11所示，根据页面提示“有些常见的数字要记住”，要求解答“ if mstsc+vnc=9290 then password=MSSQL+MySQL+Oracle”，mstsc默认端口为“3389”，vnc默认端口为“5900”和“5901”，两者相加为“9290”，则MSSQL+MySQL+Oracle=1433+3306+1521= 6260，答案为“6260”。 图11第6关计算机常见端口 第7关图片中隐藏的“秘密” 第7关闯关地址：/hack/?level=75901，过关提示“眼花缭乱了吧，看电视的时候怎么不会啊！”，如图12所示，说是一款电视节目，在图片中有四组字母进行交替显示，将该图片保存到本地，使用文件编辑器NotePad打开该文件，获取文件末尾的一句话“爸鼻我们去哪儿”，如图13所示，根据图片的数字进行联