hack this site learn -----> Basic missions

原创 2015年11月21日 12:32:55

一、 Level 1 (the idiot test)

This level is what we call "The Idiot Test", if you can't complete it, don't give up on learning all you can, but, don't go begging to someone else for the answer, thats one way to get you hated/made fun of. Enter the password and you can continue. 

一开始点击输入密码框的时候,它提示要输入用户名的密码,我以为是要账号的密码,但是 summit 了之后,发现是错误的,又想想,感觉应该不是这样的,然后想看看网页的源码看看,之后 就看到了在密码输入框 那里有个一 注释,如下:


输入这个密码之后, submit ,成功了!!

备注:   有时候 密码可能就在页面的源码里,开发人员注释  而忘记删除!


二、Level 2  

Network Security Sam set up a password protection script. He made it load the real password from an unencrypted text file and compare it to the password the user enters. However, he neglected to upload the password file...

主要说了Sam 设置了密码保护脚本,通过输入的密码和密码保护脚本进行比对,但是它没有把密码脚本文件 上传。。。

  既然没有密码脚本文件了,那就不输入密码,直接是空的。 如果你输入了密码,是错误的,没有密码脚本进行比较。 正确做法就是不输入密码,直接submit 。

备注: 有时候开发人员可能会忘记上传密码加密文件,所以试着不输入密码,有可能是正确的。


三、 Level 3

This time Network Security Sam remembered to upload the password file, but there were deeper problems than that.

通过和Level 2 页面源码的对比,发现了

Level 2 页面的源码:


Level 3 页面的源码:


则 在 view-source:https://www.hackthissite.org/missions/basic/3/  后面直接添加 password.php  就可以看到密码了。


四、Level 4 

This time Sam hardcoded the password into the script. However, the password is long and complex, and Sam is often forgetful. So he wrote a script that would email his password to him automatically in case he forgot. Here is the script:

源码如下: 


破解方法说是 把 源码拷贝到本地,然后把 邮箱地址换成自己的就可以了,但是我试过了,好像没有成功,其中的原理也没有看明白。


五、Level 5  

百度查询了一下,发现了这个方法,但是我没有试成功。

这个解决方法比较高级,因为用mission4的方法没用了,而要用firefox的一个插件firebug调试修改源代码,同样部位改成自己的email,破解成功


六、Level 6

添加了一个加密的程序,通过测试这个加密程序,发现加密规则是这样的:  第一位的字符,ascii 码 加0,第二位字符加1,一次类推,得到加密的算法,然后进行反解密:

解密的程序如下(java写的):  

public class Demo {
    public static void main(String[] args) {
        // TODO Auto-generated method stub
        String str = "eg7fj5j<";
        for(int index = 0; index < str.length(); index ++){
            char temp = str.charAt(index);
            int flag = temp - index;
            System.out.print((char)flag);
        }       
    }
}

得到的解密密码为:  ef5cf0d5 

七、Level 7


通过测试发现,输入一个年份,然后就返回了日历,而且上面也说了 ,UNIX cal command ,所以知道这个Unix 命令,然后可在输入框输入年份之后,再输入一个分号,输入 ls  显示文件夹,就能看到 密码文件。


八、Level 8 



通过测试发现,提交到服务器的是 .shtml 文件  ,由这个发现,查询了一下,发现可能用到到了SSI (server side include) ,通过下面博客了解了SSI

http://blog.csdn.net/shaerdong/article/details/8071114 

然后通过  输入“<!--#exec cmd="ls .." -->” 得到想要的文件 如果只输入<!--#exec cmd="ls " -->” 则不能得到密码文件,因为 此时的ls 不是在../8/目录下,而是在../8/tem/ 多了一层,所有需要到它的上一层去找

九、Level 9


这里只有一个密码输入框,但是我们可以知道,文件存放的位置是在 ../9/下的,然后我们可以回到 Level 8 中,通过在输入框中输入“<!--#exec cmd="ls ../../9"-->” 就可以看到密码文件,然后通过浏览器 访问该文件就OK了、


十、Level 10

这个百度了一下,说是因为cookie 的原因,修改一下就可以了,我没有安装Firefox 浏览器,所以没有修改。

十一 、Level 11

这个百度了,也没有查询出来怎么解决!




版权声明:本文为博主原创文章,未经博主允许不得转载。

hackthissite(Basic missions level1-10)攻略

突然想到之前有去过http://www.hackthissite.org这个网站,玩了一两关,后来没好好玩下去,今天有点手痒,于是又去玩了一下,最后第11关没搞明白神马意思,前面10关总算是闯过去了,...
  • dolphinysj
  • dolphinysj
  • 2011年08月21日 17:02
  • 5172

进攻即是最好的防御!19个练习黑客技术的在线网站

进攻即是最好的防御,这句话同样适用于信息安全的世界。这里罗列了19个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、代码审计师、渗透测试人员,通过不断的练习才能让你成为一个优秀安全研究人...
  • bfboys
  • bfboys
  • 2017年03月07日 17:09
  • 682

渗透测试攻防练习实验室 (资源分享,国外在线教程)

Vulnerable Web Applications Vulnerable Web Applications BadStore http://www.bad...
  • bjtbjt
  • bjtbjt
  • 2016年07月26日 11:44
  • 7783

hack this site--level6

这一次Sam对他的密码进行了加密,但是采用了公开加密的方法。 公开密钥加密的过程是: 假设两个用户A,B进行通信,A先发送信息给B,然后B发送信息给A 1.B先产生一对密钥K1a和k1b,前者用...
  • qq_27181999
  • qq_27181999
  • 2017年06月12日 20:32
  • 84

hack this site-level 1 the idiot test

提示我们需要html的知识,然后上来就问我们要password。。那就查看网页源代码看看呗 藏在这里。。 输入完美通过。。。果然idiot...
  • qq_27181999
  • qq_27181999
  • 2017年06月10日 15:43
  • 77

从前端菜鸟到大神

联网的快速发展和激烈竞争,用户体验成为一个重要的关注点,导致专业前端工程师成为热门职业,各大公司对前端工程师的需求量都很大,要求也越来越高,优秀的前端工程师更是稀缺。个人感觉前端入门相对容易,但是也需...
  • nightmareYan
  • nightmareYan
  • 2016年08月31日 09:59
  • 1909

前端涉及的所有知识体系

github上最全的资源教程-前端涉及的所有知识体系 目录(?)[+] 前端无疑是2016年最火热的技术,没有之一。 各种前端mvc框架层出不穷,...
  • Lucky_LXG
  • Lucky_LXG
  • 2017年01月17日 15:30
  • 3631

hackthissite basic 1-11

//url:www.hackthissite.org Level 1(the idiot test) This level is what we call "The Idiot Test"...
  • kazeyomi
  • kazeyomi
  • 2015年11月27日 14:29
  • 1062

Google高级技巧—google Hack★★★★

google hacking其实并算不上什么新东西,当时并没有重视这种技术,认为webshell什么的,并无太大实际用途.google hacking其实并非如此简单... 常用的google关键字:...
  • iiprogram
  • iiprogram
  • 2007年04月25日 16:16
  • 11723

前端涉及框架体系

前端涉及框架体系
  • yingjiekuaile
  • yingjiekuaile
  • 2017年09月21日 14:46
  • 1362
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:hack this site learn -----> Basic missions
举报原因:
原因补充:

(最多只允许输入30个字)