hackthissite(Basicmissionslevel1-10)攻略
突然想到之前有去过 这个⽹站,玩了⼀两关,后来没好好玩下去,今天有点⼿痒,于是⼜去玩了⼀下,最后第11关没搞明⽩神马意思,前⾯10关总算是闯过去了,在这⾥分享⼀下所有的⽅法.
believe的意思⾸先进⼊这个⽹站要注册⼀下,你要是不想注册直接⿊进去的话,那也不⽤玩了,对你来说是浪费时间.现在开始闯关!(推荐使⽤Firefox浏览器)
Level1
第⼀关很简单,直接察看源代码,就可以看到密码直接写在注释⾥
了,如图1-1所⽰.thanksfor
图1-1
直接在密码框⾥输⼊6378111e即可过关.(复制的时候后⾯可能会有空格,如果出错,检查⼀下最后不要有空格)
Level2
公共英语三级报名时间
Network Security Sam t up a password protection script. He made it load the real password from an unencrypted text file and compare it to the password the ur enters. However, he neglected to upload the 这傻孩⼦忘了上传密码⽂件了,神马也别输,直接按submit就可以过关了.=.=!!
Level3
这次他没忘记上传密码⽂件,不过他把保存密码的⽂件名写在代码⾥了,察看源代码如图3-1所⽰
图3-1
输⼊这个⽹址就可以看到密码了ac406b99
Level4
他为了不忘记密码,在页⾯上加了⼀个按钮,发送到他的mail地址.察看源代码,如图4-1
图4-1
看到他的邮件地址是 别发邮件去问他密码,没⽤的,他不会睬你的.保存源⽂件到本地,⽤记事本打开h
tm⽂件,把这个value的值改为你的邮件地址或者⽤(),然后就打开这个htm,按nd password to Sam按钮,密码就显⽰出来了password: f784c8b3
Level5
metropolis翻译第5关和第4关很相似,不过再按照第4关的⽅法是没⽤的,不然怎么叫第5关呢...不要紧,FF派上⽤处了,还没装?赶快去下载吧,顺便再装⼀个firebug插件.
打开firebug,找到那个邮件地址后,改成别的邮件地址,如图5-1所⽰
图5-1
不要关掉firebug,直接按那个nd password按钮,密码显⽰出来了Password: 80c5afe8
Level6
第6关是⼀个简单的加密算法,他号称⾃创的,还提供了你加密机和加密后的密码a2g9=<gh,关键看你怎么解密,先把这个密码放到加密机⾥加密⼀下试试看,得到结果a3i<AAmo,
把这两个对⽐⼀下,发现明⽂(a2g9=<gh)和密⽂(a3i<AAmo)都是8位数,第⼀位相同,第⼆位密⽂(3)
韩式麻花辫发型扎法的ASCII码(51)是明⽂(2)的ASCII码(50)加1,第三位密⽂的(i)的ASCII码是明⽂的ASCII码加2,依此类推...所以说要得到密码,就把加密后的密码a2g9=<gh按位减0~7后得到密码为a1e697aa
Level7
第7关有个⽂本框可以输⼊cal命令的参数,⽐如输⼊2011,按view就可以看到2011年的⽇历...其实不仅仅是这样,输⼊;ls(其实就等于执⾏了两个命令cal;ls),再按view看看,看到了⼀个很奇怪名字的⽂件k1kh31b1n55h.php,输⼊⽹址即可看到密码e7dc4f33
英语心理测试Level8
这关是和SSI(Server Side Include)相关的,这个东东不太清楚怎么玩,在wikipedia⾥⾯看到⼀串代码<!--#exec cmd="ls -l"-->输⼊提交后显⽰
If you are trying to u rver side includes to solve the challenge, you are on the right track: but I have limited the commands allowed to ones relevant towards finding the password file for curity reasons(becau there will always be that one person who decides to execute some rather nasty commands). So plea manipulate your code so that it is a little more pertaining to the level.
他把命令限制了⼀下,把-l去掉后输⼊<!--#exec cmd="ls"-->提交后可以看到
Hi, tshngmww.shtml hipykpqu.shtml ztxdhjxn.shtml avpfeoie.shtml fviqpmaw.shtml kqbybdzc.shtml dzrnmzgx.shtml npcsygfl.shtml whqxxojt.shtml ylomcmvu.shtml uhdppswp.shtml gzntiicx.shtml dzwbqiuu.shtml qvzuieng.shtmlcookie
9442smcerykh.shtml qjhnmhmq.shtml znodwztr.shtml!
Your name contains 254 characters.
这些是tmp⽂件夹⾥⾯的⽂件,密码⽂件放在上⼀层⽬录⾥,所以应该输⼊<!--#exec cmd="ls .."-->提交后看到
Hi, au12ha39vc.php index.php level8.php tmp!
Your name contains 39 characters.
这个au12ha39vc.php应该就是存储密码的⽂件,打开⽹址后显⽰出密码为4e91f22a
Level9
这关没有那个可以输⼊代码的⽂本框了,只有⼀个密码框,怎么办?回到第8关,⽤第8关的那个框,输⼊<!--#exec cmd="ls ../../9"-->提交后看到
Hi, index.php p91e283zc3.php!
sugar是什么意思Your name contains 24 characters.这个p91e283zc3.php就是存储第9关密码的⽂件,打开⽹址显⽰密码fa459868
Level10
这关神马提⽰都没有了,其实这关根本没有密码,但是你神马都不输⼊直接按submit是没⽤的,因为⽹站在你本地的cookie⾥⾯写了⼀条
level10_authorized=no神马也不要输⼊,先点submit按钮,会显⽰You are not authorized to view this page⽤Firefox打开选项->隐私,如图10-1所⽰
如图10-1
点删除私⼈cookie,查找hackthissite,可以看到level10_authorized的值为no,如图10-2所⽰
图10-2
现在知道了,他是读你的cookie,只要这个值不改是⽆法过关的,所以现在就来改成yes吧,在地址栏⾥输⼊
kie='level10_authorized=yes'回车后cookie的值变成yes了,重新打开第10关,神马也不要输⼊,直接按submit 就恭喜你过关了!
Level11
这关不知道怎么玩,有谁知道的话⿇烦告诉我⼀下,先谢谢了!巴巴爸爸全集下载
