Hack This Site - Basic missions 레벨 1~10 풀이

  • Posted at 2008/01/19 00:23
  • Filed under War Game
Level 1.

Basic test of your skills to see if you can do any of these missions. Requirements: HTML
Basic 1
Level 1(the idiot test)

This level is what we call "The Idiot Test", if you can't complete it, don't give up on learning all you can, but, don't go begging to someone else for the answer, thats one way to get you hated/made fun of. Enter the password and you can continue.
첫 번째 문제답게 HTML만 안다면 쉽게 풀수 있습니다. HTML 코드를 사용할 수 있는지 알아보는 테스트 같네요. 주석을 유심히보세요.

Click to show spoiler...




Level 2.

A slightly more difficult challenge, involving an incomplete password script. Requirements: Common sense.
Basic 2
Level 2
Network Security Sam set up a password protection script. He made it load the real password from an unencrypted text file and compare it to the password the user enters. However, he neglected to upload the password file...
패스워드를 무시하는 방법을 생각해 보세요. common sense 라는데 전 생각보다 힘들게 풀었어요.

Click to show spoiler...




Level 3.

Some intuition is needed to find the location of the hidden password file. Requirements: Basic HTML knowledge
Basic 3
Level 3
This time Network Security Sam remembered to upload the password file, but there were deeper problems than that.
이것도 HTML 코드를 사용할 수 있는지 확인하는 테스트입니다. 힌트는 form 에 있습니다.

Click to show spoiler...




Level 4.

An email script has been set up, which sends the password to the administrator. Requirements: HTML knowledge, an email address
Basic 4
Level 4
This time Sam hardcoded the password into the script. However, the password is long and complex, and Sam is often forgetful. So he wrote a script that would email his password to him automatically in case he forgot. Here is the script:

['Send password to Sam' Submit Button]


이메일 주소가 필요하다는데 문제가  수정되서 그런지 이메일 주소는 필요없습니다. 이것 또한 html 을 필요하는 문제입니다.

데이터 전송 형식에는 GET, POST 등이 있고 제시한 2가지가 가장 많이 쓰입니다. 'Send password to Sam' 버튼을 눌렀을때 어떤 형식으로 가는지 잘 파악 해보세요.

Click to show spoiler...



Level 5.

Similar to the previous challenge, but with some extra security measures in place. Requirements: HTML knowledge, JS or FF, an email address.
Basic 5
Level 5
Sam has gotten wise to all the people who wrote their own forms to get the password. Rather then actually learn the password, he decided to make his email program a little more secure.

['Send password to Sam' Submit Button]
Level4와 동일한 문제지만 한가지 추가된 보안 기능이 있습니다. 똑같은 데이터 전송형식을 받지만 'Referer' 체크를 합니다. 'Referer'를 속일수 있는 방법을 생각해보세요.

Click to show spoiler...




Level 6.

An encryption system has been set up, which uses an unknown algorithm to change the text given. Requirements: Persistence, some general cryptography knowledge.
Basic 6
Level 6
Network Security Sam has encrypted his password. The encryption system is publically available and can be accessed with this form:

Please enter a string to have it encrypted.

[Input Box]
['encrypt' Submit Button]

You have recovered his encrypted password. It is:

0:;<7=:@

Decrypt the password and enter it below to advance to the next level.
일단 암호화 되는 패턴을 파악하는게 중요합니다. 간단한 값을 입력하여 패턴을 파악해봐요~

Click to show spoiler...




Level 7.


The password is hidden in an unknown file, and Sam has set up a script to display a calendar. Requirements: Basic UNIX command knowledge.
Basic 7
Level 7
This time Network Security sam has saved the unencrypted level7 password in an obscurely named file saved in this very directory.

In other unrelated news, Sam has set up a script that returns the output from the UNIX cal command. Here is the script:

Enter the year you wish to view and hit 'view'.

[Input Box]
['view' Submit Button]
입력란에 숫자(년도)를 입력하면 해당 년도의 달력이 출력되고 아무값도 입력하지 않으면 이번달 달력만 출력됩니다. 그리고 숫자 이외의 값을 입력하면 아무것도 출력되지 않구요.

Perl에서 유닉스 명령어를 사용 할 수 있는 방법을 생각해보세요.

Click to show spoiler...



Level 8.

The password is yet again hidden in an unknown file. Sam's daughter has begun learning PHP, and has a small script to demonstrate her knowledge. Requirements: Knowledge of SSI (dynamic html executed by the server, rather than the browser)
Basic 8
Level 8
Sam remains confident that an obscured password file is still the best idea, but he screwed up with the calendar program. Sam has saved the unencrypted password file in /var/www/hackthissite.org/html/missions/basic/8/

However, Sam's young daughter Stephanie has just learned to program in PHP. She's talented for her age, but she knows nothing about security. She recently learned about saving files, and she wrote an script to demonstrate her ability.

Enter your name:

[Input Box]
['submit' Submit Button]
힌트에 나와 있듯이 약간의 SSI(Server Side Include)에 대한 지식이 필요합니다. HTML주석을 사용하여 include, exec, echo 등을 사용할 수 있구요. 자세한 내용은 위 링크로 따라가 확인하길 바랍니다.

Click to show spoiler...




Level 9.

The password is again hidden in an unknown file. However, the script that was previously used to find it has some limitations. Requirements: Knowledge of SSI, unix directory structure.
Basic 9
Level 9
Network Security Sam is going down with the ship - he's determined to keep obscuring the password file, no matter how many times people manage to recover it. This time the file is saved in /var/www/hackthissite.org/html/missions/basic/9/.

In the last level, however, in my attempt to limit people to using server side includes to display the directory listing to level 8 only, I have mistakenly screwed up somewhere.. there is a way to get the obscured level 9 password. See if you can figure out how...

This level seems a lot trickier then it actually is, and it helps to have an understanding of how the script validates the user's input. The script finds the first occurance of '<--', and looks to see what follows directly after it. If it matches "#exec cmd="ls"-->" or "#exec cmd="ls /home/xec96/public_html/missions/basic/8/"-->" it accepts it. If it does not match any of the situations above, then it kicks the user out.
Level 8과 동일한 유형의 문제입니다. 똑같은 방법을 사용하여 /var/www/hackthissite.org/html/missions/basic/9/ 디렉토리에 접근 하면 됩니다.

Click to show spoiler...




Level 10.

This time, the password is encoded straight into the script. Whether the user is allowed in or not is determined by cookies; small pieces of information stored by the browser about the webpage that is being visited. Requirements: Javascript knowledge.
Basic 10
Level 10
Please enter a password to gain access to level 10
이제 드디어 Basic 마지막 레벨이군요. 이번 문제는 Cookie 관련 문제입니다. 푸는 방법은 여러가지지만 Javascript 를 이용하는 방법이 가장 간단하겠네요.

Click to show spoiler...



이로써 HackThisSite ( http://www.hackthissite.org ) - Basic Missions 풀이를 모두 풀어보았습니다.. 수정 및 질문은 coryas(at)gmail.com 메일로 받습니다. (모두 읽는다고 수고했어요~)

Posted by Coryas

2008/01/19 00:23 2008/01/19 00:23
Tag
, ,
Response
No Trackback , 12 Comments
RSS :
http://coryas.com/tc/rss/response/4

Trackback URL : http://coryas.com/tc/trackback/4

Comments List

  1. 원평희 2008/01/22 18:03 # M/D Reply Permalink

    재미있네요 :)

    1. Coryas 2008/01/23 07:41 # M/D Permalink

      요즘엔 HTS 푼다고 정신없네요.ㅋㅋ

  2. osiris 2008/01/27 18:59 # M/D Reply Permalink

    안 읽었음 ..
    내일부터 풀 예정 ;)

  3. 영숫 2009/02/12 08:08 # M/D Reply Permalink

    오늫

  4. 소국진 2009/02/16 05:00 # M/D Reply Permalink

    68% 허브가 1시간의 승부사로!!/강력한 남성을 드립니다 -2001.lu.to
    발기력,강직성2배강화-비글로 68% 허브 신제품- 파격할인(2001.lu.to)

    8만원10정/13만원20정/20만원40정
    ******************문의 013-0299-0197
    http://2001.ㅣlu.to

    체험담 바로가기 http://1900.lu.to(클릭)


    ************************************************************************
    -미국내 바이아그라 복용자 복상사 치사율 매년증가-
    -한국인 체질에 맞는 허브 고농축 분말 건강식품(미국FDA분류)
    -천연발기부전 치료효과-비글로-한국인 체질에 맞는 66% 허브 식품(캡슐)
    **************************************************************************
    1.아직도 죽음에 빠질수도 있는 가짜비아그라/ 가짜 발기부전제로 영원한 발기불능에 빠지시렵니까? ********
    *********************************************************
    2. 전세계적으로 가장 우수한 말레이지아산 허브만을 고농축시킨 조루및 발기부전 치료제입니다.
    3. 부작용이 전혀 없이 발기력과 강직성을 최고조로 유지시켜 줍니다. ***********************************
    4. 부작용많은 가짜 발기부전제 사용으로 영원한 발기불능에 빠지는 사람이 계속 늘어가고 있읍니다. ***********
    **** 드디어 비글로(VIGRO) 미국 SPECIAL FOOD MARKET에서 매출 1위 ******************************************
    1알에 모든걸 담아 복용후 1시간이내 4일간 발기효능 지속 !!
    *************************************************
    8만원10정/13만원20정/20만원40정
    **************************************************

    미국 FDA,GMP,ISO 검증 제품
    ***************************
    상품 구경하러 가기http://2001.lu.to(클릭)
    링크안보일때 2001.lu.to를 주소창에 붙여 넣으세요.
    ************************************************* *
    부작용있을시 무조건 반품!!
    ****************************
    * 200명의 한국인 대상 임상 결과 부작용 제로를 기록했읍니다.
    ***********************************************
    *주소: 500W.CHELTENHAM AVE. PHILADELPHIA.PA19126. USA
    *대표자 : Scoott 리챠드
    *Email: onbergss@hanmail.net 상품 구경하러 가기 http://2001.lu.to******
    링크안보일때 2001.lu.to를 주소창에 붙여 넣으세요.
    ************************************************ *****
    한국에서 싸이트 접속장애시 013-0299-0197로 연락주세요
    *************************************************
    체험담 바로가기 http://1900.lu.to(클릭)

  5. 박현주 2009/03/10 10:11 # M/D Reply Permalink

    ><
    ㅂ ㅏ><다 이...야><#><><기 고...,>< 래 상><.. 어 해...파..리

    오><리><><><지><><날 바>< 다를 즐 기 실 수 있습니다

    www.love777.xy.to

    높은 승><><율><로... 짜><릿><한 손><><맛을 보 실 수 있을 겁니다


    www.love777.xy.to

    ><
    입#><#금#@액에 30%를 추><가 충><전 해주기 때문에


    상34어 고4..래 출...현이 부담이 덜합니다


    www.love777.xy.to


    신><규 오><픈 이기 때문에 펑펑 터집니다




    www.love777.xy.to

  6. 박현주 2009/03/14 06:07 # M/D Reply Permalink

    ><
    ㅂ ㅏ><다 이...야><#><><기 고...,>< 래 상><.. 어 해...파..리

    오><리><><><지><><날 바>< 다를 즐 기 실 수 있습니다

    www.love777.xy.to

    높은 승><><율><로... 짜><릿><한 손><><맛을 보 실 수 있을 겁니다


    www.love777.xy.to

    ><
    입#><#금#@액에 30%를 추><가 충><전 해주기 때문에


    상34어 고4..래 출...현이 부담이 덜합니다


    www.love777.xy.to


    신><규 오><픈 이기 때문에 펑펑 터집니다




    www.love777.xy.to

  7. 박현주 2009/03/15 09:24 # M/D Reply Permalink

    ><
    ㅂ ㅏ><다 이...야><#><><기 고...,>< 래 상><.. 어 해...파..리

    오><리><><><지><><날 바>< 다를 즐 기 실 수 있습니다

    www.love777.xy.to

    높은 승><><율><로... 짜><릿><한 손><><맛을 보 실 수 있을 겁니다


    www.love777.xy.to

    ><
    입#><#금#@액에 30%를 추><가 충><전 해주기 때문에


    상34어 고4..래 출...현이 부담이 덜합니다


    www.love777.xy.to


    신><규 오><픈 이기 때문에 펑펑 터집니다




    www.love777.xy.to

  8. 비글로 2009/03/21 03:24 # M/D Reply Permalink

    68% 허브가 1시간의 승부사로!!/강력한 남성을 드립니다 -2111.lu.to
    발기력,강직성2배강화-비글로 68% 허브 신제품- 파격할인(2111.lu.to)
    ***************************************************************
    8만10정/14만20정/22만42정**
    -비글로의 고농축된 허브가 말초혈관까지 침투!!
    -발기부전은 물론/ 전립선 강화/ 시력,청력 손상 회복등 불가사의한 위력 발휘!!
    ************************************************************************
    -미국내 비아*라 복용자 복상사 치사율 매년증가-
    -한국인 체질에 맞는 허브 고농축 분말 건강식품(미국FDA분류)
    -천연발기부전 치료효과-비글로-한국인 체질에 맞는 68% 허브 식품(캡슐)
    **************************************************************************
    1.아직도 죽음에 빠질수도 있는 가짜*아그라/ 가짜 발기부전제로 영원한 발기불능에 빠지시렵니까? ********
    *********************************************************
    2. 전세계적으로 가장 우수한 말레이지아산 허브만을 고농축시킨 조루및 발기부전 치료제입니다.
    3. 부작용이 전혀 없이 발기력과 강직성을 최고조로 유지시켜 줍니다. ***********************************
    4. 부작용많은 가짜 발기부전제 사용으로 영원한 발기불능에 빠지는 사람이 계속 늘어가고 있읍니다. ***********
    **** 드디어 비글로(VIGRO) 미국 SPECIAL FOOD MARKET에서 매출 1위 ******************************************
    1알에 모든걸 담아 복용후 1시간이내 4일간 발기효능 지속 !!
    *************************************************
    8만10정/14만20정/22만40정
    **************************************************

    미국 FDA,GMP,ISO 검증 제품
    ***************************
    상품 구경하러 가기http://2111.lu.to(클릭)
    링크안보일때 2111.lu.to를 주소창에 붙여 넣으세요.
    ************************************************* *
    부작용있을시 무조건 반품!!
    ****************************
    * 200명의 한국인 대상 임상 결과 부작용 제로를 기록했읍니다.
    ***********************************************
    *주소: 500W.CHELTENHAM AVE. PHILADELPHIA.PA19126. USA
    *대표자 : Scoott 리챠드
    ************************************************ *****
    한국에서 싸이트 접속장애시 013-0299-0197(24시간)로 연락주세요
    *************************************************
    체험담 바로가기 http://1900.lu.to(클릭)
    원하지 안을시 290500으로해지부탁합니다

    8만10정/14만20정/22만42정**
    발기력,강직성2배강화-비글로 68% 허브 신제품- 파격할인(2111.lu.to)

  9. 1 2009/03/24 08:30 # M/D Reply Permalink

    66666666666

  10. ChristieAdkins28 2010/05/26 08:40 # M/D Reply Permalink

    Some time before, I really needed to buy a good car for my corporation but I didn't have enough money and could not purchase something. Thank God my mate adviced to try to take the <a href="http://lowest-rate-loans.com/topics/personal-loans">personal loans</a> at trustworthy bank. Thus, I acted so and used to be happy with my short term loan.

  11. 클리블랜드 2010/07/20 23:32 # M/D Reply Permalink

    (핫뉴스)발기부전 남성들의 수명단축및 당뇨,뇌졸증의 위험이 50%이상 증가합니다
    "MSN 메인 홈에 (2009.12.6)"

    **미국 클리블랜드에서 세계최초로 30분대 초기발기력/80시간 효과지속 발기부전제 제조 공급"

    ■발*기력과 강*직률을 3배 이상 증가!! 강력한 즉*효성 (30분내)
    ■기회를 놓치지 마십시오! 당신을 반드시 폭발시킵니다!
    013-0298-1495
    한글문자가능/ 한국에서 시내요금)
    ■하룻밤에 7번이 불가능 한가요? 아니요. 가능합니다!!
    -지금 보다 2, 3 인치 커지기가 불가능 한가요? 충분히 가능합니다!
    -100% 천연 생*약성분, 부작용 없이 3일간 효력 지속!!
    ■한국인 체질에 맞는 허브 고농축 성*기능 강*화 제품 (미국FDA분류)
    -초강력 새벽 발#기 가능!! 30분 이내 발#기 강력 유지!! *부작용 제로!!
    013-0298-1495한글문자가능/ 한국에서 시내요금)
    ■폭발적 오*르*가즘, 더 이상 남의 얘기가 될 수 없습니다!!
    한국내 최저가/ 발기력,강직성 최고
    15정10만원
    23정13만원
    34정18만원(은행잎 추출물 20일분 무료제공)
    52정25만원(은행잎 추출물 30일분 무료제공)

    ■■■■ 은행잎 추출물 120mg을 아침 저녁으로 2회 복용과 동시에 3일에 허브발기부전제 1정을 복용하여
    당뇨환자를 비롯하여 모든 경우의 발기부전자들에게 확실한 효과를 가져다 주고 있읍니다




    ■■■■ 복용자들의 체험담 ■■■■
    !. 불임 10년만에 얻은 꿈같은 내 아이를 !! ( 38세 )
    2009/09/06 (08:31)
    작성자 : 문경 돌쇠네 조회수 : 55
    결혼 10년만에 임신!! 5개월째!!
    결혼후 10년만에 아들을 얻었읍니다
    감격스럽습니다
    38살입니다
    ***를 안지 6개월이 돼 갑니다
    처음에는 정말 안믿는 맘으로 긴가민가?
    너무 속아서..
    그렇다고 발기가 완전히 안되는것도 아닌데..
    물론 몸도 약하고 회사 작업환경이
    유해환경이라서 아이가 안생긴다고..
    2. 너무 쎈데 이거 갠찬나요? (61세)
    2009/09/14 (13:13)
    작성자 : 해바라기 (fghjklsd@nate.com) 조회수 : 108
    샘플/ 빳빳한게 좋은데
    새벽에 소식오는게
    너무 쎈데 이거 갠찬나요?
    내가 나이가 61인대
    무슨 문제가 있는거 아인가요?
    적당한게 조은대
    겁시나서요 ...
    3.?아지는데 주체를 못하겠데여 (41세)
    2009/09/19 (10:03)
    작성자 : 누리꾼 (dgfsjkyut1@hotmail.com) 조회수 : 110
    지난주 구입한 골드쓰는데
    부드러우면서도 1시간 지나자
    쏱아지는데 주체를 못하겠데여
    아직 40초반인데 벌써 3년째 발기부전을 겪는지라
    안겪어 본 사람은 몰라요
    진짜 먹고 싶은 떡 앞에 두고 못먹는 심정
    진짜 말로 못하지요 .....
    4.아직도 벌렁벌렁!! (54세)
    2009/10/26 (13:12)
    작성자 : 돌팔이 조회수 : 78
    와이리 아렛도리가 아직도 벌렁거리노?
    이거 무슨 성분 들어 있읍니까?
    정확히 어제 밤 11시반에 먹고
    행사는 12시반 경에 치뤘는데
    한번 하고도 안죽어서
    1시간 이따가 또 올라갔더니만
    또 되데 ....
    5.거실에 나와서 진정시키느라고 팔 ?혀 펴기 10번 하는데
    도저히 안죽어요 (46세)
    2009/10/19 (11:53)
    작성자 : 구름따라 조회수 : 67
    정확히 40분있으니께 발동이 걸리는지 느른하게 아래동네가 뻐근^^
    따스한 온기가 순간 거시기하게^^
    기냥 자는 ** 기습 공격^^
    내리치는데 음메 팍팍 코쳐서리
    길게 가데예
    한10분여 했을까?
    아참 내일 출근이제?
    기냥 자려는데!!
    죽어도 잠이 안오길래
    꼬냑 한 잔 때리고'잠을 청하는데
    잠깐 눈 붙였을까?
    뭔가 꿈에 아랬동네가 뻐근해서 잠이 확 깼느데? .....
    (013-0298-1495한글문자가능/ 한국에서 시내요금)

    부작용 제로!!
    발.기.부.전에 획기적인치유력!!
    30분이내 직효성 발.기/ 4일간 지속효과!!
    조루 치료!!

    노인성및환경성등 모든 발.기.부.전에 획기적인치유력!!
    1천여명의 검증결과 확실한 효과보장!!

    문자로 성함과주소 함께 주문해주세요 바로 1시간이내에 전화연락드립니다.

    013-0298-1495 문자요금은 국내 요금과 같습니다. 부담갖지마세요^^

    **판매를 원하신다구요? 지원해 드립니다..연락주세요"

Leave a comment
[로그인][오픈아이디란?]
« Previous : 1 : 2 : 3 : 4 : Next »