Gå til innhold

Hacking

pskard

Av pskard
i IKT-drift og sikkerhet

Anbefalte innlegg

Goophy

Goophy

Skrevet
Skrevet
Kankke noen legge ut en fasit. hadde vært veldig bra :thumbs:

Da er jo hele poenget med dette borte...

Finn ut at det selv, det er det beste.

 

Er ikke så altfor vanskelig om man bare tenker seg om litt og har masse tid. ;)

 

Synes den andre tingen det er en post om her et sted var hakket vanskeligere, men det kommer vel litt av hva jeg har drevet med tidligere...

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
OldSchoolPhotoSnapper

OldSchoolPhotoSnapper

Skrevet
Skrevet

Etter å ha lest her så har jeg funnet ut at pws og usernamet på level4 skal ligge i .class fila! har lett igjennom den flere ganger uten å finne noe! Jeg har funnet et sted hvor det står txtpass og txtlogin! regner med at passordet og brukernavnet skal ligge i nærheten av dette en plass siden det gjorde det på de andre levelene, men det er bare noen überstygge firkanter i nærheten av disse :mad: så må jeg bruke noe spesielt program for å lese fila annet enn feks notepad?

Lenke til kommentar
Jonas

Jonas

Skrevet
Skrevet
Etter å ha lest her så har jeg funnet ut at pws og usernamet på level4 skal ligge i .class fila! har lett igjennom den flere ganger uten å finne noe! Jeg har funnet et sted hvor det står txtpass og txtlogin! regner med at passordet og brukernavnet skal ligge i nærheten av dette en plass siden det gjorde det på de andre levelene, men det er bare noen überstygge firkanter i nærheten av disse :mad: så må jeg bruke noe spesielt program for å lese fila annet enn feks notepad?

Sikkert en java-decompiler ..

Lenke til kommentar
Jonas

Jonas

Skrevet
Skrevet
Hvem har kommet lengst her ?

Er vel mange som er kommet gjennom hele...

Jeg har ihvertfall det, for leenge siden... :hmm:

På level4 er det er java fil. Står passordene som klartekst åpnet i notepad, eller må jeg innstalere en java-decompiler as noe slag?

 

Har lett og lett, men finner det bare ikke ..

Lenke til kommentar
above

above

Skrevet
Skrevet (endret)
En webbrowser, program for å vise råtekst (notepad), vb5 og vb6 decompiler.

Det er vel alt...

:ohmy::hmm::roll:

 

EDIT: Altså, jeg skjønner ingenting hvordan dette skal gjøres.. Skal snart på et lan der hvor det skal være en hackekonkuranse. Om å gjøre å hacke seg inn på en server.. Altså første mann.. Kan ingen kontakte meg på pm eller msn om hvordan jeg kan bli proff? :p Håper det er noen som gidder å forklare meg :love:

Endret av OSTEBU
Lenke til kommentar
pgdx

pgdx

Skrevet
Skrevet
EDIT: Altså, jeg skjønner ingenting hvordan dette skal gjøres.. Skal snart på et lan der hvor det skal være en hackekonkuranse. Om å gjøre å hacke seg inn på en server.. Altså første mann.. Kan ingen kontakte meg på pm eller msn om hvordan jeg kan bli proff? :p Håper det er noen som gidder å forklare meg :love:

Kanskje du hadde klart det hvis konkurransen hadde vært om åtte år, og du i mellomtiden ikke bare hadde jobbet fulltid med operativsystemer, nettverk og -applikasjoner, men at du i tillegg brukte all fritid på å lære om tidligere exploits, hvordan oppdage dem og hvordan utnytte dem.

 

Lykke til, forresten.

Lenke til kommentar
Jonas

Jonas

Skrevet
Skrevet
Lær deg et programmeringsspråk eller 5.

Studer kjente servertyper sin arkitektur og svakheter.

 

Btw, sånn som den siden der ville jeg aldri kalt "hacking".

Ingen steder du finner websider/servere satt opp på en så simpel måte.

Link til hvor jeg finner dette?

Du lærer deg ikke "hacking" og programering med et par linker ..

Lenke til kommentar
pgdx

pgdx

Skrevet
Skrevet
Linken virket ikke... Det kom "Error 404"... :dontgetit:

For å si det sånn... Hvis du vil lære deg å "hacke", må du kunne programmere.

 

Å programmere i C er ikke veldig vanskelig. Men i forhold til å finne en annen side vha. google.com som omhandler C-programmering, er det omtrent umulig.

 

 

 

Du har per i dag ingen som helst sjanse til å lære deg å hacke. Det tar to år med googling, fem år med programmering og deretter kan du begynne på noe avansert.

Lenke til kommentar
  • 1 måned senere...
danandre

danandre

Skrevet
Skrevet

Altså det finnes flere typer "hacking".

 

F.eks kan man finne sikkerhetsfeil ved webapplikasjoner som er laget i PHP eller ASP. Hvis denne også er koblet til en SQL server er det ytteligere risiko for SQL Injection som det heter.

 

Et par eksempler :

 

En side har en uploadfunksjon for avatar til et hjemmesnekra forum. Men problemet med uploadscriptet er at den IKKE sjekker om etternavnet på fila slutter med .gif eller .jpg . Dermed kan en "hacker" enkelt uploade hva han vil til serveren, noe som kan gi han full kontroll over serveren.

 

SQL INJECTION

 

Et annet eksempel er hvis man har et innloggingssystem på en side som sjekker inputdataen med SQL databasen. Hvis man ikke filtrerer inputdataen (brukernavn og passord) kan den være sårbar for såkalt SQL injection. Dette er en ganske vanlig feil som forekommer ved mange sider. SQL Injection vil jo si at man legger inn en spørring til databasen via innlogginsfeltet slik at man kan hente frem all den informasjonen man trenger.

Et eksempel : ' UNION ALL SELECT username,password FROM brukere--

Den sier da at den skal gi tilbake første brukernavn og passord fra brukere.

 

En måte å bli kvitt problemene med sql injection er å filtrere vekk tegn som ' og " slik at de ikke kan bryte med den gjeldene spørringen. I PHP kan man bruke funksjonen mysql_escape_string eller addslashes i PHP.

 

COOKIES

 

Cookies er en vanlig ting blandt ulike webapplikasjoner. Cookies er en fordel fordi den som oftest lagrer seg på din PC slik at webserveren kjenner deg igjen neste gang du besøker samme side. Se f.eks på HW.no sitt forum. Hvis du har krysset av på at du vil bli "husket", vil du automatisk bli gjenkjent neste gang du kommer på HW.no sitt forum.

 

Det som kan være et problem med cookies er at cookies kan lett manipuleres. Det er derfor viktig at programmereren er forsiktig med hva han gjør. Hvis en skal ta en eksempel :

 

Det er forskjellige brukernivåer på en side. Fra 1 til 5, hvor 1 er en vanlig bruker 2 er newswriter osv osv... helt til 5 som er admin. Hvis vi da sier at du får tilsendt en cookie til PC din som sier userAccess=1 ( Man kan også sjekke cookien sin ved å skrive javascript:alert(document.cookie) i URL bar ). Hvis han som har laget siden ikke er forsiktig kan en bare endre sin egen cookie til userAccess=5 slik at man blir admin på siden. Dette gjør man ved å skrive javascript:void(document.cookie="userAccess=5") i URL bar.

 

Hvorfor man blir admin? Jo, fordi han som hadde laget denne fiksjonelle siden hadde glemt å sammenligne brukernavnet ditt med brukernivået ditt. Dermed har det ikke noe å si hvem bruker man er fordi webscriptet ignorerer dette. Den ser bare på brukernivået.

 

XSS

 

XSS står egentlig for Cross Site Scripting og burde derfor hete CSS, men siden den allerede er tatt ( Cascade Style Sheets ) måtte de finne seg i det :-).

XSS er en form for hacking som tar sted ved dynamiske sider som er laget i PHP eller ASP. Den går ut på at man lurer inn HTML koder ulike steder på siden.

Et eksempel :

 

Du er på en side som har egne medlemsprofiler hvor man kan skrive inn navnet sitt alder osv. På denne siden bruker de også cookies for å identifisere hvem du er og hvem du er logget inn som. En vanlig cookie for innlogging kan se være noe sånt som dette :

id=1; user=danandre; password=09619678A1403BE5DCAB79C793F3FA0F

 

Forklaring : id=1 --> Dette betyr at du er bruker nr 1 i databasen. User --> sier brukernavnet ditt og password --> Dette er en MD5 kryptert utgave av det ordentelige passordet ditt. I mitt tilfelle har jeg "eid" som passord, og når man krypterer om "eid" til MD5 får man nettopp den siffer/bostav rekkefølgen.

Dette er kritisk informasjon om brukerkontoen din og hvis du har et lett passord er det ikke vanskelig å knekke MD5 koden din for å få tak i det ordentlige passordet ditt.

 

Over til denne medlemssiden. Hvis du f.eks velger å istede for å skrive navnet ditt skriver <script>alert(document.cookie)</script> vil alle som besøker medlemsprofilen din få en popup med oversikt over deres egen cookie. Man kan selvfølgelig bruke andre typer koder som gjør at man faktisk kan stjele cookien til brukere som besøker profilen, men jeg vil ikke gi en detaljert guide til det.

 

For å unngå disse problemene er det igjen viktig å filtrere bort uønskede tegn. En huskerregel er å ALDRI stole på brukerne dine! Man kan bruke ulike metoder for å sikre inputdata som blir lagret. Man kan bruke funksjonen htmlspecialchars som forandrer alle < og > slik at de vises som < og > og ikke blir tolket som en "tag". En annen funksjon er strip_tags, denne fjerner alt som ligger mellom < og > slik at det aldri oppstår noen "tag".

 

Vel vel... Håper dere har lært litt... :-)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...