Scribd Logo
Upload

Welcome to Scribd!

  • Untitled

    Uploaded by

    Thắng Nguyễn
    9 views26 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    9 views26 pages

    Untitled

    Uploaded by

    Thắng Nguyễn

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 26

    Mục Lục

    1. Tên thử thách: Uncle Arnold’s Local Brand Review 2


    2. Tên thử thách: Chicago American Nazi Party 4
    3. Tên thử thách: Peace Poetry: HACKED 6
    4. Tên thử thách: Fischer’s Animal Products 9
    5. Tên thử thách: Damn Telemarketers! 11
    6. Tên thử thách: What's Right For America 14
    7. Tên thử thách: ToxiCo Industrial Chemicals 17
    8. Tên thử thách: Holy Word High School 20
    1. Tên thử thách: Uncle Arnold’s Local Brand Review
    a. Mục tiêu
    Hack this website and make Ranging Inferno on the top of the list

    b. Phương pháp
    PP: F12 -> CTRL+SHIFT+C (Inspect) -> Chọn 3 -> Chọn thả xuống 4 -> thay đổi 5 thành 99999 ->
    Chọn Vote 5
    c. Kết quả
    d. Kỹ thuật sử dụng: Lỗi giả mạo tham số (Parameter Manipulation)
    Mô tả: Giả mạo hoặc thay đổi tham số trên URL hoặc web form

    2. Tên thử thách: Chicago American Nazi Party


    a. Mục tiêu
    Gain access to their administrator page

    b. Phương pháp
    Ctrl+U -> Chọn 1 -> Chọn 2 -> nhập ‘ or 1=1-- -> Chọn 3
    c. Kết quả
    d. Kỹ thuật sử dụng: SQL injection
    Mô tả: là một kỹ thuật lợi dụng những lỗ hổng về câu truy vấn của các ứng dụng. Được thực hiện bằng
    cách chèn thêm một đoạn SQL để làm sai lệch đi câu truy vấn ban đầu, từ đó có thể khai thác dữ liệu từ
    database.

    3. Tên thử thách: Peace Poetry: HACKED


    a. Mục tiêu

    b. Phương pháp
    Ctrl+Shift+C -> Chọn 1 -> nhập oldindex.html -> bấm enter -> Ctrl + U -> Ctrl + A -> Ctrl + C -> Chọn
    2 -> Chọn 3 -> Nhập ../index.html -> Chọn 4 -> Ctrl + V -> Chọn 5
    c. Kết quả
    d. Kỹ thuật sử dụng: Directory traversal, remote code execution
    Mô tả: https://github.com/corkami/collisions

    4. Tên thử thách: Fischer’s Animal Products


    a. Mục tiêu


    b. Phương pháp
     Kiểm tra SQL injection:


     Click vào Alligator Accessories!
     Chèn thêm ‘ UNION ALL SELECT null, *, null, null FROM email;’ vào url

     Vào profile, click vào user name để gửi

    c. Kết quả


    d. Kỹ thuật
     kỹ thuật được sử dụng: SQL injection sử dụng UNION
    5. Tên thử thách: Damn Telemarketers!
    a. Mục tiêu


    b. Phương pháp
     Kiểm tra file robots.txt


     Đi vào file secret

     Mở file admin.bak.php


     Sử dụng https://crackstation.net/ để crackhash ta có pass là: 0d1fb
    c. Kết quả
     Login vào data base


    d. Kỹ thuật

    6. Tên thử thách: What's Right For America
    a. Mục tiêu


    b. Phương pháp
     Ta kiểm tra mã nguồn bằng CTRL+U


     Duyệt hình ảnh có thể tiết lộ các thư mục khác
     Kiểm tra thư mục hình ảnh

     Ktra thư mục admin
     Cần user và pass để login
     Click vào Patriotism, cấu trúc URL: showimages.php?file=patriot.txt có thể cho phép duyệt thư mục. Tất
    cả những gì chúng ta phải làm là truy cập đúng đường dẫn mật khẩu.  Tôi sẽ thử lấy “htpasswd”, tệp mà
    Apache sử dụng để xác thực.
     Sửa đổi URL: showimages.php?file=images/admin/.htpasswd và xem nguồn

     Ta tải john về để crack hash ‘sudo apt install john’, tạo một file và ghi ‘administrator:$1$AAODv...
    $gXPqGkIO3Cu6dnclE/sok1’ vào file đó, và sử dụng john <name file>


     User: administrator và Pass: shadow
     Quay lại file admin để đăng nhập
    c. Kết quả


    d. Kỹ thuật
      kỹ thuật được sử dụng: Duyệt thư mục; bẻ khóa băm
    7. Tên thử thách: ToxiCo Industrial Chemicals
    a. Mục tiêu


    b. Phương pháp

     Ta sẽ thử tìm kiếm tool này trên mạng và có thể thấy được trang web này: http://telmo.pt/xecryption/

     Gửi đoạn giải mã đến ToxiCo_Watch


    c. Kết quả

    d. Kỹ thuật
     kỹ thuật được sử dụng: Sử dụng tập lệnh giải mã Proof of Concept
    8. Tên thử thách: Holy Word High School
    a. Mục tiêu

    b. Phương pháp
     Xem source


     Trang staff.php bị ẩn
     Thử đang nhập bằng user và pass được cấp
     Quay lại vào Staff Listing để lấy thông tin đăng nhập của giáo viên
     Quay lại trang “staff.php”
     Đăng nhập với tên smiller:smiller


     Sử dụng User-Agent Switcher and Manager và sửa userAgent thành holy_teacher

     F5 lại ta được
     Dùng cookie manager thay đổi value admin thành 1

     Click Zach Sanchez, xem nguồn


     Lần lượt thay đổi các url:
     https://www.hackthissite.org/missions/realistic/10/staff.php?action=
    changegrades&changeaction=modrec&rec=4&studentid=1&grade=5
     https://www.hackthissite.org/missions/realistic/10/staff.php?
    action=changegrades&changeaction=modrec&rec=0&studentid=1&grade=5
     https:// www.hackthissite.org/missions/realistic/10/staff.php?
    action=changegrades&changeaction=modrec&rec=3&studentid=1&grade=5
    c. Kết quả


    d. Kỹ thuật
     Thao tác với Tác nhân người dùng
     Thao tác tham số
     Lạm dụng yêu cầu HTTP POST

    You might also like