Hackthissite.org

Ja idd, ik kom ook niet verder

 

Je moet gebruik maken van php parse error.

Er staat dat hij het password.php file niet kan ophalen.
Nu wil je echter het ww weten voor level 4..dus wat wordt dan de url?

 

Om de instellingen van je router kunnen veranderen moet je een protocol gebruiken. Dit kun je dus op twee manier doen, via IE (http) poort 80 is de standaard poort voor het http protocol.
Je kan je instellingen ook wijzigen middels telnet. Ga maar eens naar uitvoeren en type: telnet.exe
Maak nu via telnet (een remote access programma) (standaard poort 2verbinding met je router.
Hiervoor heb je wel je ipadres nodig, dit kun je opvragen door naar www.whatismyip.com te gaan. (uiteraard je evt. proxy uitzetten)
je typt je ip adres bij telnet in, logt in middels je wachtwoord en gebruikersnaam en dan kun je ook al je instelling veranderen.

Wat betreft FTP op 21. Ik neem aan dat je een LAN netwerk thuis hebt, want anders zet je router die poort meestal niet open. Nu je deze dicht hebt gemaakt kun je geen bestanden meer verzenden in je netwerk van pc naar pc. (wel berichten via winpopup.exe omdat dit een ander protocol is)
Het is opzich niet erg dat je deze poort open hebt, want als je een wachtwoord gebruikt om gebruik te maken van FTP dan kan er niks gebeuren.
Toch kan het wel een beetje link zijn, want de ftp wachtwoorden worden niet gecodeerd over het netwerk verzonden, dus als iemand een packetsniffer op je netwerk heeft zitten kan deze zomaar je wachtwoord zien. Maar aangezien je toch een goeie firewall hebt, en waarschijnlijk je windows updates doet is er niet zo veel risico.
WIl je toch veilig ftp gebruiken, dan is er een goed alternatief: putty
Dit is een ssh (poort 22) en een telnet (2 client. Deze versie is veel veiliger omdat deze wel gecodeerde wachtwoorden gebruikt.

Het verhaal van het niet kunnen gebruiken van je ftp gaat natuurlijk niet op als je firewall of router vraagt om toch verbinding te maken met de ftp server terwijl hij normaal dicht zit.

Succes..

 

Aah okee, dat is gelukt, maar nu zit ik alweer vast bij level 4 *schaamt
Wanneer je die password reminder verzendt, dan moet je toch weer in de bron kijken?

 

Je moet de pagina opslaan op je harde schijf. Dan in de bron het emailadres veranderen, waarheen de reminder word gestuurd, in jouw emailadres. Dan de pagina openen, knop drukke, en je krijgt een mailtje

Heb m trouwens een tijd geleden helemaal gehaald.

 

Ok, kijk idd in de bron waar het email adres naar toe gaat..
Maar w8 eens..hij moet dat ww niet hebben als je op de knop drukt, maar jij!
Dus, sla het locaal op, verander het email adres naar iets anders, geef het volledige pad op en druk op submit...c'est tout..

greetings,

http://hackthissite.org?userinfo.php?id=xfactor

 

Hmm met telnet is gelukt btw, precies dezelfde instellingen maar dan minder fancy . Ik heb overigens geen LAN netwerk thuis, alleen maar draadloos internet door het huis heen. Op deze site http://www.grc.com/x/ne.dll?bh0bkyd2 heb ik die port probe test gedaan. Dit is een stukje uit de omschrijving van port 80:

"Due to the popularity of this port for malicious exploitation, it should never be open unless it is being actively and deliberately used to serve web pages. And then, any publicly accessible web servers must be proactively maintained and kept current with the latest security patches to keep them safe.
The web is so insecure these days that new security "exploits" are being discovered almost daily. There are many known problems with Microsoft's Personal Web Server (PWS) and its Frontpage Extensions that many people run on their personal machines. So having port 80 "open" as it is here causes intruders to wonder how much information you might be willing to give away."

Ik draai geen webserver, dus hij zou gewoon dicht kunnen dan. Alleen waar kan ik hem dichtzetten? In m'n router kan ik hier niks over vinden .
En als het verder geen kwaad kan, dan laat ik hem lekker open

 

Hoeveel pc's heb je thuis op je netwerk. Als er namelijk meer dan 1 is heb je weel een LAN. Maar het heet dan wLAN (wireless local area network)
Ik denk dat je poort 80 niet dicht kan zetten ivm evt. wijzigingen die je wilt aanbrengen aan je router. Als je meer dan 1 pc hebt dan kun je dus je router wijzigen op elke pc. Vandaar dat ie open staat. Ik verwacht dus ook dat je hem niet kan dichtmaken. Net als 23 overigens.

Als je wilt kan ik wel even een paar testjes doen voor je om te kijken of ik er in kan via 80 of 23. Ik moet dan wel even je ip adres hebben.
Als je dit wilt dan mail hem maar naar: wutang_rulezz@hotmail.com

 

idd..hopeloos..

 

Aaaah het is me gelukt om die twee dicht te krijgen
Ik heb een firmware update gedaan, en er kwamen wat extra opties bij!
Ook al zit port 80 nu dicht, werkt m'n internet wel gewoon op elke pc, dus het kan blijkbaar geen kwaad dan.

@X-Factor
Jij iig bedankt voor je hulp en je tijd

 

Graag gedaan!

Veel succes er nog mee!

 

eff een noob vraag hoe begin je ingodsnaam?
moet je nog programma's downloaden zoja welk dan?

Groeten Bjorn

 

Je kan het met behulp van programma's doen, bruteforcers, soms spoofingprogs,... maar dat is eigenlijk in elk geval niet echt de bedoeling maar meer scriptkiddiestuff. Het is de bedoeling dat je mbv 'al doende leert men' uitvindt hoe websites in mekaar zetten en welke beveiligingsfouten erin kunnen sluipen. Je kan al de basic en realistic missions doen zonder gebruik te maken van andere programma's dus. (telnet, javascript, logisch na(door)denken).

Ps: als je echt niet verder geraakt kan je op de site zelf naar articles ivm met de challenges/missions zoeken, maar deze bevatten zo vreselijk dikwijls spoilers dat je beter denk ik naar hun irckanaal kan gaan en wel het hulpkanaal, daar kan je ofwel hulp vragen ofwel via !help of !hint commands tips krijgen die niet alles verklappen en het dus nog leuk houden.

 

Precies!
Wat is je account op hts?
mijn is: xfactor

 

Ik zit nu bij level 5 ik moet een mail hebben gekregen maar die is er nog steeds niet -_-

account: darx

 

Die mail komt ook niet, want je dit is nagespeeld, als je het goed doet krijg het het wachtwoord voor het volgende level in de browser te zien.

 

Hmm ja, maar als die mail verstuurd zou zijn, hoor ik ook het password te hebben. Wat moet ik nog meer doen dan?

 

Nope, level 5 kan je heel gemakkelijk oplossen met javascript. (ofwel zo heb ik het gedaan herschrijf je gewoon in telnet de header) maar met javascript is het erg gemakkelijk. Je voert het juiste javascript in en dan druk je op 'send password to sam' als je dan het paswoord te zien krijgt heb je het dus juist gedaan, krijg je enkel te zien, 'pasword reminder succesfully sent' dan betekent dat dat je javascript niet juist was want dan bedoelt ie dat hij de paswoord reminder succesfully naar sam heeft gestuurd..

Hulp met javascript:

Spoiler

Je moet dus in je URL bar javascript: invoeren gevolgt door een commando dat ie moet doen, als je bv javascript: alert("asshole") intypt zie je dat ie dat geeft, nu moet je niets weergeven maar iets aanpassen, nl het formulier om het paswoord te sturen, NIET NAAR SAM, maar naar jou..
Je gebruikt daarvoor het void() commando. Nu weet je toch al in welke richting je moet zoeken veronderstel ik... gewoon even zoeken naar javascript commando's, ik geef geen spoilers over welk het juiste script is want dan lijkt het me dat je er ook weinig aan hebt, maar met dit als begin zou je het zeker moeten kunnen uitvinden...
*tip: in de sourcecode staat dat het script to=webmaster@... het paswoord naar hem stuurt... misschien handig als je dat in je eigen adres kan veranderen.. (stuurt het niet echt, maar geeft je wel het paswoord in je browser)

 

Ah ik heb hem.. dat van javascript zat niet helemaal goed in elkaar..