La plupart du temps, le piratage informatique est automatiquement associé à des criminels informatiques s'introduisant dans des ordinateurs, des serveurs ou des systèmes de sécurité pour obtenir un accès non autorisé. Cependant, ce n'est pas toujours le cas car les experts en sécurité informatique sont également des hackers sauf qu'ils appartiennent à la catégorie des casquettes blanches et n'utilisent pas leurs compétences pour enfreindre la loi. Pour être un hacker, il faut au moins savoir utiliser les outils appropriés qui ne sont normalement pas utilisés par les amateurs d'informatique pour récolter des informations qui pourraient révéler des failles pour les entrées de porte dérobée. Un moyen rapide d'apprendre à utiliser certains des outils est de passer par les défis fournis par Try2Hack .
Try2Hack propose des défis gratuits où vous commencerez à partir du 1er niveau et le terminer vous amènera au niveau suivant jusqu'au niveau 12. Chaque défi nécessite une technique différente à résoudre et il devient plus difficile à mesure que le niveau augmente. Nous fournirons les solutions et la procédure pas à pas pour les niveaux afin que vous puissiez les résoudre si vous êtes coincé et également apprendre de nouvelles compétences. Cliquez ici pour lancer le défi! Niveau 1
Défi: entrez le mot de passe pour continuer
Solution: affichez le code source HTML en appuyant sur Ctrl + U dans Firefox. Vous verrez un petit extrait javascript avec le mot de passe et également l'emplacement du niveau 2. En tapant le mauvais mot de passe, vous accédez au site Web de Disney.
Niveau 2
Défi: entrez le nom d'utilisateur et le mot de passe sur le formulaire de connexion flash
Solution: affichez le code source HTML et vous verrez que le formulaire de connexion est chargé à partir du fichier flash level2.swf. Téléchargez le level2.swf et ouvrez-le avec le Bloc-notes. Le nom d'utilisateur et le mot de passe sont affichés en texte clair.
Niveau 3
Défi: entrez le mot de passe dans une fenêtre contextuelle
Solution: ce défi contient de la tromperie en essayant de vous tromper. Affichez le code source HTML et ouvrez le fichier source Javascript externe.
Cliquez sur le lien du fichier source Javascript pour le charger dans la visionneuse de code HTML et vous verrez le vrai mot de passe, les valeurs correctes et incorrectes.
Niveau 4
Défi: Connectez-vous à un formulaire Web basé sur Java
Solution: Affichez le code source HTML, téléchargez le fichier de classe Java (PasswdLevel4.class) et décompilez-le avec JD-GUI.
Dans le fichier de classe Java décompilé, il lit un autre fichier externe appelé level4 situé dans http://www.try2hack.nl/levels/level4. Téléchargez le fichier de niveau 4, ouvrez-le avec le Bloc-notes, le nom d'utilisateur, le mot de passe et l'URL de niveau 5 s'y trouvent.
Niveau 5
Défi: entrez le nom d'utilisateur et le mot de passe sur un programme Visual Basic 3.0
Solution: Téléchargez le décompilateur VB 3.0 de DoDi. Exécutez-le, chargez le fichier level5.exe dans le décompilateur et attendez la fin du processus. Il y aura un tas de fichiers générés et vous ne devez faire attention qu'aux fichiers MAIN.TXT et LEVEL5.BASE. Le nom d'utilisateur, le mot de passe et l'URL du niveau 6 se trouvent dans le fichier LEVEL5.BAS mais ils sont chiffrés et peuvent être facilement déchiffrés en se référant au fichier MAIN.TXT. Nous allons faire deux exemples pour que vous compreniez comment le nom d'utilisateur et le mot de passe sont calculés.
Pour décrypter (gc0006, 56, 1), reportez-vous au fichier MAIN.TXT. Tout d'abord, il vous indique de vous référer à gc0006 qui est la ligne qui comprend des chiffres, des lettres minuscules et majuscules et des symboles. Ensuite, le nombre 56 représente la 56e lettre de cette ligne et le dernier chiffre 1 signifie que vous ne devez lire qu'un seul caractère commençant à la 56e lettre. La valeur de (gc0006, 56, 1) serait «T» en majuscules. Quant à Mid (gc0006, 28, 1), ce serait un «r» minuscule.
Niveau 6
Défi: Téléchargez et exécutez un programme Visual Basic 6.0 qui nécessite d'entrer le nom d'utilisateur et le mot de passe corrects.
Solution: Un test rapide sur le programme montrera qu'il se connecte à Internet pour authentifier le nom d'utilisateur et le mot de passe que vous avez entrés. La première chose que vous devez vérifier est de voir où il se connecte. Au lieu d'utiliser un outil sophistiqué de reniflage de paquets, vous pouvez simplement utiliser URL Snooper qui révèlera que le programme tire un fichier appelé level6.data à http://www.try2hack.nl/levels/level6.data.
Le fichier level6.data contient le nom d'utilisateur, le mot de passe et la page chiffrés et nous devrons les déchiffrer. Il a un indice de l'algorithme de chiffrement utilisé et c'est BACONIAN. Vous pouvez facilement décrypter le chiffrement BACONIEN en allant sur cette page Web, entrez chaque bloc de texte chiffré et cliquez sur le bouton Décoder. Vous ne pouvez pas coller tous les blocs à décoder. Il doit être décodé un par un.
Niveau 7
Défi: utilisez Microsoft Internet Explorer 7.66
Solution: cette page protégée vérifie simplement si vous exécutez Microsoft Internet Explorer 7.66 sur un système Linux ou Unix et est référencée depuis une page Microsoft. Cela peut facilement être fait en utilisant des plugins d'usurpation d'identité pour Google Chrome. Installez d'abord une extension appelée User-Agent Switcher pour Chrome. Cliquez sur l'icône Chrome UA Spoofer située en haut à droite et sélectionnez Paramètres. Saisissez les informations suivantes et cliquez sur Ajouter.
Nouveau nom de l'agent utilisateur: Try2Hack
Nouvelle chaîne d'agent utilisateur: Mozilla / 4.0 (compatible; MSIE 7.66; Linux; WOW64; Trident / 4.0; SLCC1)
Groupe: Internet Explorer
Ajouter?: Remplacer
Drapeau indicateur: T2H
Cliquez à nouveau sur l'icône Chrome UA Spoofer située en haut à droite, sélectionnez Internet Explorer, puis Try2Hack. Si vous actualisez la page de niveau 7, vous verrez OK pour la vérification du navigateur et du système d'exploitation, mais échouera lors de la vérification des liens. Installez maintenant une autre extension appelée Referer Control. Faites un clic droit sur la page Niveau 7 et sélectionnez «Créer un filtre de référent pour ce site»> «Utiliser un référent personnalisé»> «URL». Dans la zone en surbrillance, remplacez [URL] par http://www.microsoft.com/ms.htm.
Actualisez à nouveau la page du niveau 7 et un lien vers le niveau 8 apparaîtra sur la page.
Niveau 8
Défi: formulaire de connexion utilisant le script CGI
Solution: affichez le code source HTML et vous verrez qu'il envoie les informations de connexion à / cgi-bin / phf. Il existe un ancien exploit phf très bien connu qui peut être utilisé pour afficher le fichier passwd sur le système Linux. Entrez simplement l'URL ci-dessous sur votre navigateur Web et le fichier passwd s'affichera.
http://www.try2hack.nl/cgi-bin/phf?Qalias=3Dx%0a/bin/cat%20/etc/passwd
Encore une fois, les informations de connexion sur le fichier passwd sont cryptées mais peuvent être décryptées à l'aide de John the Ripper. Téléchargez la version binaire de Windows, extrayez-la dans un nouveau dossier, copiez tout du fichier passwd et enregistrez-le dans un fichier texte. Placez le fichier texte dans le même répertoire que Jean l'Éventreur et exécutez la commande suivante dans l'invite de commande. Remplacez passwd.txt par le nom de fichier que vous avez utilisé pour enregistrer le contenu du fichier passwd.
john.exe passwd.txt
Le mot de passe du compte utilisateur root s'affiche et peut être utilisé pour se connecter au formulaire Web de niveau 8.
Niveau 9
Défi: entrez le nom d'utilisateur et le mot de passe sur un formulaire Web de connexion d'apparence normale.
Solution: Tout semble normal sur le formulaire de connexion de niveau 9 jusqu'à ce que je commence à enquêter sur les en-têtes HTTP à l'aide d'un plug-in appelé Live HTTP headers for Firefox. Il a un nom d'utilisateur et un mot de passe sur le cookie, mais l'utilisation des informations d'identification pour se connecter ne fonctionne pas.
Le nom d'utilisateur et le mot de passe sur le cookie sont en fait corrects mais il y avait une autre valeur qui le fait échouer: auth = no. Tout ce que nous devons faire est d'utiliser une extension appelée Modifier les cookies pour Firefox pour changer l'auth = non en auth = oui. Après avoir installé le plugin, appuyez sur Alt + T et sélectionnez Cookie Editor dans la barre de menu. Recherchez le site www.try2hack.nl avec le nom du cookie comme auth, cliquez dessus pour mettre en surbrillance le cookie et cliquez sur le bouton Modifier .
Dans la zone de contenu, passez de non à oui et cliquez sur le bouton Enregistrer .
Connectez-vous immédiatement au formulaire de niveau 9 avec le nom d'utilisateur et le mot de passe indiqués précédemment à l'aide des en-têtes HTTP en direct. Ne rechargez pas ou n'actualisez pas la page de niveau 9, sinon vous devrez rééditer le cookie.
Le vrai plaisir de Try2Hack est d'essayer de résoudre les défis vous-même en identifiant les solutions possibles au lieu de rechercher immédiatement des réponses ou l'URL des niveaux. Essayez-les et découvrez comment ces programmes fonctionnent afin de pouvoir les utiliser à l'avenir dans des situations similaires.