المرحلة: Realistic Level: 5 (Damen Telemarketers)
الصعوبة: معتدلة
الرابط: https://www.hackthissite.org/playlevel/5/
المهمة: هناك موقع ينتهك الخصوصية الشخصية، المطلوب أن تحصل على كلمة المرور للأدمن وتمسح قاعدة البيانات.

الرسالة: مرحبا، أنا هاكر أيضا ولكني أريد مساعدتك! خلال الأيام الماضية كانت شركة telemarketers يتصلون بي ليلا ونهارا وهذا سبب لي إزعاجًا كبيرا. استوليت على موقعهم ومسحت جميع الأرقام من الموقع، ولكن هذا كان حلا مؤقتا، فهم يمتلكون نسخة من جميع الأرقام في قاعدة بيانات محمية برقم سري مشفر. عندما قمت بإختراقهم لاحظت أن جميع ما يستخدمونه قديم 10 سنوات تقريبا. بحثت وأعتقد أن الرقم السري المشفر يُطلق عليه hash value. أعتقد أن باستطاعتك فكها والحصول على الرقم السري.
اذهب الآن وحاول أن تحل المشكلة. لا تتعدى هذه النقطة إذا كنت تريد حل التحدي بنفسك..


 

 

التلميح الأول:
في قسم الأخبار في الموقع، ألا ترى خبرا مثيرا للإهتمام؟
التلميح الثاني:
هل تعلم ما هو ملف robots.txt ولماذا يستخدم؟
التلميح الثالث:
كما هو مذكور في الرسالة، الهاش المستخدمة قديمة.

 

الحل:
عند محاولة الدخول إلى قاعدة بيانات الموقع سيُطلب منك كلمة المرور. بالطبع قد تفكر بالطريقة الـ brute force، وهي أن تجرب كل الإمكانيات حتى تقوم بفتح الموقع. هذا قد يأخذ الكثير من الوقت.. دعنا أولا نقرأ الرسالة مرة أخرى، ذُكر فيها وجود كلمة مرور مشفرة. بالنظر في صفحات الموقع ستجد خبرا فحواه أن صاحب الموقع قد أخفى بعض الصفحات عن جوجل. هذا قد يعني أنه أضافها إلى الملف robots.txt. لنحاول رؤية الملف:
https://www.hackthissite.org/missions/realistic/5/robots.txt
ستلاحظ فورا اسما مثيرا للإهتمام: secret.. لنحاول رؤية ما فيه:
https://www.hackthissite.org/missions/realistic/5/secret
ومن ثم ندخل على: admin.bak.php لنجد كلمة المرور المشفرة التي نريد..
0c5bb7b10b5c39f460737947beff730d
بمساعدة المعلومة التي لدينا (قدم الأدوات المستخدمة في الموقع) قد يكون تخمينا جيدا أن نقول أن هذ التشفير تم باستخدام: md4
وباستخدام برنامج Cain & Abel
نستطيع فك تشفير الكلمة والدخول على قاعدة البيانات.

 

 

ملحق:
تستطيع تحميل أداة Cain & Abel من هنا: http://www.oxid.it/cain.html