HELLO ISA TEST过关攻略
level 1
仔细观察页面,入侵的第一步是收集一切可能产生价值的信息
ps:最好使用谷歌浏览器或火狐浏览器
直接查看源代码,找到提示以及密码:
<!-- !!!提示!!! 分析网页源码是黑客必备的基础技能 既然你已经看到这句话 就说明你已经符合 加入我们 的基本要求了 进入第二关的密码是:53af443fed9a395120934b278f132942 !!!提示!!! -->
level 2
看见下面这段字符串熟悉吗?
熟悉的话赶快提交密码吧!~
OTliM2E3OTMwZmY5NmY5ZGUzZWNlYWU0ZjkzMWJmY2E=
是base64编码,解码后得到密码:
99b3a7930ff96f9de3eceae4f931bfca
输入密码进入下一关
level 3
本关的通关密码已经给出并填好,但貌似不能提交啊
密码:356d19e32af63132d147a1f1c764b098 提交
查看源代码,得到一下线索和提示:
<!-- 绕过<span class="redcolor">网页的本地验证</span>,是黑客的必备技能 <br/><br/>仔细看看表单提交的代码吧,你会有意想不到的收获 -->
<div>
<br/>
<form id="form" action="index.php" method="GET" autocomplete="off" onsubmit="return check();">
密码:<input name='pwd' type="text" size="50" value="356d19e32af63132d147a1f1c764b098"/>
<input name='l' type="hidden" value="3"/>
<input name='a' type="hidden" value="c"/>
<input type="submit" value="提交">
</form>
</div>
<script>
function check(){
if(!form.pwd.value){
alert("密码不能为空");
}else if(form.pwd.value.length>30){
alert("密码不能长于30位");
}else{
alert("密码是 356d19e32af63132d147a1f1c764b098 ");
form.pwd.value='356d19e32af63132d147a1f1c764b098';
}
return false;
}
</script>
分析代码以及注释明白这是一个本地验证,需要绕过,使用firefox浏览器中的firebug调试功能,将
onsubmit=”return check();”
删除,然后点击提交,就可以绕过本地的JS验证进入下一关。
level 4
下面这张图片是社团的LOGO,下一关的密码就在里面哦~
图片下载到本地,然后使用notepad++打开,在数据最后找到密码
2b4401c871613d0f80224f9c4317bab4
level 5
本关密码很简单,就是:协会办公室门牌号(数字)
查看源代码发现注释提示:
社会工程学是所有攻击手段中,最有效、最难防御的攻击
搜集站长的基本信息也是基础技能之一
看来需要使用社工了,在第四关的图片logo上有暗示了,图片右下角有微博地址,到官方微博查看,找到答案:
level 6
到了这一关,或许你觉得整个测试很简单
那就来个难的吧?
我不会给你任何提示,但是我可以明确地告诉你,密码已经给你了
查看源代码没什么提示,线索中说已经给密码了,看来不是放在源代码中的,那就是放在我们不容易看到的地方了,看来只有抓包了,使用firefox浏览器的Live HTTP Headers插件就足够了。抓包后发现密码
SCookie: ISA_Level_6_password=5396ad033b0f241c97bbb711c4bbe184;
level 7
我们的惯性思维会给我们造成一些阻碍
但是就算我很明确的告诉你密码是什么
你真的能通关吗?
但是就算我很明确的告诉你密码是什么
你真的能通关吗?
这一关真的如题目所说容易受到惯性思维的影响,先是查看源代码,然后是抓包分析,根据抓取的数据包解码各种编码,提交了很多认为可能正确的答案都错了。。。。
最后知道真相的我眼泪掉下来,这原来是一道脑筋急转弯,看了好几次题目终于发现了问题:
我很明确的告诉你密码是什么,是什么,什么,么。。。
重要的事情要说三遍,不错,答案就是“什么”,我真是醉了。。。
提交通关。
