Hack in the class

Tips:

Wat zal de username van de admin zijn?

Google eens op wat het standaard wachtwoord is voor een admin, als diegene het niet verandert?

Het standaard wachtwoord heet in het Engels het ‘default password’. Google dus op ‘admin default password’.

Tips

Je kunt de broncode van deze pagina bekijken door rechts te klikken, en “View Page Source”/”Paginabron bekijken” te kiezen.

(Getest in zowel Firefox als Chrome.)

Zoek goed in de broncode. Misschien heeft een domme programmeur die het wachtwoord niet wilt onthouden het daar voor zichzelf neergezet…

Kijk op regel 29.  

Tips

Heb je de broncode al geopend?

Ik zie een interessant Javascript bestand staan in deze broncode... Laten we daar eens op klikken! (Een Javascript bestand wat het inloggen regelt… heel dom en onveilig, want Javascript wordt door de cliënt uitgevoerd, en niet door de server!!!)

Zoek in ‘login3.js’ naar waar het password geaccepteerd wordt. Waar moet het wachtwoord aan voldoen?

Er staat ‘if (password.value == username.value + one)‘. Oftewel, het wachtwoord moet gelijk zijn aan de gebruikersnaam met daarachter geplakt wat in de variabele ‘one’ zit.

 

Tips

Er staat een ‘hidden’ field. Die hoort de gebruiker niet te kunnen zien… Interessant! Kunnen we daar iets mee? <input type='hidden' name="ingelogd" value="nee">

Er staat een HTML PARAMETER ‘logged_in’ ingesteld op ‘no’. Kunnen we die overschrijven naar een andere waarde? (Google!)

Je kunt een html parameter overschrijven door in je browser achter de url te typen ‘?variabele=waarde’.

Tips

Er staat weer een hidden field in de broncode. Om erachter te komen wat dat betekent, Google eens op “MD5 password hash”.

Een password kan worden omgezet in een onleesbare reeks karakters: een hash. Deze methode heeft de eigenschap dat het heel eenvoudig is om het password onleesbaar is te maken, en je krijgt met hetzelfde password altijd dezelfde hash…

Maar de omgekeerde berekening is onmogelijk, dus je kunt het password niet berekenen!

Speel eens met een hash generator: https://www.md5hashgenerator.com/

De omgekeerde berekening is weliswaar onmogelijk, maar omdat de heenweg altijd hetzelfde resultaat geeft, kunnen we gewoon van de meest voorkomende wachtwoorden de hash berekenen, en hopen dat de hash die wij zoeken daar tussen zit. Dit heet een ‘rainbow table’: een veel gebruikte hack techniek om hashes te kraken.

Je gaat toch niet al die opties zelf uitproberen...? Dat hebben hackers allang voor je gedaan! Vind een online password MD5 hash cracker door bijvoorbeeld te Googlen op ‘md5 hash rainbow table’.

https://crackstation.net/

Tips

Wat hebben robots te maken met zoekmachines…? (Zoek altijd in het Engels: ‘zoekmachine’ = ‘search engine’.)

Op het internet bestaan heel erg veel websites. De informatie van deze websites is te vinden via zoekmachines zoals Google, Bing, Yahoo en DuckDuckGo. Maar hoe komt die informatie van de website nou eigenlijk in de zoekmachine?

Een robot (ook wel bot genoemd) brengt een bezoek aan je website. Voordat hij de website bezoekt moet hij altijd eerst even het robots.txt bestand opvragen (let op dat de naam van dit bestand met een 's' is. Dit wordt regelmatig vergeten). In dit bestandje staat welke pagina's de robot wel of niet mag bezoeken en via de zoekmachine beschikbaar mag maken. Dit noemen we indexeren. Dit bestandje kan door iedereen worden opgevraagd op de website.

Je kunt het bestand ‘/robots.txt’ van deze webserver openen door ‘login6.php’ in de URL te vervangen door ‘robots.txt’.

Daarin staat een bestand “/secrets.txt” genoemd. Open die op dezelfde manier als bij de vorige hint.

Hé, daar staat weer een hash die we kunnen kraken met https://crackstation.net/!