ROOT注：这文章可以给大家想搞HACKGAME的人提供一些思想，所以把这文章提了上来。
==============================================================

测试你『黑』能力的网站＝try 2 hack＝www,try2hack.nl

有小皮皮鲁说，从这里就能看出来刀光雪影的实力已经没落了，看样子他来自

灰色轨迹论坛了，他给了http://www.sandflee.net/cgi-bin/lb5000/topic.cgi?forum=1&topic=8229

有通8关的答案，我想看看,耶，还要注册才可以，看样子有些拽耶

还是自己动手吧！



我很菜阿，一天才搞定，这会和众菜鸟哥哥，弟弟，妹妹，姐姐，谈谈小生的思路，

这个站设计的漏洞应该是很好的，只要我们思路清楚，一般过8关菜菜的过，我的方法

就是多想想设计者为什么这样设计，他设计的漏洞其意图何在，得了，费话少说，

开杀：

目标：www.try2hack.nl

no.1 访问level1.html

查看源文件，密码就在源文件中写着拉:if (passwd =="hackerzzz")，别告诉我你不知道怎么查看阿

密码就是这个hackerzzz,对了它就就给出第2关的文件名levvel2.html，大家注意到了没有，设计者是

通过文件名来控制各关进度，如果你直接猜到了第7关的文件名是LEVELSEVEN.html,你可以直接访问第

7关了，要不，跟我一关一关来。

no.2 level2.html

查看源文件，仔细看，要你输入用户名、密码，里面没有INPUT的东东，原来是那个flash文件要求的密码，

你看到的flash文件显示时一般缓存到本机了，找吧，找出来，用notepad打开，有东东：Try2Hack(NokiaIsGood)

no.3 LLeVeLL3.html

一打开这关，就出现询问密码，很明显，这是用VB或JAVA 脚本写的，是在客户端执行的，因此我们可以看它的

代码，注意，手脚迅速些，在询问打开之前，赶快点菜单看源文件，文件开头是这样的：

<HTML>
<HEAD>
<SCRIPT src="JavaScript"></SCRIPT>
<SCRIPT language="JavaScript">

注意第3行，呵呵，它比后面的先执行，变量password是读取这个叫"JavaScript"而后赋的值，

PASSWORD="AbCdE"已经验证完才执行的，所以跟本不是"AbCdE",是个幌子，我们试试能不能访问这个叫

JavaScript的文件，耶，可以访问的：PASSWORD = "TheCorrectAnswer"

no.4 thelevel4.html

查看源文件，仔细看，要你输入用户名、密码，里面没有INPUT的东东，但有这么一行“<applet code

="PasswdLevel4.class" WIDTH="370" HEIGHT="220">”，呵呵，密码是这个applet要的，地球人都知道

applet是在客户端执行的，找吧，你的机上有这个文件的，或者你直接访问PasswdLevel4.class,就可以

DOWN下来。找到打开，是乱码，但是地球人还知道*.class是可以反编译的，随便下载个反编译软件，反了

它，注意这些代码，其初始语句：infile = new String("level4");
try
{
inURL = new URL(getCodeBase(), infile);
}

就是说，它在施行询问之前，先去老家拿了个叫level4的文件，访问它并看他的源文件，levle4内容：

5_level_5.html(这名字够复杂的)
Try2Hack
AppletsAreEasy

no.5 5_level_5.html

它要你download一个用vb3.0写成的程序，下载它，这个程序要你输入用户密码，然后程序给你第6关的HTML

文件名。用记事本打开这个程序，当然是乱码拉，能不能象JAVA那样反编译看他的代码，可以的，去网上下个

反编译VB3.0程序的软件，反了它，有如下关键代码：
Const mc001A = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ.,:;-*+=~|&!_$#@()[]{}<\/>"If txtUsername <> Mid(mc001A, 56, 1) & Mid(mc001A, 28, 1) & Mid(mc001A, 35, 1) & Mid(mc001A, 3, 1) & Mid(mc001A, 44, 1) & Mid(mc001A, 11, 1) & Mid(mc001A, 13, 1) & Mid(mc001A, 21, 1) Then
MsgBox "Username not accepted."
Exit Sub
End If
If txtPassword <> Mid(mc001A, 51, 1) & Mid(mc001A, 31, 1) & Mid(mc001A, 30, 1) & Mid(mc001A, 51, 1) & Mid(mc001A, 16, 1) & Mid(mc001A, 45, 1) & Mid(mc001A, 24, 1) & Mid(mc001A, 29, 1) & Mid(mc001A, 26, 1) & Mid(mc001A, 19, 1) & Mid(mc001A, 28, 1) & Mid(mc001A, 11, 1) & Mid(mc001A, 30, 1) & Mid(mc001A, 19, 1) & Mid(mc001A, 25, 1) & Mid(mc001A, 24, 1) Then
MsgBox "Username/Password don't match."
Else
MsgBox "User logged in !"

大意就是如果用户名是Try2Hack密码是OutOfInspiration，它就告诉你第6关的HTML文件名是：我忘了

no.6 文件名我忘了

它要你下载一个用VB5.0写成的程序，好象跟上一关差不多阿，耶，其实差的不少，VB5.0编译的程序一般不可以反编译的

没着了吧，没关系，执行它，随便输入，它提示连接，校验，然后说密码不对，它和谁连接的应该是我们破解的入手点，

找个sniffer工具，随便哪个能抓应用层包的工具都成，做个过滤，本端地址，对端地址填213.19.140.2，不然抓的太多了不好

分析，在执行那个程序，我们会发现这个程序验证密码时到www.try2hack.nl拿了一个叫p.lv6的文件,访问p.lv6,得到文件内容：

(ENCRYPTION TYPE)
B*C*N**N
(USERNAME)
ababa abbab baaaa aaabb
(PASSWORD)
ababa aaaaa abbaa abbba aaaaa baaaa baaba babba
(PAGE)
ababa aabaa baabb aabaa ababa baaab aabaa baabb aabaa abbaa

这个算法是什么东西,晕啊,不知道啊 ,不管它,我们搞IP欺骗,在自己机上开个http服务,把这个文件修改了放上去,我是把user

行的最后一个拿出来替换所有的user和password组合,随便a，b,c试下去，到输入dddd,dddddddd,它就乖乖地招了:
http://www.try2hack.nl/LEVELSEVEN.HTML

no.7 LEVELSEVEN.html

打开这个页面，有个到http://www.try2hack.nl/cgi-bin/level7.pl页面，打开，这个它，它告诉我们我们的浏览器不是

IE6.72,我们的操作系统不是LIUNX,我们不是重www.microsoft.com/ms.htm中链接过去的，有病阿，linux有IE6.72?

微软会在它的页面上放上到http://www.try2hack.nl/cgi-bin/level7.pl的链接？看level7.pl的源代码，它是在服务器端

执行的，我们看不到的，还是研究一下我的IE6.00和它通信时都告诉了它什么，抓包，我们会发现，我们的IE6.00告诉对方：

我是MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705。。。。耶，level7.cgi应该是根据这些信息知道我们不是它要求的

客户，嘿嘿，需要欺骗对方才行，用军刀来做吧，怎么做，格式我不讲拉，如下做就可以哄对方了：

nc www.try2hack.nl 80 [enter]

GET /cgi-bin/level7.pl HTTP/1.1 [enter]
Accept: image/gif, image/x-xbitmap, application/msword, */* [enter]
Referer: http://www.microsoft.com/ms.htm [enter]
Accept-Language: zh-cn [enter]
Accept-Encoding: gzip, deflate [enter]
User-Agent: Mozilla/4.0 (compatible; MSIE 6.72; Linux 8.8.8 i986) [enter]
Host: www.try2hack.nl [enter]
Connection:

Keep-Alive [enter]

注意，如果出现HTTP 400时，说明你输入格式有问题，出现httpd 200回应时，就给出结果了：

......Level-8.html......

no.8 Level-8.html

第8关其实很简单的，主页的作者用phf.cgi做第8关的验证CGI,phf.cgi是个古老的漏洞，其意在于引发你使用CGI漏洞来过这关,

访问/cgi-bin/phf.cgi?Qalias=x%0a/bin/cat%20/etc/passwd，你会得到BuiZe:Bu3kOx4cCMX2U，echo BuiZe:Bu3kOx4cCMX2U>1.txt 用john.exe：john 1.txt,在win2000上跑，10分钟得到结果:BuiZe(arsanik).

进去：User "BuiZe" logged in.

New message for BuiZe :

Level 8 completed !
Go to irc.quakenet.org and join #try2hack
There open a query to the bot 'TRY2HACK' and type 'perfect-start'

A query is a private message! So don't go pasting it in the channel.

OK,8关搞定，怎么样，大家给我打及格吧，这是刀光雪影的一个答案，大家说有灰色轨迹的帐号的，不怕丢丑，给他们也甩个连接

让他们来看哇！