Choď na obsah Choď na menu
 

Vítajte v tejto rubrike vám dáme skvelé tipi a návody ako hackovat atd....

Na začiatok Niečo Lahšie.

 

Zaheslovanie svojho webu

Část 2 zaheslovanie svojho vebu pomocou java scriptu
 kod:
<SCRIPT language="JavaScript">
  <!-- Key-code script by Bart Jellema
    // You may use this script freely as long
    // as you credit me for it...
    var usermulcode=24
        // This is to validate the code. In this case
        // the code is 1234 so the mul = 1*2*3*4 = 24
        // Change this value for your own code
        // If your code is 2415 it will be
        // usermulcode = 40 (2*4*1*5)
    var code=0   // the entered code
    var mul=1    // the multiplied digits
    var digit=0  // number of digits entered so far
    var fails=0  // number of tries done
    function Enter_code(number)
    {
     
      code=code*10+number         // Add the digit to the code
      mul=mul*number              // Update mul-value
      document.codepad.thecode.value=code  // Show code
      digit++                     // Increase digit
     
      if (digit==4)               // Four digits entered
      {
        if (mul==24)              // This is to validate
                                  // the code. In this case
                                  // the code is 1234 so the
                                  // mul = 1*2*3*4 = 24
                                  // Change this value for
                                  // your own code
        {
          location=code+".html"
        }
        else
        {
          fails++                 // Increase fails
          code=0                  // Reset values
          mul=1
          digit=0
          if (fails<3)           
          {
            if (fails==1)
            {document.codepad.thecode.value="Try again"}
            if (fails==2)
            {document.codepad.thecode.value="Last time"}
          }
          else                    // To many tries = worp back
          {
            location="index.html"
            document.codepad.thecode.value="Bye!"
          }
        }
      }
    }
    function keycodepad(mulcode)
    {
      usermulcode=mulcode
      document.write("<form name=\"codepad\">");
      document.write("<input type=\"button\" value=\" 1 \" onClick=\"Enter_code(1)\">");
      document.write("<input type=\"button\" value=\" 2 \" onClick=\"Enter_code(2)\">");
      document.write("<input type=\"button\" value=\" 3 \" onClick=\"Enter_code(3)\"><br>");
      document.write("<input type=\"button\" value=\" 4 \" onClick=\"Enter_code(4)\">");
      document.write("<input type=\"button\" value=\" 5 \" onClick=\"Enter_code(5)\">");
      document.write("<input type=\"button\" value=\" 6 \" onClick=\"Enter_code(6)\"><br>");
      document.write("<input type=\"button\" value=\" 7 \" onClick=\"Enter_code(7)\">");
      document.write("<input type=\"button\" value=\" 8 \" onClick=\"Enter_code(8)\">");
      document.write("<input type=\"button\" value=\" 9 \" onClick=\"Enter_code(9)\"><br>");
      document.write("<input type=\"text\" name=\"thecode\" size=10 value=\"\"><br>");
      document.write("</form>");
    }
  // Key-code script by Bart Jellema -->
</SCRIPT>
<TITLE>Script 001</TITLE>
</HEAD>
<BODY BGCOLOR="#FFFFFF">
<center>
<script>
  keycodepad(24) 
</script>



Pristup na stranku spociva ve znalosti 4 mistneho cisla. Je to kontrolovano tak, ze se vynasobi jednotlive cislice "hesla" a pokud vysledek souhlasi, jste presmerovani na pozadovanou stranku.
Nedokonale je uz to ze se kontroluje jenom ten soucin, protoze v tomto pripade je treba "heslo" 1234, ale skriptem projdou i jine kombinace u kterych vyjde 24 (4321, 1324, atd...) a v tom pripade budete presmerovani na neexistujici stranku. Toto by jeste ani tak nevadilo, protoze pokud znate "heslo", jste presmerovani na spravnou stranku.

Pokud tedy znate "heslo", muzete si stranku otevrit i rucne zadanim nazvu.
Jako utocnik, spravne "heslo" neznate, ale vite ze stranka je soubor s nazvem 4 mistneho cisla s priponou html.
Rucni zkouseni by mohlo trvat dlouho, tak si na to napiseme neco co to udela za nas. Zvolil jsem powershell (ale samozrejme si to muzete napsat taky v cemkoliv jinem). Powershell je ke stazeni na webu Microsoftu zdarma.

 
 
$url = ""
$client = new-object System.Net.WebClient
$page = "http://localhost"


for($i = 0; $i -le 9999; $i++)
{   

   $url = $page + "/" + $i.toString() + ".html"

   $text = $client.DownloadString($url)

   trap [System.Net.WebException] {
      echo $url
      continue
   }

   if ($text.length -gt 1) {
      break
   }

}


echo "Hledana adresa je:"
echo $url

Vidite ze napsat takovy skriptik je otazka par minut. Funguje to tak, ze se budou zkouset vsechny kombinace, pri zadani spatneho nazvu souboru nam server vrati chybu 404, v tom pripade si jenom vypiseme url (aby bylo videt kolik adres uz jsme vyzkouseli). Samozrejme http://localhost se musi nahradit adresou pozadovaneho webu. Pokud nam server nevrati chybu, to znamena ze soubor existuje, vypiseme nalezenou url a skoncime.

Skript by slo vyrazne zrychlit tim, ze by se na serveru testovaly jenom adresy, kde by soucin cisel v nazvu odpovidal soucinu ktery je nastaveny v tom JavaScriptovem kodu. Vzhledem k tomu ze otestovani vsech kombinaci na webovem serveru (ne na localhostu, tam to je opravdu rychle), trvalo asi 10 minut (samozrejme cim nizsi cislo by bylo jako "heslo" tim by to bylo rychlejsi), tak jsem to nechal jenom takto.

A co z toho vyplyva? Nezakladejte zabezpeceni svych webu na skriptech zpracovavanych u klienta, nebo jenom na potrebe znalosti spravne adresy souboru.

 

Dj Tiesto - Traffic

 

1   2   3   4  5   6  7  8  9  10  11  12  13  14 15  16 17