top of page
Buscar

WarZone | Hack-Web_Google

  • manuelbgomar
  • 25 may 2016
  • 2 Min. de lectura

Buenas amigos !

Volvemos con un nuevo reto, esta vez visitaremos la página http://www.elhacker.net/ donde podremos encontrar retos en el apartado de "WarZone" http://warzone.elhacker.net/

Es una página bastante interesante para comenzar en el mundo de la seguridad, hay retos de todos los niveles. En este post Veremos "hack-web_google" dentro del hacking web.

Según entramos nos encontramos esta primera pantalla:

Nos pide que entremos en el panel de administrador, pero....¿Cómo? Si no tenemos ningún enlace, ni formulario que nos lleve a él. Seguro que alguna vez has escuchado eso de: "busca el archivo robots.txt", no?. Bien, y qué es eso? preguntemos al Dios supremo, google, la definición de wikipedia dice:

Un archivo robots.txt en un sitio web funcionará como una petición que especifica que determinados robots no hagan caso a archivos o directorios específicos en su búsqueda. Esto puede realizarse, por ejemplo, para dejar fuera de una preferencia los resultados de una búsqueda avanzada, o de la creencia que el contenido de los directorios seleccionados puede ser engañoso o inaplicable a la clasificación del sitio en su totalidad.

Un ejemplo bastante antiguo es el de la Casa Real

Pues bien, busquemos a ver si por casualidad, la página que estamos tiene activado:

Vemos que tiene dos, admin.php y a4_b5.php. Bien, ya tenemos la página de administrador, y otra que no sabemos, vamos a investigar la primera:

Tanto el formulario, como el código fuente (que recuerdo que siempre hay que echarle un ojo) no nos dice nada. Vamos a ver el otro que hemos encontrado:

Hummm, vemos algo que no tenemos ni idea de que es... pero parece que vamos por buen camino.

neo:nemXFLcKrWcyc

morpheo:mo8u70g.qlNFs

pax:paLFC4JihkqG.

Sabemos que neo, morpheo y pax son usuarios, pero lo otro, son contraseñas, pero contraseñas que tenemos que crackear para descifrar. Tenemos una herramienta en la suite de Kali Linux, bastante usada en este mundillo para poder descifrar claves, nuestro gran amigo "Johnny".

Copiamos en un notepad los 3 usuarios y las claves, lo cargamos y le damos a "Start Attack". Al final nos tendrá que dar la contraseña en texto plano.

Vamos a la página de adminz.php e introducimos el usuario "pax" y contraseña "toor" y vemos que hemos conseguido pasar el reto.

Conclusión:

En este reto de warzone hemos aprendido lo que es "robots.txt" que muchos desarrolladores olvidan filtrar y que siempre nos da mucha información a la hora de hacer una auditaría y el programa "johnny", un crackeador de contraseñas, que siempre biene muy bien.

Sed buenos,

Saludos.!


 
 
 

Comments

bottom of page