Schlechte Passwörter, ungesicherte Server
Ihr Ziel ist es, die Passwörter zu knacken und so Zugang zur Webseite zu erhalten. Dazu gibt es 4 Challenges, wobei die letzte nur einem Programm gelöst werden kann.
Wichtig: Verwenden Sie keine eigenen Passwörter für die Übung! Die werden alle im Klartext übermittelt gehen unverschlüsselt in die Server-Logs…
Die Challenges müssen in der Reihenfolge gelöst werden. Bei der Lösung einer Challenge erhalten Sie den Link auf die nächste Challenge. Wenn Sie eine Challenge gelöst haben, speichern Sie die URL (das was in der Adresszeile vom Browser steht) in eine .txt-Datei.
Start hier: https://tech-lab.ch/hackme/
Infos zu Challenge 1
Wir möchten uns natürlich nicht als einfacher User, sondern als Benutzer mit Administrator-Rechten einloggen…
Infos zu Challenge 2
Infos zu Challenge 3
Infos zu Challenge 4
XSS
XSS steht für Cross-Site-Scripting und bezeichnet Angriffe, bei denen HTML- oder JavaScript-Code in eine fremde Seite eingeschleust werden können. Das ist darum problematisch, weil so vertrauenswürdige Seiten Dinge anzeigen können, die nicht vorgesehen sind, wie z.B. eine login-Maske, um Passwörter zu stehlen. So eine Lücke wurde im z.B. im alten Nesa-System gefunden.
Folgende Seite ist für XSS-Angriffe verwundbar:
Folgende Challenges:
- Erreichen Sie, dass irgendetwas auf der Seite rot erscheint oder dass ein Bild auf der Seite angezeigt wird.
- Erreichen Sie, dass der Hintergrund der gesamten Seite rot wird.
- Erreichen Sie, dass eine Warnbox mit dem Text “XSS” erscheint.
Posten Sie die Ihre verschiedenen URLs, die den XSS-Angriff demonstrieren auf Teams.