|
DISCLAIMER
Questo articolo ha finalità esclusivamente educative e divulgative. ✅ Raccomando comunque di adottare alcune precauzioni di sicurezza durante la navigazione, tra cui:
L'autore dell’articolo e il sito web non si assumono alcuna responsabilità per un uso improprio delle informazioni contenute o per eventuali danni derivanti da comportamenti non conformi. |
Try2Hack.lt è una piattaforma che propone una serie di livelli da superare utilizzando vecchie tecniche basilari legate all’hacking web. Questi esercizi servono farsi un’idea generale delle logiche alla base dell'hacking web ma molto lontani dalle tecniche avanzate utilizzate oggi in ambito di sicurezza informatica.
E' una piattaforma pubblica progettata come gioco logico per mettere alla prova le proprie capacità analitiche e di problem solving. Non si tratta di un CTF (Capture The Flag) moderno né di una vera e propria piattaforma educativa strutturata come TryHackMe o HackTheBox, ma piuttosto di una sfida amatoriale a livelli progressivi, nata nei primi anni 2000 e tuttora online con un’interfaccia minimale. Il dominio è registrato in Lituania.
STRUMENTI UTILIZZATI NELL'ARTICOLO
Firefox Portable + Ruffle - Flash Emulator addon
JPEXS Free Flash Decompiler (Decompilatore Flash JPEXS gratuito)
Notepad++ (va bene anche il Blocco note di Windows)
Iniziamo subito! Collegatevi al sito (in lingua Inglese):
https://www.try2hack.lt/en/
Cliccate sul menu BEGIN per cominciare (non è necessario registrarsi/loggarsi):
#LIVELLO 1
Bisogna inserire una password per proseguire:
Cliccate con il tasto destro del mouse e selezionate l'opzione Questo riquadro>Visualizza sorgente riquadro:
Ecco il codice sorgente. Da qui è possibile vedere l'URL completo della pagina nella barra degli indirizzi (https://www.try2hack.lt/en/lygiai/level1.htm):
La password per il livello 2 è in chiaro e visibile nello script JavaScript: l4m3rz
Dallo stesso script è possibile visualizzare anche il nome della pagina del secondo livello: level2-room.htm
CURIOSITA'
L4m3rz è la versione "leet speak" di "lamers", che significa "perdenti" o "scarsi". Nel mondo hacker/gaming, "lamer" indica qualcuno considerato inesperto, che si spaccia per abile ma non lo è, o che usa strumenti creati da altri senza capirli. È un termine dispregiativo usato dalle comunità tecniche per distinguere i "veri" esperti dai dilettanti.
Il Leet Speak (1337 speak o linguaggio l33t)
Il leet o 1337 è un tipo di scrittura alternativa dove le lettere vengono sostituite con numeri e simboli che assomigliano visivamente:
A → 4 o @
E → 3
L → 1
S → 5 o $
T → 7
O → 0
Quindi "leet" diventa "1337" e "lamers" diventa "l4m3rz".
Nato negli anni '80-'90 veniva utilizzato da Hacker e cracker per aggirare filtri di testo, nelle BBS e nei forum underground.
Per accedere al secondo livello inserite la password, cliccate su Submit e su OK:
LASCIATE APERTA LA SEZIONE PER VISUALIZZARE IL CODICE SORGENTE.
Nel secondo livello è bloccata la possibilità di utilizzare il tasto destro del mouse:
Nella sezione con il codice sorgente del primo livello è possibile vedere il nome della pagina relativa al secondo livello (level2-room.htm)
Copiate l'URL esteso nella barra degli indirizzi:
https://www.try2hack.lt/en/lygiai/level2-room.htm
Ecco le credenziali per il terzo livello:
Username: osburn
Password: ozzy
I dati sono stati volutamente invertiti!
L'inversione è causata dall'ordine sbagliato dei parametri nella chiamata della funzione
onclick.
<input type="reset" value="Click if you want to continue" onclick="Tryi(testi.pass.value, testi.uzr.value)">
La funzione riceve:
uzer (primo parametro) = il valore del campo password dell'utente
pswd (secondo parametro) = il valore del campo username dell'utenteQuindi per passare il controllo:
pswd)
uzer) Dal codice sorgente è possibile vedere il nome della pagina del terzo livello:
location.href="level3-kbbe.htm
Inserite le credenziali e cliccate sul pulsante Click if you want to continue:
Cliccate su OK per proseguire:
#LIVELLO 3
Ecco il link esteso del terzo livello:
https://www.try2hack.lt/en/lygiai/level3-kbbe.htm
Per proseguire bisogna inserire una password nella finestra popup:
Apriamo il codice sorgente:
Da qui si vedono sia la password sia il nome della pagina del quarto livello:
<script language="JavaScript"> slp = prompt("Please enter the 3d level password:",""); if (slp == "fatman_") { alert("Great! Go to the 4th level..."); location.href="level4-blok.htm";
SLP è una variabile arbitraria usata per salvare il valore digitato dall’utente. Il codice controlla se l’utente ha inserito esattamente la password. Se la password è corretta mostra un messaggio di successo e reindirizza l’utente alla pagina del livello 4; altrimenti mostra un messaggio d’errore e reindirizza a una pagina vuota.
La password è fatman_
Inserite la password e cliccate sul pulsante OK:
Un messaggio conferma che stiamo entrando nel quarto livello. Cliccate sul pulsante OK per procedere:
#LIVELLO 4
Anche in questo caso è richiesta una password:
Come prima visualizziamo il codice sorgente:
Il link del livello è https://www.try2hack.lt/en/lygiai/level4-blok.htm
Dal codice si nota che quello che stiamo visualizzando è un file swf (Adobe Flash) che si chiama level4.swf (per visualizzarlo è necessario installare un add-on come Ruffle - Flash Emulator addon)
Adobe ha terminato ufficialmente il supporto per Flash Player il 31 dicembre 2020, e dal 12 gennaio 2021 è stata definitivamente bloccata l'esecuzione dei contenuti Flash all'interno del player di Adobe.
L'annuncio della fine vita era già arrivato nel luglio 2017, dando agli sviluppatori oltre 3 anni per prepararsi
Perché è stato abbandonato?
I motivi principali dell'abbandono di Flash sono stati:
-Problemi di sicurezza: Flash era notoriamente vulnerabile e rappresentava un costante rischio per la sicurezza, richiedendo aggiornamenti continui per correggere falle.
-Prestazioni scadenti: Flash aveva un elevato utilizzo di risorse hardware che alcune animazioni richiedevano
consumando batteria sui dispositivi mobili e rallentando i computer.
-Incompatibilità mobile: Apple non ha mai supportato Flash sui suoi dispositivi iOS, e Android lo ha gradualmente abbandonato.
-Evoluzione delle tecnologie web: Adobe ha incoraggiato la migrazione verso nuovi formati aperti come HTML5, WebGL e WebAssembly
Questo è il link diretto al file che è necessario scaricare:
https://www.try2hack.lt/en/lygiai/level4.swf
E' necessario decompilarlo. Per procedere utilizzeremo il programma gratuito JPEXS decompiler che potete scaricare dal seguente link:
https://github.com/jindrapetrik/jpexs-decompiler/releases
Nel tutorial ho scaricato l'installer per Windows:
Procedete con l'installazione. Questa è l'interfaccia:
Dal pulsante Apri selezionate il file scaricato o trascinate il file swf all'interno della finestra del programma. Nella sezione a destra è possibile visualizzare l'anteprima:
Selezionate la cartella script; da qui si possono vedere la password a sinistra e il nome della pagina del livello 5:
La password è la seguente: EasySWF
Cliccate su GO! per andare al livello successivo:
#LIVELLO 5
Ecco il link del quinto livello (visibile nel sorgente dello script all'interno del file swf):
https://www.try2hack.lt/en/lygiai/level5-jkli.htm
Per scoprire l'url del livello successivo è necessario scaricare un file .exe (basta cliccare su here (0,004 mb):
Aprite il file con Notepad++ o il Blocco note:
Quello che vedete si chiama codice esadecimale o dump esadecimale (hex dump).
In realtà, più precisamente, state vedendo una rappresentazione binaria del file convertita in caratteri. Il file .exe è composto da codice macchina binario, ma l'editor di testo cerca di interpretare questi byte come caratteri ASCII/Unicode, risultando in:
Dal codice è possibile vedere l'url del livello 6:
Á ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º www.try2hack.projektas.lt º º º º ::[ Try to hack ]:: º ÇÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄĶ º Level 5th º º Enter username and pass- º º word, then you will see º º url of the next level. º º Type "exit" to exit. º º º Username: º º Password: º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ exit Bear 31337 level6-eitp.htm WRONG DATAš Á š
https://www.try2hack.lt/en/lygiai/level6-eitp.htm
E' online la seconda parte del tutorial in cui analizzo i livelli dal 6 all'11! La trovate a questo link:
https://www.computermania.org/tutorial/sicurezza/try2hack-lt-esercizi-di-logica-e-sicurezza-informatica-nel-web-degli-anni-2000-parte-2
Articolo consigliato:
https://www.computermania.org/tutorial/informatica/15-e-piu-curiosita-informatiche-che-forse-non-conoscevate
Seguimi sui social per non perdere i prossimi aggiornamenti:
Computermania.org è un sito amatoriale creato da un appassionato di informatica che ha dedicato centinaia di ore di lavoro (soprattutto notturne!), per offrire a tutti tutorial, guide e trucchi di qualità e per risolvere i problemi tecnologici quotidiani. Puoi dimostrare il tuo apprezzamento per il lavoro fatto effettuando una piccola donazione su PayPal cliccando sul seguente pulsante:
GRAZIE!
Computermania.org è un sito amatoriale creato da un appassionato di informatica che ha dedicato centinaia di ore di lavoro (soprattutto notturne!), per offrire a tutti articoli e trucchi di qualità e per risolvere i problemi tecnologici quotidiani. Puoi dimostrare il tuo apprezzamento per il lavoro fatto effettuando una piccola donazione su PayPal cliccando sul seguente pulstante GRAZIE! Roberto
