Level 0 To Level 3 Write-ups
Level 0
Challenge Description
website: http://natas0.natas.labs.overthewire.org
Background Knowledges
- 如何使用瀏覽器檢查原始碼。
Solve
- 打開
原始碼或Dev tools (Inspector)
- 有答案了...
Thoughts
標準的 comment leak。
雖然很蠢,但是也真的碰過這麼蠢的。
Answer
答案
username: natas1
password: g9D9cREhslqBKtcA2uocGHPfMZVzeFK6
Level 1
Challenge Description
website: http://natas1.natas.labs.overthewire.org
Background Knowledges
- 如何使用瀏覽器檢查原始碼。
- 如何不用「右鍵」查看原始碼。
Solve
NOTE
本題提示說「右鍵被鎖住」,但是...看原始碼誰說一定要右鍵?
- 同
Level 0解法
Thoughts
現在雖然真的比較沒人這麼玩了...
但是真的不要以為把右鍵鎖起來就萬事大吉了...
包含鎖 dev-tool 等等...
最好的防禦就是:不要蠢到把機敏資料放到前端。
Answer
答案
username: natas2
password: h4ubbcXrWqsTo7GGnnUMLppXbOogfBZ7
Level 2
Challenge Description
website: http://natas2.natas.labs.overthewire.org
Background Knowledges
- 網站的結構與路徑。
Solve
本題說:這個頁面沒有任何東西,但是我們還是翻一下原始碼。
我們可以看到有一個圖片在
/files/資料夾中。
我們檢查看看是否可以訪問
/files/這個資料夾內容,結論是可以。http://natas2.natas.labs.overthewire.org/files/
點入
user.txt就可以看到答案。
Thoughts
這個關卡的重點在於能不能了解「路徑」的權限問題。
我們在架設靜態網站時,常常會忘記處理「目錄顯示」的權限,也因此有些不能公開的資源被容易檢視。
Answer
答案
username: natas3
password: G6ctbMJ5Nb4cbFwhpMPSvxGHhQ7I6W8Q
Level 3
Challenge Description
website: http://natas3.natas.labs.overthewire.org
Background Knowledges
- Google 爬蟲的爬取機制
- 網站檔案訪問
Solve
NOTE
本題狀況跟 Level 2 一樣,只是要找的地方不同。
TIP
注意他的原始碼提到 Not even Google will find it this time...
在什麼情況什麼設定下,Google 都無法找到頁面呢?
那自然就是設定了 robots.txt 的狀況囉!
- 同 Level 2 解法。
Thoughts
robots.txt 固然可以防範爬蟲爬到這個資料夾,避免被 Google Hacking。
但是忘記鎖權限...那就無解了..
所以,記得要把不用到的東西上鎖。
想了解更多?
如果你想對於 robots.txt 了解更多,可以看這一篇:
Answer
答案
username: natas4
password: tKOcJIbzM4lTs8hbCmzn5Zr4434fGZQm