黑客营互动版(35)——第一关:查看源代码跳出死循环陷阱
黑客·安全
选手A:郭亮(重庆)
使用工具:IE6.0浏览器
年龄:22
在打开http://hack.bji.cn后,看到了黑客游戏的首页,下面有个“接受Uplink考验”的超链接。将鼠标悬停在上面,可以在浏览器左下角看到该链接的网页为http://hack.bji.cn/uplink1.htm。第一次点击进去后因为不知道账号和密码遭遇死循环陷阱“You are spy!”被迫关掉浏览器。
在吸取上次教训后,我开始从源代码入手。在浏览器的地址输入栏中输入:“view-source:http://hack.bji.cn/uplink1.htm”就可以在弹出的源代码文本框中找到如下内容:
id = "约翰.培特鲁";
pw = "k29Iw0Pw1";
id_i = prompt("你要出示证件","");
password = prompt("联络口令","");
if(id_i == id && password == pw) document.write("Haha<br>身份通过!密码是2uTa不过我只是密码保管的其中之一<br><a href='TWljcm9zb2Z0.htm'>继续寻找藏有密码的人
这下源代码一目了然。再次进入该网页,我们在第一个对话框中输入“约翰.培特鲁”,在第二个对话框中输入“k29Iw0Pw1”便轻松通过第一关。或者直接在浏览器地址输入栏中输入“http://hack.bji.cn/ TWljcm9zb2Z0.htm”也能跳过输入对话框,直接进入第二关。
注意:要是使用“view-source”命令无法弹出网页源代码文本框,则可以利用FlashGet下载http://hack.bji.cn/uplink1.htm网页后,用文本格式打开就行了。
点评:郭亮这个方法可谓面面俱到,相信大多数过了这关的朋友使用的都是这个技巧。本关最关键的就是如何看到uplink1.htm的网页源代码。郭亮通过输入网页命令和下载网页用文本打开这两种方法得到了网页源代码。可谓四平八稳,是最常用的方法。
选手B:小恐龙(北京)
使用工具:Maxthon浏览器
年龄:27
以正常方式进入http://hack.bji.cn/uplink1.htm页面,然后在按住Ctrl就可以屏蔽对话框,所以不用输入证件和口令就可以进入页面(该方法只对Maxthon浏览器有效),从菜单上选择“查看源代码”(鼠标右键菜单会被屏蔽),就可以看到网页源代码。
id = "约翰.培特鲁";
pw = "k29Iw0Pw1";
id_i = prompt("你要出示证件","");
password = prompt("联络口令","");
if(id_i == id && password == pw) document.write("Haha<br>身份通过!密码是2uTa不过我只是密码保管的其中之一<br><a href='TWljcm9zb2Z0.htm'>继续寻找藏有密码的人
这样我就获得了下一关的地址http://hack.bji.cn/TWljcm9zb2Z0.htm,直接在浏览器的地址栏中输入该地址就达到第2关。
点评:小恐龙这个方法可谓剑走偏锋,出人意料,把浏览器的特点用得淋漓尽致。我们可以看到小恐龙基本上没有任何多余的步骤,对于一个黑客来说,免去不必要的过程是十分重要的。因为可减少留下痕迹的几率。