CrackMe: Password finden

paco89

Stammuser
hallo, ich habe eine weitere CrackMe-aufgabe, bei der ich nicht weiterkomme.
und zwar habe ich den quelltext :

<!-- Hackit Begins -->
  Aufgabe:
<br><div class=quote style="width:75%;">

<script language="JavaScript" src="javascript.2.1">
pwd = 'isiteasy?';
function get_passwd() {
if(pwd == document.hackit.eingabe.value) {
alert('Das Passwort ist richtig. Jetzt einfach oben bei Solution eintragen.');
}
else
{
alert('Passwort ist falsch.');
}
}
</script>



hier ist doch jetzt das passwort 'isiteasy?' oder? aber wenn ich das als lösung angebe, kommt eine falschmeldung raus....ich verstehs auch nicht....kann mir da jmd. vtl. nen tipp geben.
 

bad_alloc

Member of Honour
hier ist doch jetzt das passwort 'isiteasy?' oder?
Hast du die Anführungszeichen mit eingegeben? Die gehören nicht mit dazu.

Auch wärs mal interessant zu wissen wo du das hergenommen hast um das selbst ansehen zu können.
 

ChiefWiggum

New member
Src="..."

Guck mal in der Datei ;) der angegebe Code wird wegen dem src-Parameter ignoriert.


Sent from my HTC Desire using Tapatalk
 

paco89

Stammuser
@bad_alloc : ich hab das auf der seite :: Happy-Security :: - Hackits, Challenges, Tutorials gefunden. das ist so ne seite, wo man solche aufgaben findet. weiß nicht, ob du mal schon davon gehört hast. ich finde das ne coole seite, wo man spielerisch lernen kann, sicherheitslücken zu finden. ich hab auch erst vor kurzem angefangen, und deshalb ist diese aufgabe eine der einfachen aufgaben. später wird schwieriger.
naja,ich kann die seite auf jdn. fall empfehlen.


@ChiefWiggum: wenn das password durch src = ... ignoriert wird, was muss ich dann angeben...ich cheks nicht...;(
 

paco89

Stammuser
ich hab jetzt mal auf die datei gecklickt die nach dem src = .. kam, und da erschien folgender code:

function getpasswd() {
var x = "";
var npwd = "";
var pwd = "";
var �pwd = "";

ipwd = "src = ";
npwd = �pwd+"external.js";
if(npwd == document.hackit.eingabe.value) {
alert("Eingabe ist richtig; Geht doch :)");
}
else
{
alert("leider nicht :(");
}
}


muss ich also ""+external.js" eingeben, oder wie?
 

Tsjuder

Stammuser
@ChiefWiggum: wenn das password durch src = ... ignoriert wird, was muss ich dann angeben...ich cheks nicht...;(

Wie mittlerweile richtig von dir erkannt musst du auf die Datei zugreifen auf die "src=" hinführt. Als tatsächliche Quelle wird nämlich dieser JavaScript Code verwendet und nicht der der dadrunter steht, weil dieser durch "src=" ignoriert wird.

Das wird auch im Funktionsaufruf deutlich an einer Stelle im Code den du gar nicht mit kopiert hast:
Code:
<!-- Hackit Begins -->
[...]
<script language="JavaScript" src="javascript.2.1">
[...]
function [B]get_passwd()[/B] {
[...]
</script>

[...]

<form name=hackit method=post>
[...]
<input type=button name=submit value=eingeben class=button onclick=[B]getpasswd()[/B]>
[...]
<!-- //Hackit Ends -->

Wie du siehst gibt es die Funktion getpasswd(), die beim Klicken auf den Knopf ausgeführt wird, gar nicht. Die Funktion gibts aber doch und zwar in der "javascript2.1" Datei.



Code:
var �pwd = "";

[...]

 npwd = �pwd+"external.js";
 if(npwd == document.hackit.eingabe.value)
[...]

Ein leerer String + "external.js" als String ergibt dann einfach nur "external.js", was also dem gesuchten Passwort entspricht.
 
Oben