Lo primero que vemos al entrar en el nivel 3 es un applet Java (que en Firefox, le cuesta cargar lo suyo…). En dicho applet se nos pide que introduzcamos login y password. Si acertamos, pasamos de nivel. Ok, analicemos el código fuente de la página para ver qué podemos averiguar. Lo primero que veremos será información sobre la clase Java principal que usa este applet: secApplet.class. Esta clase usa también clases internas que podemos encontrar compiladas en secapplet.jar. Todo esto lo podemos saber tras analizar el código HTML del reto:
<applet code="secApplet.class" archive="secapplet.jar" codebase="." WIDTH=343 HEIGHT=152> <param name=numusers value="1"> <param name=basename value="jhtgh.spi"> <param name=style value="1"> <param name=numtries value="3"> <param name=width value="343"> <param name=height value="152"> <param name=l2 value="8|38|53|13|">
<param name=l3 value="10|76|49|13"> <param name=t1 value="74|38|245|21"> <param name=t2 value="74|76|245|21"> <param name=b1 value="74|108|245|20"> <param name=bkcolor value="1118566"> <param name=txcolor value="16777215"> <param name=alturl value="./level3-3m3d35.html"> <param name=ltitle value="Enter your Username and Password"> <param name=mtarget value="_self">
</applet>
Parece por tanto que todo lo que tenemos que hacer es descompilar el fichero .class y analizar el código fuente del applet Java, para ver qué es lo que está ocurriendo internamente (y esperemos que: 1) se pueda descompilar y 2) el código fuente que genere no sea complicado de entender)
Pero que bien me lo pase el sábado por la tarde con este level.
Sin animo de desvelar nada importante, la pregunta 1 creo que podría tener varias subpreguntas, ya que el problema no es solo si se puede descompilar, sino como queda la descompilación.
Yo me encontré con varios churros que mas se parecían a perl (por lo ofuscado) que a java. hasta que encontré una buena herramienta.
Bueno seguimos con el reto, el siguiente me tiene frito pero no me adelanto.
Un saludo
karlos: efectivamente, según el descompilador que uses el resultado puede ser ininteligible (lo digo por propia experiencia en la Euskal 😉 Así que el reto aquí se divide en varias ramas, efectivamente. Primero saber qué hay que hacer, segundo, encontrar (por prueba y error, no hay más), la herramienta adecuada, y tercero desvelar el secreto. Mañana más 😉
pues yo encontré un decompilador q me impresiono lo bien q te deja el condigo fuente
Este fue un nivel bastante interesante. A mi me enseño un aspecto de java que no conocia.