HackIt! Nivel 3: seguridad por ocultación

Lo primero que vemos al entrar en el nivel 3 es un applet Java (que en Firefox, le cuesta cargar lo suyo…). En dicho applet se nos pide que introduzcamos login y password. Si acertamos, pasamos de nivel. Ok, analicemos el código fuente de la página para ver qué podemos averiguar. Lo primero que veremos será información sobre la clase Java principal que usa este applet: secApplet.class. Esta clase usa también clases internas que podemos encontrar compiladas en secapplet.jar. Todo esto lo podemos saber tras analizar el código HTML del reto:

 <applet code="secApplet.class" archive="secapplet.jar" codebase="." WIDTH=343 HEIGHT=152>
			<param name=numusers value="1">
			<param name=basename value="jhtgh.spi">
			<param name=style value="1">
			<param name=numtries value="3">
			<param name=width value="343">
			<param name=height value="152">
			<param name=l2 value="8|38|53|13|">
			<param name=l3 value="10|76|49|13">
			<param name=t1 value="74|38|245|21">
			<param name=t2 value="74|76|245|21">
			<param name=b1 value="74|108|245|20">
			<param name=bkcolor value="1118566">
			<param name=txcolor value="16777215">
			<param name=alturl value="./level3-3m3d35.html">
			<param name=ltitle value="Enter your Username and Password">
			<param name=mtarget value="_self">
		 </applet>

Parece por tanto que todo lo que tenemos que hacer es descompilar el fichero .class  y analizar el código fuente del applet Java, para ver qué es lo que está ocurriendo internamente (y esperemos que: 1) se pueda descompilar  y 2) el código fuente que genere no sea complicado de entender)

4 comentarios en «HackIt! Nivel 3: seguridad por ocultación»

  1. Pero que bien me lo pase el sábado por la tarde con este level.

    Sin animo de desvelar nada importante, la pregunta 1 creo que podría tener varias subpreguntas, ya que el problema no es solo si se puede descompilar, sino como queda la descompilación.

    Yo me encontré con varios churros que mas se parecían a perl (por lo ofuscado) que a java. hasta que encontré una buena herramienta.

    Bueno seguimos con el reto, el siguiente me tiene frito pero no me adelanto.

    Un saludo

  2. karlos: efectivamente, según el descompilador que uses el resultado puede ser ininteligible (lo digo por propia experiencia en la Euskal 😉 Así que el reto aquí se divide en varias ramas, efectivamente. Primero saber qué hay que hacer, segundo, encontrar (por prueba y error, no hay más), la herramienta adecuada, y tercero desvelar el secreto. Mañana más 😉

Responder a txunin Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.