Gra Capture The Flag, OverTheWire posiada bardzo ciekawe motto, “We’re hackers, and we are good-looking. We are the 1%”. Zabawa zaczynam od sekcji Natas, serdecznie zapraszam, klikamy link:
Zgodnie z opisem na stronie należy wejść na link wpisać startowe dane do zalogowania, login:natas0, password: natas0
Po zalogowaniu mamy okienko z aplikacją:

Z treści strony niewiele wynika, należy zatem sprawdzić kod strony, który prezentuje się następująco:
<div id="content">
You can find the password for the next level on this page.
<!--The password for natas1 is gtVrDuiDfck831PqWsLEZy5gyDz1clto -->
Zerowy level posiada zaszyty kod do następnego poziomu w kodzie komentarza HTML:
<!–The password for natas1 is gtVrDuiDfck831PqWsLEZy5gyDz1clto –>
Przechodzimy do adresu, dane do logowania to: login : natas1, password: gtVrDuiDfck831PqWsLEZy5gyDz1clto.

W tym zadaniu nie można korzystać z prawego przycisku myszy do podglądu kodu, zatem skorzystam ze skrótu klawiatury do podglądu kodu, Ctrl+U. Poniżej kod do aplikacji:
<body oncontextmenu="javascript:alert('right clicking has been blocked!');return false;">
<div id="content">
You can find the password for the
next level on this page, but rightclicking has been blocked!
<!--The password for natas2 is ZluruAthQk7Q2MqmDeTiUij2ZvWy2mBi -->
Podobnie jak w poprzednim zadaniu hasło zaszyte jest w komentarz strony,
<!–The password for natas2 is ZluruAthQk7Q2MqmDeTiUij2ZvWy2mBi –>
Adres do zadania:
login: natas2, password: ZluruAthQk7Q2MqmDeTiUij2ZvWy2mBi

Przechodzimy do podglądu kodu źródłowego strony:
<div id="content">
There is nothing on this page
<img src="files/pixel.png">
W tym zadaniu nie ma hasła w kodzie strony, natomiast na uwagę zasługuje linijka z kodem: <img src=”files/pixel.png„> Na stronie istnieje podkatalog files zawierający obrazek pixel.png. Sprawdźmy zatem co znajduje się w tym katalogu, przechodzimy pod adres:

Serwer strony www pozwala na przeglądanie zawartości katalogu, co pozwala na podejrzenie zawartości plików. Pierwszy plik pixel.png to czarne tło, natomiast drugi users.txt zawiera następującą treść:
# username:password alice:BYNdCesZqW bob:jw2ueICLvT charlie:G5vCxkVV3m natas3:sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14 eve:zo4mJWyNj2 mallory:9urtcpzBmH
Z treści pliku możemy poznać hasło do kolejnego poziomu: natas3:sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14
Adres do zadania:
login: natas3
password: sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14

Tutaj kolejna strona, na której nic nie ma…pora na kod źródłowy strony:
<div id="content">
There is nothing on this page
<!-- No more information leaks!! Not even Google will find it this time... -->
Kod źródłowy nie zawiera haseł, natomiast posiada inny ciekawy wpis: „No more information leaks!! Not even Google will find it this time…”, czyli nawet Google nie potrafi znaleźć tych informacji…..
Informacje dotyczące strony www przeszukiwane są przez automatyczne skrypty zwane pająkami lub robotami, natomiast plik konfiguracyjny ich zadań znajduje się na stronie pod nazwą robots.txt, czyli, poniżej jego zawartość:
User-agent: *
Disallow: /s3cr3t/
Strona nie pozwala na indeksowanie zawartości katalogu s3cr3t, sprawdźmy zatem jego zawartość:

Zawartość pliku users.txt przedstawiam poniżej,