Net-Force challenge-získání přístupu k PHP scriptu

HackForum

Net-Force challenge-získání přístupu k PHP scriptu#
Zdravím,

v sekci "Hacking Games" jsem našel dost pěkný portál s různými challenge, které člověk musí pokořit - Net-Force.nl

Už jsem některé udělal ale nyní jsem se zasekl na exploitní challenge "Cooking Source". Jde o to, že musíte získat přístup (a tam hledané heslo) k jednomu scriptu, přičemž máte k dispozici ještě jeden script (to vše online v PHP), který umožní ukázat zdrojový kód - ale když zadám ten PHP script tak vypíše "Only HTML files allowed".

Ostatně podívejte se sami: [link]

Vím že v komunitě to chodí tak, že se výsledky jen tak neprozrazují. Ani já ho nežádám, ale byl bych velice vděčný za správné nasměrování, už tu sedím docela dlouho a nemůžu se k ničemu dobrat...

Předem děkuji za odpovědi.
(odpovědět)
hexoron | 46.246.125.*23.2.2012 21:40
re: Net-Force challenge-získání přístupu k PHP scr#
Jde o zcela běžný způsob. Nevím jak poradit, abych neprozradil :) Zkus například pozjišťovat něco o nedostatečně zabezpečených uploadech. Tato technika se u nich taky často používá.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP23.2.2012 22:17
re: Net-Force challenge-získání přístupu k PHP scr#
A je pravda, že se to má řešit přes ten zobrazovací skript?

Na internet jsem se podíval na Remote file inclusion, ale bohužel se stále nemohu dobrat výsledku.
(odpovědět)
hexoron | 178.73.216.*24.2.2012 8:19
re: Net-Force challenge-získání přístupu k PHP scr#
RFI nemá s nezabezpečeným uploadem nic společného.

BTW: Kdybys věděl, jak penetrují mladí chlapci, tak bys znal i odpověď na svůj dotaz.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP24.2.2012 9:59
re: Net-Force challenge-získání přístupu k PHP scr#
woe :D
(odpovědět)
Emkei | E-mail | Website | PGP24.2.2012 10:08
re: Net-Force challenge-získání přístupu k PHP scr#
co je ten nezabezpečeny upload už jsem si přečetl. rád se učím na příkladech, ale tady už nevím co vyzkoušet. možná mi něco uniká. no, kdyby měl ještě někdo nějakou radu, napište, já sem napíšu až to budu mít.
(odpovědět)
hexoron | 89.24.88.*24.2.2012 10:51
re: Net-Force challenge-získání přístupu k PHP scr#
Už jsi si zjistil, jak penetrují mladí chlapci? Až to uděláš, tak napiš.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP24.2.2012 11:15
re: Net-Force challenge-získání přístupu k PHP scr#
vkládáním javascriptu do diskusí, php include injekce, případně xss. myslíš tohle, nebo ještě něco jiného?
(odpovědět)
hexoron | 89.24.88.*24.2.2012 11:24
re: Net-Force challenge-získání přístupu k PHP scr#
Proč si na googlu nezjistíš odpověď na to, co ti tu furt předkopávám?

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP24.2.2012 11:45
re: Net-Force challenge-získání přístupu k PHP scr#
ale já vím jak ty útoky fungují, akorát mi prostě tady nejde udělat. asi něco přehlížím, ale nemuzu přijít na co.
(odpovědět)
hexoron | 89.24.88.*24.2.2012 12:19
re: Net-Force challenge-získání přístupu k PHP scr#
jo, mas pravdu: prehlizis to, co ti tu rikam. Zrejme si myslis, ze vis jak penetruji mladi chlapci. Tak az si to prestanes myslet, tak ziskas odpoved na svou otazku.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP24.2.2012 12:23
re: Net-Force challenge-získání přístupu k PHP scr#
jinymi slovy "vis jak penetruji mladi chlapci?" pokud je odpoved "ne" tak to potrebujes zjistit :-) a kterej chytrej strycek by o chlapecke penetraci mohl vedet nejvice ? :-)
(odpovědět)
oO. | 217.11.227.*24.2.2012 14:23
re: Net-Force challenge-získání přístupu k PHP scr#
ještě samozřejmě sql injekce.
(odpovědět)
hexoron | 89.24.88.*24.2.2012 11:34
re: Net-Force challenge-získání přístupu k PHP scr#
podle ceho script pozna, ze se jedna zrovna o Only HTML file?
(odpovědět)
infinity___ | 82.117.143.*24.2.2012 9:32
re: Net-Force challenge-získání přístupu k PHP scr#
dobrá otázka. napadají mě dvě možnosti. buďto ten script kontroluje příponu souboru, nebo to vrací ten cílový script.
(odpovědět)
hexoron | 89.24.88.*24.2.2012 9:57
re: Net-Force challenge-získání přístupu k PHP scr#
:) tenhle level není složitý a daný (podstrkávaný) článek k řešení vyloženě kope, tak se divím, že se to tu ještě řeší

PS: tenhle článek jsem četl poprvé, když jsem si googlil Emkeie a snažil se udělat obrázek :-D :-D :-D > není dobré soudit podle prvního "dojmu" :-D
(odpovědět)
24.2.2012 16:03
re: Net-Force challenge-získání přístupu k PHP scr#
ja to videl vcera poprve, ked to ccuminn podstrcil sem :-)
(odpovědět)
oO. | 217.11.227.*24.2.2012 17:37
re: Net-Force challenge-získání přístupu k PHP scr#
Že by si to vyskúšal s Nulovým bitom ? :) viz. [link]
Preštuduj si o tom nulovom bite niečo na google ....
Viem že vás ostatných to moc nepotešilo ale imho by na to inak neprišiel .... Ospravedlňujem sa vopred za to že som možno niečo vyššie prehliadol, no čítal som to na rýchlo :)
(odpovědět)
nitram147 | E-mail24.2.2012 18:04
re: Net-Force challenge-získání přístupu k PHP scr#
Děkuji za pomoc!

V tom případě bych se chtěl ospravedlnit a omluvit, protože o nulovém bitu jsem věděl a dokonce ho včera i zkoušel, ale ne v tomhle tvaru. Vzhledem k tomuto ani nechci domýšlet, jak dlouho by mi trvalo než bych se k té metodě s úspěchem vrátil :-)
(odpovědět)
hexoron | 213.220.215.*24.2.2012 18:15
re: Net-Force challenge-získání přístupu k PHP scr#
nitram147: To opravdu nebylo zrovna sportovni!

hexoron: To bylo tak těžké napsat do Googlu: "Jak penetrují mladí chlapci"?

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP24.2.2012 18:52
re: Net-Force challenge-získání přístupu k PHP scr#
to hexoron: Prvé čo som skúšal bol nulový bit v tvare %00.html a hneď sa mi to aj podarilo tak som okrem toho nič iné ani neskúšal
to .ccuminn. neviem čo si tým športovným myslel :)
(odpovědět)
nitram147 | E-mail24.2.2012 21:24
re: Net-Force challenge-získání přístupu k PHP scr#
Pěkně se tam klovou mladí kohouti penetrátoři :D.

Starší generace snášejí porážky od mladších, někdy chytřejších, velmi těžko! :-). Lepší na takové texty nereagovat. Jeden komentář, shrnout to a dál se nevybavovat. To štěkání co se tam předvádí působí dost nekorektně.

Jinak, RB, stojí za tebou, já stojím za ním, a spolu tu řepu utrhneme! :D
(odpovědět)
qteck.... | 90.180.194.*27.2.2012 13:41

Zpět
Svou ideální brigádu na léto najdete na webu Ideální brigáda
 
 
 

 
BBCode