Versión para impresora

Haz click aquí para ver este tema en su formato original

Foro _ Seguridad _ Topic Oficial (Aclaraciones, Dudas, Pistas, Quejas, aqui...)

Publicado por: g30rg3_x el 27/02/2007 03:08

Bienvenido al topico oficial del reto numero 134

"Surreal Hacking 1"

Antes de que empieze la lluvia de flames, la trolleada, los ojala te hubieras muerto por hacer esto reto, los llantos (al que le venga el saco que se lo ponga XDD) y los pliz una pista...
Explicare la tematica de esta serie de retos que tengo pensado hacer...

La tematica de este serie de retos (para este y los que sigan) se basan en tratar de apegarse a la realidad y no lo acostumbrado de un reto donde se te pida que hagas X con Y, aqui tendras que valerte de tus propios conocimientos, existen varios caminos para llegar a la meta, aunque la solucion es unica, a algunas personas se les hara un castigo a otros se les hara un regalo todo depende de cuanta experiencia tengan en el campo tratado de este reto, claro todo esto sin salirse del ambiente controlado que ofrece un reto, haciendo posibles sus sueños bizarros de hacking.

Cabe aclarar que el camino estara lleno de espinas asi que no se desanimen si se raspan mucho (o poco)..
Para dar cabida al justo juego he decido solo hasta los dos semanas, empezar a dar pistas y esto solo si nadie lo ha pasado, por el momento el topico solo sera para aclaraciones y dudas (no se pasen con las preguntas o no las respondere).


Saludos y Mucha Suerte!

Publicado por: androm el 27/02/2007 08:45

En un primer vistazo ya le he visto dos vulnerabilidades a la página. por cierto gran l33t34, jajaja.

Publicado por: Paisterist el 27/02/2007 15:55

Lol... george lee el mp, quede trabado en esa parte, no pido ayuda sino saber si me falta mucho.

Saludos

Publicado por: g30rg3_x el 27/02/2007 16:02

Tomado del topico oficial...
Y esto va para todos no solo para pastelito XD

CITA
Cabe aclarar que el camino estara lleno de espinas asi que no se desanimen si se raspan mucho (o poco)..


El objetivo es claro lean bien las instrucciones...

Saludos

Publicado por: NitRic el 27/02/2007 16:19

antes ke nada, y primero y principal,

es posible defacearla? es decir, tiene bugs como para poder defacearla?

o pretenden ke defaceemos algo ke no saben si es defaceable?

Publicado por: g30rg3_x el 27/02/2007 16:28

Hay como me recuerdas a mi hace unos años al decir esa frase... blush.gif (Ya voy quedando viejo...)

Otra vez lean las instrucciones y el topico oficial...

CITA
La tematica de este serie de retos (para este y los que sigan) se basan en tratar de apegarse a la realidad y no lo acostumbrado de un reto donde se te pida que hagas X con Y, aqui tendras que valerte de tus propios conocimientos, existen varios caminos para llegar a la meta, aunque la solucion es unica, a algunas personas se les hara un castigo a otros se les hara un regalo todo depende de cuanta experiencia tengan en el campo tratado de este reto,claro todo esto sin salirse del ambiente controlado que ofrece un reto, haciendo posibles sus sueños bizarros de hacking.


Saludos

Publicado por: PescaoDeth el 27/02/2007 22:16

el defaced sería aceptado por zone-h como tal.
excepto por el hecho que es un host gratuito.
el objetivo es claro, se sabe cual es el alcance de atacar un host gratuito.


pd:moví las consultas a este post

Publicado por: NitRic el 01/03/2007 19:32

Paisterist, sos GRROOOSSSSOOOOOOOOOOOOOOOOO tongue.gif




:okz:

Publicado por: g30rg3_x el 02/03/2007 21:15

Bueno increiblemente mucha gente me ha estado preguntando una y otra vez lo mismo ya sea via IRC, MSN, Correo o PM y veo que todos tienen el mismo problema, que es que no usan su pensamiento analitico (o su caracter analitico) y solo usan su logica...
Asi que hare unas aclaraciones...

El objetivo de este reto es que defacees/hackees la web de DrAk, al empezar al reto se te dice que no te vayas con el servidor por que como DrAk se escuda en servidores gratuitos buscarle bugs al servidor es muy dificil (pero no imposible).
Mucha gente se va con cosas absurdas y se les olvida el objetivo del reto, asi que piensen muy bien el objetivo y tratan de hacerse su propia solucion o un al menos un plan para realizar el objetivo.

Este es un reto "realista" pero "soñado", se que los confunde pero lo que quiero decirles es que todo lo que tienen que hacer en el reto es algo real, es algo que se puede aplicar en la realidad (para defacear una web), pero es soñado o imaginado osea no se les olvide que es un reto pre-fabricado y por consecuente heredara algunas de sus propiedades (como trampas, malos caminos y poca ayuda).

Que quiero hacer decir con esos dos parrafos... simplemente trato de decirles que este no es un reto como a los que estan acostumbrados y por eso se les hace mas dificil, aqui no hay una orden que te diga "dame el color de tal cosa" o "piensa en binario" o "logueate como admin" o "sacame este serial" o "haz fuerza bruta a tal algoritmo" o "desencripta este algoritmo", etc...
NO!, no es un reto a los que te tienen acostumbrado aqui tendras que pensar, investigar, leer, aprender, probar y fallar hasta que logres el objetivo, como les digo a todos aqui no te pido que reconstruyas un fichero o metas algo en menos de 3 segundos..., no!, este es un reto realista...
No son fumadas lo que tendras que hacer...
No tendras que golpearte con la pared...
No tendras que contactarme que hacerlo de una manera especial...
Como dije hay muchas caminos que te puedes encontrar antes de lleguar a la meta, todo es cuestion de elegir uno en base a tu pensamiento analitco y no al voy hacerlo...
Detente piensa, arma, construye, falla pero al menos detente y piensa...

La verdad fijense hasta pastelito(paisterist) tuvo que aprender algo al igual que el robalo(pescaodeth que fue el beta tester), tuvieron que aprender al menos algo...
No se desanimen si les toma mucho tiempo hacer este reto, como dije es cuestion de quien tiene mas experiencia, ya que pueden pasarse mirando la solucion todo el dia y no verla por que no se concentran, fijense bien!

Saludos

Publicado por: ElvisPresley el 03/03/2007 03:14

pasodo muy divertido jorge xD


PD... me gano pepepistola chale xD todo pro nov er dodne estaba el apssword xD
salduso

Publicado por: g30rg3_x el 03/03/2007 18:27

debido al incontenible numero de respuestas falsas positivas al reto..
Va a quedar de baja hasta nuevo aviso y junta pendiente con el staff de yashira...

Sentimos la molestia..

Saludos

Publicado por: ElvisPresley el 03/03/2007 18:43

croe ke eso no es justo hay varios ke tienen dias dandole al reto como pa ke lo kiten

Publicado por: g30rg3_x el 03/03/2007 21:01

se habia cambiado el reto a un nuevo servidor debido a que orgfree nos cerro por contenidos "hacker"....

Pero el nuevo servidor provoca falsos positivos haciendo que el reto sea mas facil de lo que era, no creo que sea eso injusto, ya si alguien que lo paso bien y venga otro que lo paso diferente y mas facil debido a un error del servidor, no consideras injusto para el que si se esforzo???

Saludos
PD: Le damos gracias a nitric por descubrir el error..
PD2: Aun no contacto a nadie del staff de yashira por consecuente tardara mas la cosa, si alguien ve al pescado o a alex que le avisen que lo busco para que regrese el reto mas rapido...

Publicado por: pepepistola el 04/03/2007 01:36

CITA
si alguien que lo paso bien y venga otro que lo paso diferente y mas facil debido a un error del servidor, no consideras injusto para el que si se esforzo???


nup ^^.png ,dicen que la solución más simple tiende a ser aquella correcta, pero en fin , calculo que se aprendera de las 2 , y como no habia un sendero marcado a seguir en cuanto a que si y que no =)

por lo menos yo estoy contento, ya que aprendi un poko mas de intrusion , y ensima me hice una tool bien completa =) y util

en fin me gusto el reto ojala vuelva asi los demas pueden aprender xD

Publicado por: PescaoDeth el 04/03/2007 02:19

jejejeje bien mañana hablaré con g30rg3_x para subirlo al hosting de yashira.
pq ahora me voy de chelas ^^.png

Publicado por: Trancek el 04/03/2007 15:05

Vengaaaaa ponerlo ya!!!! jejeje que ya despues de los analisis que hice yo creo que lo pasare de la forma que pide g30rg3_x ya que es un metodo no tan conocido como RFI y otros y ademas me toco aprender cosas nuevas y ver varias formas de atacarlo, ya veremos si estoy en lo cierto o no, saludoss ah y otra cosa de los que pasaron despues d paisterist que no se si pasaron como el pedia, les aconsejo que busquen aunque lo hayan pasado el reto ya que seguro aprenderan algo nuevo ;)

Publicado por: g30rg3_x el 04/03/2007 17:38

el reto se cerro a causa de falta de servidor y un problema que tenia el reto con php4...
la solucion aunque no era la que se esperaba es valida para tanto nitric, pepepistola y elvispresley...

No es como todos piensan por caprichos, es solo que orgfree nos mando al carajo, lycos.es no es compatible 100% con el reto, iespana no le gustaba el pez, mi@ es muy lento, awardspace se queja del nombre de los archivos, etc...

Siguo buscando un servidor gratuito que cumpla con los estatutos o sin pues ponerlo en yashira pero la idea era hacerlo un poco tirado a la realidad...

Saludos

Publicado por: skyline2412 el 04/03/2007 18:00

probaste en 110mb george?

Publicado por: Trancek el 04/03/2007 20:04

pufff pos haber entocnes al final donde se puede y tal..ah y otra cosa 110mb...creo que es facilmente hackeable por el servidor y muchos lo intentaran asi...o skyline no te acuerdas que recien puesta l web nuestra y el server lo hackearon entero...xD

Publicado por: ElvisPresley el 05/03/2007 02:48

yo tambien tengo un host por ahi no mas di si kieres jorge

Publicado por: g30rg3_x el 06/03/2007 23:22

Reto devuelta...

Despues de ir rondando entre muchos host por fin logramos hallar con otro bueno como orgfree...

Nueva web para el reto:
http://yashira.org/

Se ha cambiado un poco el reto para tratar de evitar respuestas/soluciones no esperadas y aparte para acomodarlo en el nuevo hosting, para los usuarios que lo hallan pasado de manera no-esperada pero legalmente valida se les alienta a que vuelvan hacer el reto para que entienden como se debio pasar...

Saludos

Publicado por: Trancek el 07/03/2007 17:12

Bueno mire el reto de nuevo, y veo que han cambiado cosas ¬¬.gif ejeje pero bueno ya solo me dejaste un camino seguro asi que ese es el que seguire, ya no barajo tantas posibilidades como antes jeje lo malo que antes tenia algun metodo posible..ademas vi que arreglaste lo del pag para que no saliera que el mensaje fue escrito en 1969 xDDD, bueno voy a pnesarlo y a ver como lo ataco, saludos

Publicado por: PescaoDeth el 08/03/2007 01:37

que bien, ya está listo el reto nuevamente ^^.png.

se le han quitado los puntos a Nitric pq el reto no se encontraba en el host que estaba anunciado en el reto, la idea es que todos tengan condiciones justas para todos los usuarios. en el caso del hosting usado "a modo de test por g30rg3_x" no contaba con las condiciones para resolver el reto como fué planteado.
u otros métodos como lo hicieron pepe y elvis.
Nitric entenderá mejor a que nos referimos. ^^.png saludos

ahora este es el otro host válido.

PD: Nitric en caso de dudas con la desición, resolverlo por mp ;) gracias.
de Cualquier forma queda reservada la fecha en que ingresaste la respuesta (con el user HackFalse Temporalmente) por si es necesario revertir la desición.

Publicado por: ElvisPresley el 08/03/2007 01:44

pue ske bien ke ya ke ya este online el reto xD

voya ver si lo paso xD

saludos

Publicado por: g30rg3_x el 08/03/2007 21:12

A peticion de varios usuarios que llevan haciendo el reto, se movio este hacia un servidor "mas compatible"...

Tambien para los que se quejan si ha cambiado el reto, es no no ha cambiado el reto ahora con el nuevo host no se cambio nada es el mismo que desde el principio...

Saludos

Publicado por: g30rg3_x el 21/03/2007 04:51

Bueno ya paso un poco mas del tiempo reglamentario, asi que dare la primera pista...

"Miren el archivo ---------.txt"

Para los que se pregunten para que sirve ese archivo...
El archivo "---------.txt" es lo primero que leen los web-crawlers para identificar las reglas para el website en especial, digamos especifica que no deben indexar en los buscadores los robots...
Sin embargo este archivo es un punto de seguridad bajo, ya que como este archivo es accesible a todo el mundo, un hacker mal intencionado puede usar la informacion para saber que directorios son "especiales" y tratar de buscar entrada por ahi...

Para los que andaban perdidos esa pista es un sendero mas...

Saludos

Publicado por: PescaoDeth el 22/03/2007 01:47

XDDDDD yo no hubiera dado la pista.
es casi muy obvia.
al menos ubieras dicho, miren el archivo ---------
con eso todo se hace mas simple

Publicado por: Trancek el 16/06/2007 13:23

g30rg3_x ando viendo de nuevo el reto, ya revise un documento mio donde puse todo lo que tenia y recorde, alguna pistilla?? ya estaras viendo en el server lo que ando probando..es que ahora no se me ocurre otra posible solucion que eso que intento, asi para no dar muchas pistas a los demas xD

Publicado por: g30rg3_x el 16/06/2007 16:58

no te entendi nada, parece que estas http://buscon.rae.es/draeI/SrvltGUIBusUsual?LEMA=cantinflear.

Desgraciadamente en ese hosting no puedo ver los logs de acceso o de errores y no quiero implementar un sistema de logs atravez de php por que no es necesario asi que la proxima ves rata de ser mas claro o cotactame por PM.
No pienso dar mas pistas por que obvio ya la pasaron 6 personas y si ya lo pasaron 6 significa que se puede o no?.

Saludos

Publicado por: g30rg3_x el 09/07/2008 19:22

El reto esta devuelta online...
sorry por no haberlo hecho antes pero estaba ocupado con cuestiones personales.

Ahora el reto esta en Yashira y ahi se quedara.

Saludos

Publicado por: Salcho el 30/06/2010 04:29

Sé que los archivos tienen un formato de compresión, creo saber como se llaman los archivos que tienen dentro, he intentado con strings, hexdump, file, etcs. y ninguno puede determinar el formato del archivo. Es un falso positivo? Algo?

Publicado por: g30rg3_x el 03/07/2010 05:12

Como dije este reto tiene mas de 1 camino, sin embargo algunos son muchísimo mas difíciles del que claro se tiene planeado que realicen.
Si sientes que no puedes mas recomiendo dejarlo y seguir otro al final se les entrega un resumen con la resolución de los varios buenos y malos caminos que hay.

Saludos

Publicado por: Oca el 30/01/2012 18:54

Hola,
¿alguién podría verificar que funciona correctamente?

Llego a una zona donde en teoría puedo enviar una nota, supongo k a eso se refieren cone l deface, ¿no? Pero no me deja enviar ninguna nota jeje, me sale un 404 muy apetecible :P

Publicado por: g30rg3_x el 31/01/2012 03:00

Buenas,

El reto funciona perfectamente...
Desgraciadamente caíste en una de las trampas diseñadas para distraer a los participantes menos experimentados (hablando en lenguaje técnico... un http://es.wikipedia.org/wiki/Honeypot).
Así que abre bien los ojos e identifica bien el sistema que maneja esta detrás del sitio, ya que hay mas trampas por ahí, diseñadas para hacerte perder el tiempo.

Saludos

Publicado por: g30rg3_x el 07/02/2012 00:16

Buenas,

Partes de este reto se encontraban offline, ya hemos corregido esta situación así que disculpen las molestias...

Saludos

Publicado por: YanPozka el 18/11/2012 21:47

Me encontré un supuesto error PHP, pero sospeché enseguida por al cantidad de ratoneras que tiene el sitio, y en el código fuente de la página vi un comentario diciendo que 'estaba dedicado a un gran Tipo y a una vulnerabilidad'
es este mensaje otra ratonera y/o mecanismo de hacer perder el tiempo ??
saludos.

Publicado por: g30rg3_x el 18/11/2012 23:23

Buenas,

CITA(g30rg3_x @ 26/02/2007 21:08) *
Cabe aclarar que el camino estara lleno de espinas asi que no se desanimen si se raspan mucho (o poco)..
...
Saludos y Mucha Suerte!


Saludos