Bienvenido al topico oficial del reto numero 134
En un primer vistazo ya le he visto dos vulnerabilidades a la página. por cierto gran l33t34, jajaja.
Lol... george lee el mp, quede trabado en esa parte, no pido ayuda sino saber si me falta mucho.
Saludos
Tomado del topico oficial...
Y esto va para todos no solo para pastelito XD
antes ke nada, y primero y principal,
es posible defacearla? es decir, tiene bugs como para poder defacearla?
o pretenden ke defaceemos algo ke no saben si es defaceable?
Hay como me recuerdas a mi hace unos años al decir esa frase... (Ya voy quedando viejo...)
Otra vez lean las instrucciones y el topico oficial...
el defaced sería aceptado por zone-h como tal.
excepto por el hecho que es un host gratuito.
el objetivo es claro, se sabe cual es el alcance de atacar un host gratuito.
pd:moví las consultas a este post
Paisterist, sos GRROOOSSSSOOOOOOOOOOOOOOOOO
:okz:
Bueno increiblemente mucha gente me ha estado preguntando una y otra vez lo mismo ya sea via IRC, MSN, Correo o PM y veo que todos tienen el mismo problema, que es que no usan su pensamiento analitico (o su caracter analitico) y solo usan su logica...
Asi que hare unas aclaraciones...
El objetivo de este reto es que defacees/hackees la web de DrAk, al empezar al reto se te dice que no te vayas con el servidor por que como DrAk se escuda en servidores gratuitos buscarle bugs al servidor es muy dificil (pero no imposible).
Mucha gente se va con cosas absurdas y se les olvida el objetivo del reto, asi que piensen muy bien el objetivo y tratan de hacerse su propia solucion o un al menos un plan para realizar el objetivo.
Este es un reto "realista" pero "soñado", se que los confunde pero lo que quiero decirles es que todo lo que tienen que hacer en el reto es algo real, es algo que se puede aplicar en la realidad (para defacear una web), pero es soñado o imaginado osea no se les olvide que es un reto pre-fabricado y por consecuente heredara algunas de sus propiedades (como trampas, malos caminos y poca ayuda).
Que quiero hacer decir con esos dos parrafos... simplemente trato de decirles que este no es un reto como a los que estan acostumbrados y por eso se les hace mas dificil, aqui no hay una orden que te diga "dame el color de tal cosa" o "piensa en binario" o "logueate como admin" o "sacame este serial" o "haz fuerza bruta a tal algoritmo" o "desencripta este algoritmo", etc...
NO!, no es un reto a los que te tienen acostumbrado aqui tendras que pensar, investigar, leer, aprender, probar y fallar hasta que logres el objetivo, como les digo a todos aqui no te pido que reconstruyas un fichero o metas algo en menos de 3 segundos..., no!, este es un reto realista...
No son fumadas lo que tendras que hacer...
No tendras que golpearte con la pared...
No tendras que contactarme que hacerlo de una manera especial...
Como dije hay muchas caminos que te puedes encontrar antes de lleguar a la meta, todo es cuestion de elegir uno en base a tu pensamiento analitco y no al voy hacerlo...
Detente piensa, arma, construye, falla pero al menos detente y piensa...
La verdad fijense hasta pastelito(paisterist) tuvo que aprender algo al igual que el robalo(pescaodeth que fue el beta tester), tuvieron que aprender al menos algo...
No se desanimen si les toma mucho tiempo hacer este reto, como dije es cuestion de quien tiene mas experiencia, ya que pueden pasarse mirando la solucion todo el dia y no verla por que no se concentran, fijense bien!
Saludos
pasodo muy divertido jorge xD
PD... me gano pepepistola chale xD todo pro nov er dodne estaba el apssword xD
salduso
debido al incontenible numero de respuestas falsas positivas al reto..
Va a quedar de baja hasta nuevo aviso y junta pendiente con el staff de yashira...
Sentimos la molestia..
Saludos
croe ke eso no es justo hay varios ke tienen dias dandole al reto como pa ke lo kiten
se habia cambiado el reto a un nuevo servidor debido a que orgfree nos cerro por contenidos "hacker"....
Pero el nuevo servidor provoca falsos positivos haciendo que el reto sea mas facil de lo que era, no creo que sea eso injusto, ya si alguien que lo paso bien y venga otro que lo paso diferente y mas facil debido a un error del servidor, no consideras injusto para el que si se esforzo???
Saludos
PD: Le damos gracias a nitric por descubrir el error..
PD2: Aun no contacto a nadie del staff de yashira por consecuente tardara mas la cosa, si alguien ve al pescado o a alex que le avisen que lo busco para que regrese el reto mas rapido...
jejejeje bien mañana hablaré con g30rg3_x para subirlo al hosting de yashira.
pq ahora me voy de chelas
Vengaaaaa ponerlo ya!!!! jejeje que ya despues de los analisis que hice yo creo que lo pasare de la forma que pide g30rg3_x ya que es un metodo no tan conocido como RFI y otros y ademas me toco aprender cosas nuevas y ver varias formas de atacarlo, ya veremos si estoy en lo cierto o no, saludoss ah y otra cosa de los que pasaron despues d paisterist que no se si pasaron como el pedia, les aconsejo que busquen aunque lo hayan pasado el reto ya que seguro aprenderan algo nuevo ;)
el reto se cerro a causa de falta de servidor y un problema que tenia el reto con php4...
la solucion aunque no era la que se esperaba es valida para tanto nitric, pepepistola y elvispresley...
No es como todos piensan por caprichos, es solo que orgfree nos mando al carajo, lycos.es no es compatible 100% con el reto, iespana no le gustaba el pez, mi@ es muy lento, awardspace se queja del nombre de los archivos, etc...
Siguo buscando un servidor gratuito que cumpla con los estatutos o sin pues ponerlo en yashira pero la idea era hacerlo un poco tirado a la realidad...
Saludos
probaste en 110mb george?
pufff pos haber entocnes al final donde se puede y tal..ah y otra cosa 110mb...creo que es facilmente hackeable por el servidor y muchos lo intentaran asi...o skyline no te acuerdas que recien puesta l web nuestra y el server lo hackearon entero...xD
yo tambien tengo un host por ahi no mas di si kieres jorge
Reto devuelta...
Despues de ir rondando entre muchos host por fin logramos hallar con otro bueno como orgfree...
Nueva web para el reto:
http://yashira.org/
Se ha cambiado un poco el reto para tratar de evitar respuestas/soluciones no esperadas y aparte para acomodarlo en el nuevo hosting, para los usuarios que lo hallan pasado de manera no-esperada pero legalmente valida se les alienta a que vuelvan hacer el reto para que entienden como se debio pasar...
Saludos
Bueno mire el reto de nuevo, y veo que han cambiado cosas ejeje pero bueno ya solo me dejaste un camino seguro asi que ese es el que seguire, ya no barajo tantas posibilidades como antes jeje lo malo que antes tenia algun metodo posible..ademas vi que arreglaste lo del pag para que no saliera que el mensaje fue escrito en 1969 xDDD, bueno voy a pnesarlo y a ver como lo ataco, saludos
que bien, ya está listo el reto nuevamente .
se le han quitado los puntos a Nitric pq el reto no se encontraba en el host que estaba anunciado en el reto, la idea es que todos tengan condiciones justas para todos los usuarios. en el caso del hosting usado "a modo de test por g30rg3_x" no contaba con las condiciones para resolver el reto como fué planteado.
u otros métodos como lo hicieron pepe y elvis.
Nitric entenderá mejor a que nos referimos. saludos
ahora este es el otro host válido.
PD: Nitric en caso de dudas con la desición, resolverlo por mp ;) gracias.
de Cualquier forma queda reservada la fecha en que ingresaste la respuesta (con el user HackFalse Temporalmente) por si es necesario revertir la desición.
pue ske bien ke ya ke ya este online el reto xD
voya ver si lo paso xD
saludos
A peticion de varios usuarios que llevan haciendo el reto, se movio este hacia un servidor "mas compatible"...
Tambien para los que se quejan si ha cambiado el reto, es no no ha cambiado el reto ahora con el nuevo host no se cambio nada es el mismo que desde el principio...
Saludos
Bueno ya paso un poco mas del tiempo reglamentario, asi que dare la primera pista...
"Miren el archivo ---------.txt"
Para los que se pregunten para que sirve ese archivo...
El archivo "---------.txt" es lo primero que leen los web-crawlers para identificar las reglas para el website en especial, digamos especifica que no deben indexar en los buscadores los robots...
Sin embargo este archivo es un punto de seguridad bajo, ya que como este archivo es accesible a todo el mundo, un hacker mal intencionado puede usar la informacion para saber que directorios son "especiales" y tratar de buscar entrada por ahi...
Para los que andaban perdidos esa pista es un sendero mas...
Saludos
XDDDDD yo no hubiera dado la pista.
es casi muy obvia.
al menos ubieras dicho, miren el archivo ---------
con eso todo se hace mas simple
g30rg3_x ando viendo de nuevo el reto, ya revise un documento mio donde puse todo lo que tenia y recorde, alguna pistilla?? ya estaras viendo en el server lo que ando probando..es que ahora no se me ocurre otra posible solucion que eso que intento, asi para no dar muchas pistas a los demas xD
no te entendi nada, parece que estas http://buscon.rae.es/draeI/SrvltGUIBusUsual?LEMA=cantinflear.
Desgraciadamente en ese hosting no puedo ver los logs de acceso o de errores y no quiero implementar un sistema de logs atravez de php por que no es necesario asi que la proxima ves rata de ser mas claro o cotactame por PM.
No pienso dar mas pistas por que obvio ya la pasaron 6 personas y si ya lo pasaron 6 significa que se puede o no?.
Saludos
El reto esta devuelta online...
sorry por no haberlo hecho antes pero estaba ocupado con cuestiones personales.
Ahora el reto esta en Yashira y ahi se quedara.
Saludos
Sé que los archivos tienen un formato de compresión, creo saber como se llaman los archivos que tienen dentro, he intentado con strings, hexdump, file, etcs. y ninguno puede determinar el formato del archivo. Es un falso positivo? Algo?
Como dije este reto tiene mas de 1 camino, sin embargo algunos son muchísimo mas difíciles del que claro se tiene planeado que realicen.
Si sientes que no puedes mas recomiendo dejarlo y seguir otro al final se les entrega un resumen con la resolución de los varios buenos y malos caminos que hay.
Saludos
Hola,
¿alguién podría verificar que funciona correctamente?
Llego a una zona donde en teoría puedo enviar una nota, supongo k a eso se refieren cone l deface, ¿no? Pero no me deja enviar ninguna nota jeje, me sale un 404 muy apetecible :P
Buenas,
El reto funciona perfectamente...
Desgraciadamente caíste en una de las trampas diseñadas para distraer a los participantes menos experimentados (hablando en lenguaje técnico... un http://es.wikipedia.org/wiki/Honeypot).
Así que abre bien los ojos e identifica bien el sistema que maneja esta detrás del sitio, ya que hay mas trampas por ahí, diseñadas para hacerte perder el tiempo.
Saludos
Buenas,
Partes de este reto se encontraban offline, ya hemos corregido esta situación así que disculpen las molestias...
Saludos
Me encontré un supuesto error PHP, pero sospeché enseguida por al cantidad de ratoneras que tiene el sitio, y en el código fuente de la página vi un comentario diciendo que 'estaba dedicado a un gran Tipo y a una vulnerabilidad'
es este mensaje otra ratonera y/o mecanismo de hacer perder el tiempo ??
saludos.