Es algun bug del foro xa leer mmensajes privados o komo, xk si el hash no se puede desencriptar.... km se va a poder entrar en la cuenta...
Prueba de FalseHack y conseguir 1 mensaje privado
si se puede y no es necesario desencriptar el pass, investiga como..... pues cuando te logeas¿haz visto un cuadrito que dice recordar contraseña? en que consiste esa función o mejor dicho que es lo que hace? :lol:
ya me fije en eso, comprueba el user y el email, y envia la passw a ese email, xo si no es el email kn el k te registraste no lo envia, me fijare mas aver
mmm, e mirado el codigo y no ay nada en especial, e intentado entrar en leer los mensajes kn el hash de sid xo tmpk... voy x wen camino?
teniendo el sid y el uid puedes hacer lo que te plazca, solo tienes que jugar un poco con lo que te digeron antes... lo de recordar la contraseña para que entre en la proxima sesion xD piensa como funciona este mecanismo, estudialo un poco, y ya tá! no hay mas xDD
SOlo e conseguido el email de hackfalse.
Tengo ke entrar en su cuenta de correo xa ver el password?
mira tienes ke entrar logeado con ese user HackFalse y leeer sus mp que tiene en la bandeja de entrada, pero no creo que te sirva tener el mail.....nose puede decir mas ya que la otra parte es del reto y consiste en que averigues eso por tu parte lo único que te puedo decir es ke sigas pensando en como funciona lo de recordar contraseña y eso te vá a dar la respuesta una vez que entiendas eso lo demas es cosa de probar
Para esta prueba necesito saber el ID del usuario o no hace falta para nada ?
eso lo tienes ke ver tú
alguna pista en como encontrar el sid que es lo unico que me falta?
lo tienes en tus narices y no lo vez :mrgreen: usa mas tu ingenio no es necesario rebusacarlo tanto, a veces las cosas estan frente a los ojos y no somos capaces de verlo :;):
solo piensa un poco y trata de visualizar todo
Eh retocado lo que ahi que retocar la galletita xD , sa que el user id , es facil solo ahi que usar un servicio que vosotros poneis eso no es nada del otro mundo , con conocer un poco el funcionamiento web sabes hacerlo , pero retoco la galleta con el user id y la clave encriptada , entro y no me entra :(
La idea es buena, pero así no te va a funcionar.
Lee algo de Sniffer para hacer eso, son mucho mas utiles.
ni siquiera conozco el reto pero por lo que hablan es de cookies falsear las cookies al iniciar sesion y poder entrar como admin y el sid es facilisimo de sacar we
solo ve a mp de algun mensaje we
Ya false la cookie y saque el id por supuesto. Pero no rulez , asique lo que voy a hacer es falsearla en tiempo real , con un sniffer y cambiando las cosas segun va cargando la web , o me autentifico como administrador de la web y miro el pm xDDDDDDD
si no te funkó es pq no tienes claro otras cosas te recomiendo a ke en algunas ocasiones analices lo que envias con el achilles, sirve bastante para saber que cosas se envían
Si tienes razon con lo del achilles, llevo casi todos los retos con eso XDDDD. Si sabiendo algo de programacion web y achilles es facil
Yo pude entrar, pero hay un monton de mensajes, dos de PescaoDeth, y ninguno dice la contraseña o algo sobre como pasar el reto...
architect
perdon, ya lo pase, era porque lo hacia con el telnet y ahi no aparece esa parte (porque será?). Saludos
si q hay dos de pescao, pero tiene q star el del pass, es uno de los dos mira bn!
yo lo resolvi...bastante facil.... ya que encontre algo que habia dicho pescaodeth en otro lugar y voilà...... mis primeros 5 puntos!!!! :D :D :D :D :D :D :D :D
Al fin lo resuelvo :D , no se cual era el problema pero al principio la web no reconocia la cookie , ahora me fui a loguear normalmente y me reconocio como HackFalse pero nada.....
Att:
Crack_X
a mi no me sale, y ya he hecho un reto parecido en otra pag, creo que lo hago todo bien, una preguta... ie o mozilla? lo he provado con los dos y nada, seguire buscando...
En ambos exploradores funciona, el intenet explorer modificas la cookie cierras todas las ventanas del explorador y luego entras y listo.
Si no te funciona el problema puede estar cuando editas la cookie te recomiendo el cookie editor que esta en la seccion de herramientas.
que va sigue sin funcionar, ya utilizo el cokie editor pero no sirve, no puede ser que haiga canviado la pasword??
_CAT no han cambiado el pass pk acabo de pasar la prueba ahora mismo
haz lo que te dijeron antes cierra el explorer modifica la cookie en mi caso yo lo he hecho con el iECookieView que va de lujo y entra sin problemas :)
Saludos:
Ya resolvi el reto, pero como conseguir el hash de cualkier usuario?.
Gracias de Antemano.
0o.TassadarX.o0
Hay varias formas, Sniffers, Troyanos, keylogger.
Bueno, no sé pq a mi no me sale....
Hago bien la modificacion de la cookie, cambi el hash y el ID y doy open website y sale la web normal.... sin logearme ni nada...
Lo mismo me pasa con el reto 4 (contraseña phpbb)... en qué podré estar fallando??
Nos vemos.
"quizás modificando la cookie sin cerra el explorador"<-- eso está mal
Ok..
Miraré de esa forma....
usa el internet xplorer i el cookies view, si lees mas arriba, veras que yo nose porque lo hacia bien y no salia...
y como edito la Cookie ?? :oops:
XDDDDD parte del Reto.
revisa la sección de descargas
jejeje.. Ok :;):
jeje pasé el reto :), weno nunca habia hecho uno de este tipo, y para ser el primer intento no está nada mal... weno, era bastante fácil, yo recomiendo el proxomitron, que sirve no solo para falsear la cookie si no que modificar cualquier ecabezado html :)
PD: De todas formas me gusta más como sniffer que como gestor de proxy jajaja mozilla y proxomitron recomendables 100% :P
sería divertido intentar cambiar la password... podrían hacer un código php que arroje el hash de la password dinámicamente... weno, = el problema sería que los usuarios podrían cambiarla por contraseñas fáciles de crackear :( pero ustedes podrían hacer un método que impida ponerle a HackFalse una contraseña de menos de 15 caracteres por ejemplo.... es una sujerencia
R00110
:? Ya logre entrar como HackFalse pero no veo ningun mp de PescaoDeth
att: dml8hp :(
debes ser ciego XDDDDDD, acabo de revisar el reto, y todo está bien.
saludos
:oops: oops me equivoque si estaba.
Hay que hacer lo mismo que en el reto 4?
:) No es lo mismo que en el reto 4, lee los post anteriores, debes falsear la cookie
Algun link de algun manual del achilles.. pues no encuentro nada en google..... :S:S:S:SS:S:S:S:S:S
por que no funciona que en el reto 4 del foro? he intentado cambiar la cookie con iecv y no me funciona
a la antiguita...
No se yo he probado con el iecookieview, con el achilles con todo y no me sale de ninguna de las formas. se el userid y se todo pero no sale en fin...
tal vez algun kbron kmbio el password aunq no lo se... (eso me paso a mi en un reto ya...)
q por muxo q lo intentaba no funcionaba :S (xo era crackeando con el cain un password)
de toas maneras komo dice quake... lo pudes hacer a la antigua. copy&paste xD
Pero si lo han cambiao de poco te servira no?
xo es q para cambiarlo supuestamente necesitan saber el password desencriptado... y segun pescaito son mas de 20 caracteres... asi a ojo... 3 vidas y media pa crackearlo xDD
como consigo el id?
aqui en el foro se puede encontrar facilmente,
/delete
va con eso da achilles?
no, solo con modificar cookies.
me referia a lo de la id, de donde lo saco?
desde este post ya vi tu id, sin hacer un solo click... Xp
/delete
Me estoy liando,
NWDOSS
Nivel 2
Registrado: 12 Nov 2005
Mensajes: 5
Nivel Remade : 19
Publicado: Lun Nov 14, 2005 20:46 Asunto:
--------------------------------------------------------------------------------
me referia a lo de la id, de donde lo saco?
Donde esta la id?, porque estoy volviendome ciego
jejejeje yo lo sigo viendo en este post ... :D
solo es saber como funciona el phpbb(gueno ni tanto)
/delete
RPM no repitas las cosas... :lol: :lol: :lol: ya le dijiste donde estaba si no lo ve.. ya no se puede hacer nada :: ::
Te aconsejo ke buskes algún tuto de como entrar a un foro xx falseando las cookies.. hay miles por ahí... y te explican paso a paso..
Suerte con eso... :;): :;):
yo probe con el iecv y no me la da, vi un video y no me da al ingresar a la web es como si no hubiera iniciado sesion :shock:
Gente, este reto para mi era 1 de los mas facil xq ya habia hecho varios parecidos... pero lo raro con este reto, que MI cookie, el passwd tiene un punto [.] en el medio que el passwd de HackFalse no lo tiene...
mi hash: XXX ea9.739 XXX Y LOS MAS RARO es que esta constantemente cambiando !!! les juro que no entiendo como se logea a hackyashira :S
derrepente..por aui..esta seguro..o cambia de server?¿? supongo...
YO INTENTO PILLAR alguna cookie..y nada...pero bueno ,,archilles lo intentare..!
y el punto en la hash como dice Nachitox que significa???
bueno, en el reto de slamdunk si pude falsear la cookie kon el iecv i todo me salio a la perfeccion, pero aki pues la hash ya me la dan i el id pss segun llo lla tmb me lo se si llo soi el 1080 ai nomas bi el de HackFalse, aora bien anbro el explorer me logue kon mi nick y mi pass i activo el cuadro de recordarme y me logue bien, xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx abro la pagina otra bes i segun esto deveria de entrar komo HackFalse??? pk si es asi no puedo, entra komo si no me ubiera logueado me vuelve a pedir ke me loguee algien sabe pk
Edited by VLAD ----> No se permite ser tan específico con los procedimientos ke usaste... recuerda ke no todos han pasado la prueba..
Mira.. hay una forma mas fácil de cambiar la información ke le llega al server.... como dirían por akí... no me chilles o algo así :D :D :D :D :D :D
Te recomiendo eso.. es lo mejor para estos casos..
suerte..
Prueba a modificar la cookie, y logo cerrar el programa y despues d cerrarlo abrir en el navegador la web k a mi me ha pasao eso a veces k lo he exo cn el cookie editor y hasta k no lo cerraba el programa no me iba y perdia tiempo xD venga suert
vlad... lla e chillado ;) pero aun asi kambiando el hash y tmb el id me termina logueando komo saiko :S
trancek... es precisamente lo ke ago modifico, cierro y abro navegador i es komo si no ubiera echo nada me buelbe a pedir ke me loguee la berdad no se ke tranza :S
de kasualidad no an kambiado la kontraseña??? pk me puse a chillar un rato i tampoko kon el IECV de ninguna de las dos maneras entro logueado i pss tal ves un malilla si la kambio o entonces lla no se ke es lo ke estoi aciendo mal :(
Edited by VLAD..... Procura no postear seguido...
no he probado este reto con el IPB , si alguien ya lo hizo con IPB que lo comente para saber que tb funciona
pues si supiera ke es el IPB lo probaria i te diria pero no se ke es :S
Tengo exactamente el mismo problema que saiko... pruebo con el IEview... y con el achilles... modifico los datos a modificar... y trato de mil maneras y no entraaaaaaaaaaaaa me recibe como invitado
IPB=invision power board
y??? alguien lo probo?? quiero saber si funciona o no.. para ver si estoy haciendo algo mal yo o si estoy probando como un pelmazo una y otra vez.
ya lo probé
Saludos PescaoDeth
Hola soy marcosadp... logre entrar pero si querer jajaja
Hoy volvi a una maquina dd habia cambiado la cookie hace unos dias atras y resulta q cuando abro la pagina me loguea como HackFalse.
Quiero entender pq paso eso pq de otra forma no me vale haber pasado el reto.
Chau.
XDDDD tuviste suerte.
de todas formas no se puede explicar pq darían la respuesta
bueno no se pk pero bolbi a leer este post i vi k pescaodeth dice ke funcionaba bien lo bolbi a intentar i aora si me a logueado no se pk aora si me logueo i antes no, pero si se kuales son los procedimientos i si los entiendo
prueba superada... Gracias :)
SaiKo
lo que pasa que tuve que hacer unas modificaciones para que funcionara = que en el phpbb.
de otra forma nunca iva a funcionar, lo que conocen el IPB entenderán cuales son.
funciona :okz:
_cirrus_
Uff!! Si que me hizo sudar la gota gorda, pero al final si se pudo.
Para los que quieren saber cual es el ID de HackFalse les doy esta recomendacion:
Posteen algo, fijense bien en cual es su ID, que con el IECookiesView sale su ID, despues comparen todo lo que vean en el blog y busken su ID.
Espero que no los haya confundido mas.
:yahoo: lo pase
jeje... otro reto pasado :HappyDance2:
Muy buen reto, pero me toco resolverlo con el ie ya que no se donde son guardadas las cookies con el mozilla
Saludos :Rock: :Rock: :Rock:
otro reto pasado,jeje, este ha sido un poco más dificil igualmente por el firefox porque aun teniendo la extension de cookie editor, no me iba bien
Logre hacerlo con el iecoockieview y funciona a la perfeccion, me loguie como HackerFalse, vi la respuesta pero no me la reconoce para validar el reto...pk?
---------------------------------
:good: Solo una mayuscula :okz: reto pasado!
Probado, probando.. Un saludo para todo el foro. :)
jaja...no le cambies el país.
Estuvo facil, aunque me costó un poco dominar la cookie.. con IECookiesView es bastante más fácil, aunq dsps tb probé con El CookieEditor y nah..
Atte: 0m3gA_x
pd. ya hacía tiempo q no me paseaba por acá
No es necesario usar programas externos, con javascript se pueden cambiar las cookies:
java script:document.cookie='nombre=valor';
que estoy haciendo mal? :eusa_think:
tengo el id y el hash de hackfalse, modifico yashirapass_hash y yashiramember_id con IECoo,
con plugin de FF, uso tamper de FF, achilles, etc y no pasa nada.
tiene algo que ver que mi yashirapass_hash cambia cada vez que me logeo.
te lo juro que si pasa algo lo que pasa es que lo estas asociando mal...tienes que saber que hacer o en donde lo cambiaste..analisa sòlo te falta lo màs simple...suerte
phicar
jeje lo pase por pura suerte solo hay ke ver las cookies bueno no digo mas ke si no les digo la respuesta xDDDD
Me complique un poco y lo logre pasar..
pero nunca revise ningun mp.. :S
Hice algo mal? o los demas hicieron cosas innecesarias?
mp??? de quien ??? jijijij si cuando logras accesar ahi te dan la reps del reto^^
se modificó el reto hace tiempo XDDDD.
ya no existen esos mps.
aaahh..
con razon..
entonces hagamos cuenta que no dije nada.. xD
Saludos..
ya tngo casi todo, se ke me falta algo con el ipb_stronghold xo ya no se ke mas hacer.
alguien me puede dar alguna pista?
bueno pasaron 9 dias y sigo en lo mismo nadie me puede dar una pista?
al menos diganme ke no pq nadie me respondio =S
Buenas,
Realmente nadie te ha querido responder por que este reto es de los pocos que puedes encontrar una gran cantidad de comentarios, pistas y preguntas dentro de su topico (este mismo).
La idea del reto es muy sencilla y si necesitas una pista sobre que tema buscar entonces te recominedo que busques sobre "Cookie Poisoning" o bien en español "Envenenamiento de Cookies"; sobre este tema existe mucho material en internet tanto en español como en ingles asi que es solo cuestion de buscar, estudiar y practicar.
Saludos
dale gracias! voy a ver ke encuentro y sigo leyendo
Este es uno de los retos más interesantes (según mi punto de vista)
El post que más me ayudó fue de pescaodeth (si, el segundo post de este tema)
Cuando te logueas en cualquier sitio y marcas la opción "Recordar", que es lo que sucede? O cuando pinchas en logout o desconectar en X sitio, que mensaje te aparece? (habré dicho demasiado?)
ahora lee el post de g30rg3_x y piensa que tiene que ver con lo que te estoy diciendo y como lo puedes hacer..
Saludos
el reto es muy simple....seria mas duro si solo te diera el *.cap de un sniffer....
Hola, pone que habiais quitado los mensajes privados del usuario HackFalse.
En la prueba solo pone que hay que logearse como tal usuario.
Yo ya me logue como HackFalse pero no hay nada ni hace nada etc...
Y la contraseña se deja cambiar... probe a cambiarla y tal... no se si estará bien. He vuelto a dejar la contraseña que tenía.
La prueba es que me he agregado como amigo en la cuenta de HackFalse...
A si que si me podeis indicar si así esta bien o es que no he realizado la prueba correctamente o no se...
Saludos.
Gracias por responder, ya que como solo ponia lograr logarse... me estaba volviendo loco mirando el usuario de arriba a abajo.
Lo volvere a hacer.
Saludos.
Reto Actualizado...
Debido a que muchos pero muchos usuarios siguen un camino similar al que Mad_yi uso, aunque este mismo ya se ha dicho varias veces que ese no es el camino correcto, me he tomado la molestia de cambiar COMPLETAMENTE el reto, así que todas las personas que no habían pasado el reto les pido que vuelvan a retomarlo, ya que se ha cambiado toda la mecánica aunque claro la idea sigue ahi.
Para los que ya lo hallan pasado no tiene mucha diferencia de como lo hicieron solamente que ahora doy menos (o creo que mas) ayuda aunque de todos modos si quieren pueden volver a mirarlo para que vean que cambio de la versión anterior y si gustan le den una nueva calificación a los cambios.
Saludos
Buenas,
Sabiendo que has modificado el reto, estoy en:
"Obteniendo Información
Por motivos de seguridad a el Administrador no se le permite identificarse al sistema desde la web. "
No veo por donde tirar!
Alguna ayuda?
Thanks!
Buenas,
Estudia sobre envenenamiento de Cookies o bien sobre Predicción de Sesiones...
No para nada les di la cuenta de invitado que si se puede identificar al sistema.
+ Info
https://www.owasp.org/index.php/Session_Prediction
https://www.owasp.org/index.php/Session_hijacking_attack
Saludos
Buenas,
Cosas que debes preguntare a ti mismo....
1) ¿Como sabe la aplicación/script quien eres?
2) ¿Que pasa cuando invitado se identifica?
4) Si el admin no puede identificarse... ¿Como puede entonces un admin identificarse satisfactoriamente?
Saludos
Buf porfin.
No iba tan mal encaminado.
Gracias dude ;)