pyth0n3 Posted December 18, 2011 Report Posted December 18, 2011 (edited) Overview:Sql Injection <> XSS <> Reverse Shell <> Remote System Control <> Web based attack <> Host based attack System Information:Server: Debian 6Webserver:ApacheDatabase: Guess what?PHP: 5.3.3-7Obiective:Introduceti un alert XSS cu numele vostruDeterminati tipul de database Extrageti user-ul si password-ul cu care vine administrat database-ul Urcati un shell Obtine access la sistem folosind ca metoda SQL InjectionDemonstrati un reverse shell cu access la sistemTarget:Game OverThanks Goes to tdxev for support Thanks Goes to flubber for testing Premiu final:Usb Fingerprint readerFeatures:* USB Fingerprint reader* Up to 10 sets fingerprint enrollment* Multi-Factor Authentication* Advanced Password Management* AIAC: Advanced image auto-calibration technology* Secure and Powerful Computer ProtectionFinal Notes:Acest challenge alaturi de Old School Challenge ar fi trebui sa faca parte din proiectul Chess-Club.org care a fost abandonat.Nu stiu daca vor mai fi alte challenge-uri pe viitor deoarece timpul si resursele nu vor permite asa ceva.Multumesc fiecaruia care a partecipat si a ajutat cu ceva.Toate acestea au fost facute in mod gratuit (No profit) pentru userii forumului RSTcenter si cei care trec pe aici si sunt pasionati de securitate informatica. Nu a fost creat nici un video final de ShowOFF dar cei care vor partecipa la challenge vor avea in final o demonstratie practica cu un reverse shell fara a scrie nici macar o linie de cod in PHP folosind alte resurse care pot fi gasite in sistem de default.Doar cei care sunt intradevar interesati de cum functioneaza lucrurile vor avea raspusuri , nu vor avea raspunsuri cei care vor sa scoata un leu pe pielea altora , nu vor avea raspusuri cei care fac hacking doar pentru ca acest cuvat suna bine cand vine pronuntat.Daca aveti intrebari sunteti liberi sa le facetiVa salut ! Edited December 19, 2011 by pyth0n3 Quote
Matei Posted December 18, 2011 Report Posted December 18, 2011 Sunt curios de SQL Injection cum se face in cazu asta. Am citit niste chestii dar abia astept sa vad niste rezolvari pe aici Quote
pyth0n3 Posted December 19, 2011 Author Report Posted December 19, 2011 (edited) Sunt curios de SQL Injection cum se face in cazu asta. Am citit niste chestii dar abia astept sa vad niste rezolvari pe aici Pai in cazul asta te poti folosi de sintaxele standard de injectie pentru db-ul respectiv nimic extra .Hint:Batch QueriesMultiple Queries Edited December 19, 2011 by pyth0n3 Quote
totti93 Posted December 19, 2011 Report Posted December 19, 2011 http://n0net.dyndns.org/totti93.phpSa ma distrez?Rezolv si cerintele date de tine;) Quote
pyth0n3 Posted December 19, 2011 Author Report Posted December 19, 2011 http://n0net.dyndns.org/totti93.phpSa ma distrez?Rezolv si cerintele date de tine;)Tocmai ai luat acces la o bomba , ai grija ce faci cu ea sa nu explodeze Quote
pyth0n3 Posted December 19, 2011 Author Report Posted December 19, 2011 First-come, first-served (FCFS) Premiul pleaca la Totti93 care a rezolvat toate obiectivele Quote
Paul4games Posted December 19, 2011 Report Posted December 19, 2011 Multumesc python3 pentru challenge si bravo lui totty93 pentru ca a castigat.Avand in vedere ca eu nu prea sunt cu webul as fi interesat daca s-ar posta un video tutorial sau ceva de genul. Quote
Matei Posted December 19, 2011 Report Posted December 19, 2011 http://n0net.dyndns.org/totti93.phpSa ma distrez?Rezolv si cerintele date de tine;)Acum, ne zici si noua cum ai facut ? Sunt tare curios Quote
kasmir Posted January 23, 2012 Report Posted January 23, 2012 scz ca postez cam tarziu.. nu prea imi place sa deszgrop "mortii" dar daca tot am gasit , raspunsul la intrebare voastra...si domn' toti va ignora Quote