» »

Hack-It!

Hack-It!

«
1
2

Tic ::

http://www.druga.org/~mitar/HackIt/index.html

Jst sem se kar blizu, bi reku. Mal me se kukiji zajebavajo :) Upam, da jutri koncam. :)
persona civitas ;>

R33D3M33R ::

Hihi, jaz sem pa zadevo že pwn4l :D
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

Roadkill ::

Če bi že hotel hacknit tole, bi raje Mitarju pir častil, da bi mi povedal geslo, ker drugače nimam ne časa ne volje. :)
Ü

Microsoft ::

.., ne znanja.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Roadkill ::

Znanje se pridobi z voljo in časom. ;)

edit: sem se premislil, bom raje ostal na nivoju...
Ü

Zgodovina sprememb…

  • spremenil: Roadkill ()

BigWhale ::

Pa jaz ne bom. ;>

MS, kako pa ves, da nima znanja na voljo? Si jasnovidec? Najbrz nisi, ce se enih bebavih stored procedur na bazi ne znas skupaj spravit...

Sergio ::

Sej ta stvar nima veze s kukiji. Dejansko moras pogruntat geslo.
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

nokia6310 ::

Dobri ste da vam uspe pogruntat geslo, pa še po možnosti na pamet.
Če bi blo pri vseh tako pol bi več ljudi loto dobil.
Za kero stvar pa se gre?
Kolega ma ful srečo pri heckanju je že petkrat vdrl v telefonski sistem pa jim spreminjal gesla pa pozdravna sporočila tako da verjamem, da mate nekateri res srečo z uganjevanjem gesel.
No sej na messingerju je tut dost accountov sheckal baje da je geslo uganil tako mi je pozneje povedal.

R33D3M33R ::

NO, jaz nisem nič uganjeval tak za info. Po mojem je uganiti preprosto nemogoče. Treba je uporabiti logiko :D
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

Blum ::

Logiko? kako boš pa prazno okence povezal z logiko?

js bi source prekopiral, dodal še eno vrsto tabele ter pripisal svoje "podatke", nekako dobil geslo ter user od ftpja in addal na net :)

Zgodovina sprememb…

  • spremenil: Blum ()

Nejc Pintar ::

Dalo bi se tudi z nekaj tabelami:)
Lahko je biti prvi, če si edini!

Sergio ::

Sej mas formulo za izracun magica iz vpisanega gesla. S tem se je treba mal poigrat pa pogledat ce je easily reversible.
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

overlord_tm ::

ajej, sem se jebal s to stvarjo, pa sem obupal.

hotel sem narediti fukncijo v javascriptu, ki bi bila inverzna tisti, ki preverja pass :D . Samo jaz pa JS :\ . Maybe some day, but not today

t909 ::

Geslo ima 5 ali pa 25 znakov. Od tukaj naprej pa se moras igrat z brute-force-om IMO. Iskat stringe kot: ' a href ', ' "> ' in podobno.

Zgodovina sprememb…

  • spremenil: t909 ()

nokia6310 ::

Ja zdej vem zakaj ma mobitel zaščito pri polnenju računa.
Petkrat lahko vtipkaš cifro, pa še tam je nemoreš uganit.

krneki0001 ::

Kje pa še stored procedure uporabljate? Men so full uporabne zadevce to. Jih mam kr ene 30 svojih narejenih na DB2 bazi.

kopernik ::

Če je le možno, nikjer.

Sergio ::

Zakaj pa ne?
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

kopernik ::

Na kratko, tako mnenje imam zaradi slabih izkušenj s stored procedurami:-)

Predvsem so problemi zaradi drobljenja poslovne logike (oz. prenašanja iz aplikacije na bazo). To za sabo povleče nekaj slabosti (in seveda prinese nekaj prednosti, ki pa me niti podrazno ne prepričajo), jaz osebno se jih še posebej izogibam po eni izjemno grenki izkušnji pri migraciji iz ene baze na drugo, kjer smo 90% časa porabili ravno zaradi raznih triggerjev in stored procedur.

V glavnem, jaz prisegam na ANSI SQL, nobene proprietary navlake. Seveda se je pri tem potrebno izogibati SQL stavkom v kodi in uporabljati kako O/R mapping orodje, kjer z minimalnimi spremembami preneseš aplikacijo na poljubno bazo.

MihaFirst ::

In vi men težite, ker preveč naglas govorim o hekanju?????
www.gamma.si

Nejc Pintar ::

to je legalno hekanje!:\
Lahko je biti prvi, če si edini!

Pyr0Beast ::

Krekanje ?
R33d- In, kakšna je tvoja logika
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Roadkill ::

Um... prosim, da ne govorite preveč o tem, kako bi se tole heknilo, ker imam v planu, da dam zadevi še enkrat priložnost... po izpitih.

Hvala. :)
Ü

Damjan Jagar ::

Ali pa, če se govori in ti ne bereš, a? Bo lažje.
http://jagar.si

R33D3M33R ::

Res ne bi preveč razpravljal o rešitvi, ker bi bilo res nepravično do tistih, ki še to nameravajo rešiti in tistih ki so zadevo že rešili, niti ne bi bilo pravično do avtorja te "uganke" saj se je zelo potrudil. Tako da če bo komu uspelo, naj poskuša zadevo zadržati zase, saj bo v nasprotnem pomenu Hack-It izgubil svojo unikatnost in težavnost, kdo se bo potem sploh še ukvarjal z njim?

Upam da ne zdaj izpadem kot neki egoist :8)
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

Roadkill ::

Ni problema.

3, 4, zdaj... lahko začnete pisati rešitve in dovolite vsem, da se napišejo na stran. :)
Ü

krneki0001 ::

Na kratko, tako mnenje imam zaradi slabih izkušenj s stored procedurami:-)

Predvsem so problemi zaradi drobljenja poslovne logike (oz. prenašanja iz aplikacije na bazo). To za sabo povleče nekaj slabosti (in seveda prinese nekaj prednosti, ki pa me niti podrazno ne prepričajo), jaz osebno se jih še posebej izogibam po eni izjemno grenki izkušnji pri migraciji iz ene baze na drugo, kjer smo 90% časa porabili ravno zaradi raznih triggerjev in stored procedur.

V glavnem, jaz prisegam na ANSI SQL, nobene proprietary navlake. Seveda se je pri tem potrebno izogibati SQL stavkom v kodi in uporabljati kako O/R mapping orodje, kjer z minimalnimi spremembami preneseš aplikacijo na poljubno bazo.


No moje izkušnje s stored procedurami so pa odlične.

Imamo več baz na različnih nivojih in sistemih. Z eno stored proceduro lahko pošiljamo iz katerekoli baze v katerokoli drugo bazo podatke, za vmesnike pa uporabljamo od CICS-a, preko MQ-ja, ali pa celo datoteke v COBOL-u in zadeva dela odlično - sam imam ene 40 svojih procedur na vzdrževanju. Nobena ne dela problemov in zelo simpl so, tako za klicat kot za narest.

kopernik ::

Kaj pa če bi moral vse prenesti iz DB2 na Oracle ali Postgres ?

Quikee ::

Hehe.. sem resil zadevo. =) Qlska "uganka".

krneki0001 ::

Kaj pa če bi moral vse prenesti iz DB2 na Oracle ali Postgres ?


Dela mi prenos iz hosta na NT sistem, ter iz aix-a na nt in host , sedaj pa še iz hosta na J-base(nekakšen predhodnik oracla) brez problemov.

zerox ::

Geslo ima 5 ali pa 25 znakov. Od tukaj naprej pa se moras igrat z brute-force-om IMO. Iskat stringe kot: ' a href ', ' "> ' in podobno.

Glede na to, da je input polje omejeno na 20 znakov, verjetno ni 25 znakov. Btw zakaj 5 ali 25?

Glede na to, da je uporabljen xor za šifriranje, bi bila funkcija easy reversible, če.... :) če nebi blo 2x zaporedoma uporabljeno unescape...torej je lahko string, ki ga dobiš preden se izvede 2. unescape mešanica končnega plaintexta ter encodanih črk... kao doc%75%6Dent, document, %64%6F%63%75%6D%65%6E%74 (vse vrne document, če izvedemo unescape)... pri čemer verjetno zadnja možnost odpade ...vsaj kolikor sem testiral:), pa še dolžina EncodeTextVar ni deljiva s 3.

Plaintext pa bi lahko bil javascript i guess oz blizu začetka bi lahko bilo tudi "-->" ...razen, če je rešitev nevidna:)

Any ideas?:)

llc ::

hmm, namig: Ce predpostavimo, da se v cistopisu nahaja niz 'mitar@druga.org', kaj dobimo, ce XOR-amo sifriran tekst (na pravem mestu seveda) s tem nizom?

Microsoft ::

Ko boste tole masovno pohekali, bi bilo zanimivo, ce bi kdo spisal kak manjsi spis s primeri kode, da bi folk vedel, zakaj se je sploh slo ter kako ste odkrivali geslo.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

zerox ::

Del gesla oz sekvenco(odvisno od dolžine).. sem naredil podobno z document...pa nism naletel na kaj "lepega" mja.. metoda je bila prava, nisem pa imel pravega stringa za primerjanje:) sedaj je končno šlo :D

p.s. tisto z manj kot 20 znaki jemljem nazaj, sem slabo pogledal html source:8)

Zgodovina sprememb…

  • spremenil: zerox ()

R33D3M33R ::

Eh, a ni brezveze neko "masovno hekanje"? V čem je pol sploh še fora? Ne vem no. Eni smo se krvavo namučili da smo razvozlali geslo. Zakaj še ne bi drugim dali možnost, da se iz tega kaj naučijo?. No, vsaj jaz sem se nekaj naučil iz tega in sicer PHP in Javascript iz ničle :)).

Ponosen sem tudi na to da sem imel pravi "hekerski pristop":
1. najdi slabosti v kodi
2. poskusi kodo reverse engeneerat
3. spiši svojo skripto za razreševanje
4. uživaj ob sadovih svojega dela
:))

Saj vseeno, čestital bi tistim, ki so zadevo rešili popolnoma sami. Vsaka čast!
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

alum ::

@R33D3M33R:

Ti si zadevo rešil popolnoma sam?

R33D3M33R ::

@wakum: Ne morem reči da sem jo

Da sem ugotovil kaj dela skripta sem googlal - in to precej, ker o JavaScript nisem imel kaj prida pojma. Nato so se mi porajale ideje, da bi to skripto nekako obrnil. Odločil sem se za PHP - bogve zakaj :D in tu moram priznati da sem kolega spraševal kako lahko recimo v PHPju naredim skripto, ki naredi to pa to in tako naprej. Torej, ne bom se hvalil, da sem jo rešil sam, saj sem se moral najprej naučiti PHPja in čistih osnov JavaScript-a. ideje so pač rasle na mojem zeljniku in bilo jih je nemalo :)

Na koncu se je izkazalo, da so bile te skripte večinoma zanič - brute force nima smisla :D, in sem nato na sprehodu prišel na idejo kako to elegantneje rešiti - po par dneh preučevanja skripto že dodobra spoznaš. Tako sem nato v manj kot uri rešil problem s čisto novim pristopom in si razbijal bučo kak bedak sem bil. Vsekakor super izkušnja, ki na preizkušnjo da vztrajnost in iznajdljivost, poleg nje pa se naučiš ogromno - jaz sem se recimo dva programska jezika :))

/edit

Sem videl da je zadevo rešil še zerox, čestitam!
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

Zgodovina sprememb…

Tic ::

Zdaj pa še pass povej :)
persona civitas ;>

Quikee ::

Jaz sem zadevo resil v petek.. v dobrih 2-3 urah =P Sem si pa napisal programcek v c++ ko ti "desifrira" XOR v danem zakodiranem stringu z uporabo vnesenega stringa (vnesen string shifta skozi celoten zakodiran string) in ti vse moznosti zapise v datoteko oz. sfiltrira ce niso vsi znaki v desifriranem stringu alfanumericni. =)

Izak ::

Zadeva je kar precej kompleksna... Delamo na razrešitvi, sam mislim da z mojo ne-programersko pametjo nebom več dalč od decode js pršu. :D

#000000 ::

Kviki a teb je tud ratal ?

Matthai ::

No, potem pa si poglejte še tole.

http://www.secret-service.si/hackme

8-)

Na žalsot zadeva ne dela v FireFoxu, torej morate uporabiti MSIE. Če bom imel čas, bom morda popravil...
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)

Gwanaroth ::

Prisel do level 5, za naredit tega, pa nimam instaliranga Flasha.. :)

Bom popoldne, po izpitu instaliral in probal ;>
Lights often keep secret hypnosis..

R33D3M33R ::

Matthai: vau, ful dobra stran. Sem prišel do levela 4 pa vidim da je ful svetovna finta ta level. :)) Ko bom imel čas bom poskušal rešiti celotno. Tak mimogrede dela bp v Firefoxu (mogoče samo do tega levela :) )
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

zerox ::

2 easy...

Matthai ::

Ja, vem. Pač, leta 2001 sem tole zbluzil...
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)

Izak ::

Pri levelu 4 se non-ie brskalniki ustavijo. Saj moja opera se je pri 4 levelu ustavila, ker ne pusti vpisat gesla v okence...

zerox ::

Me spominja na nekaj podobnega v ang. kjer je bilo potem pri višjih levlih decompilat source, pa sniffat promet ipd :)

kopernik ::

matthai, dobre fore.

btw. a je možno zadevo s flashem rešiti s "pravo" potjo ? Torej z up. imenom in geslom ?

Matthai ::

Hm, a veš, da se ne spomnem. Meni se zdi da ja, v bistvu moraš najti link na en XML z gesli, ki je v istem direktoriju...
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

[C#] Entity Framework

Oddelek: Programiranje
6731 (562) frudi
»

Raziskava o ranljivosti spletnih strani z SQL bazami podatkov

Oddelek: Novice / Varnost
204460 (3796) sverde21
»

[ASP.NET] problem

Oddelek: Izdelava spletišč
381792 (1442) Microsoft
»

PHP Kodiranje

Oddelek: Izdelava spletišč
141103 (980) sverde21
»

Izvorna koda mojega par dnevnega dela; ce jo malo pokomentirate :) (strani: 1 2 )

Oddelek: Programiranje
605592 (3937) Microsoft

Več podobnih tem