» »

Hack-It!

Hack-It!

1
2
»

mjakop ::

Matthai: dobro narejeno, samo malo prelahko je vse skupaj. Rešil v dobrih 7-10 minutah.

Pa tole resno misliš?
Čestitamo!

Uspešno ste prišli do konca.
Ker ste dokazali, da ste heker, lahko zaprosite za sprejem v secret-service.si!


kopernik: Flasha sploh ni problem zaobit. Jaz sem preko hexeditorja gledal v izpis za morebitnimi stringi ki pridejo prav. Hitro sem našel fajl(xml) kjer so podatki o prijavi. Če pa to ne bi šlo bi pa uporabil kake boljše metode.

poweroff ::

Ne, v biastvu je cela stran secretr-service.si mišljena kot zafrkancija, pa sem za hec dodal še tisti tekst. Sicer pa maile pošiljaš iz /dev/null, če si opazil :D
sudo poweroff

kopernik ::

mjakop, saj flash sem zaobšel, ampak brez up. imena in gesla.

mjakop ::

Matthai: se mi je zdelo, da je tko mišljeno.

kopernik: Aha, si izbrskal naslov naslednje strani. Sicer pa tko ni važno kako prideš mimo, važno je da prideš.

error7891 ::

Meni je zanimiva tudi tale stran HackQuest, kjer imaš naloge narejene po sklopih. Da vidimo kdo jih bo rešil prvi. 8-)

Tody ::

mah men se zmeri pri javascriptu ustav k nimam pojma o tem...


Kak namig ? :8) sem na |V| 4

Zgodovina sprememb…

  • spremenil: Tody ()

outsider ::

Hum...

Men je pa ratal, ta Hack-It resit pa nekak hum. Se nemorm na seznam upisat. Sam email lahko poslem modelu!
;( pa kje drugje.

lp

mjakop ::

Tody: Počisti zgodovino brskalnika. kloikni na flash link da ti odpre stran kjer je treba vpisat geslo. Pol Zdej si poglej link in ga poskusi nekak shranit(namig:prazen html dokument z linkom in potem ukaz save link as). Tko boš dobil source, naprej pa upam da boš znal.

Nekatere stvari so pa kar težke na tej strani. A se da kako dobit iz java appleta nazaj source kodo?

error7891 ::

.class file lahko dobiš nazaj v source obliko s tem programom Dj java decompiler

krneki0001 ::

Kaj potem narest na sedmi strani, men ni tm čist nč jasn.

M.B. ::

če vam so vam všeč takšne uganke, lahko poskusite s Python challenge.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

fiction ::

Matthai: Trivial joke. Sploh ni problema ce ne dela v Firefoxu ali pa kjerkoli,
vazno da se da zadevo wget-at pa je. :)

<font color=red>Ker ste dokazali, da ste heker, lahko <a href="../dev/null">zaprosite</a> za sprejem v secret-service.si!

../dev/null? Ocitno je to malo prevec na hitro skupaj spacano z
Microsoft FrontPage Express? :)

Drugace pa podpiram postavitev nekega resnega slovenskega
wargame serverja za take igrice. In s tem ne mislim
samo razno raznih webpagov ampak shell access pri cemer
bojo na kandidata cakali razni suid programcki. Tako bo
postopoma dobival dostop do vedno visjih uid-jev.
Na koncu bi recimo bilo treba izkoristiti kaksen "buffer overflow"
ali pa "format string" bug.
Seveda bi morala biti taka masina dobro zafirewalllana, ker bodo drugace
razni otroci zadevo uporabili za zganjanje neumnosti.

Microsoft ::

Jst sem zdele malo poskusil tole zadevo, samo ne znam. Sem prisel do par informacij, samo to je pa tudi vse.

Zdej tole nevem, kaj je, samo izgleda kot nek kljuc (... so zato, ker je string doooolgi):
var EncodeTextVar = "3222...1E";

In potem se tole:
DecodedPlainText += unescape('%' + (parseInt(PlainText.substr(Stevec, 2), 16) ^ Geslo.charCodeAt(KateroMestoPass)).toString(16));

To zadnje zgleda, kot da vrednosti %xx pretvarja v ascii, kot kaze tale tabela. Poleg tega je se v drugem primeru zraven for zanka, ki gre skozi nek string, pri tem pa verjetno preverja vneseno vrednost z nekje skritim geslom. Potem je tu se znak ^, ki ocitno pomeni xor funkcijo.

To je pa na zalost tudi vse.:( Ker mi ni jasno, kaj bi na koncu moral dobiti. Mogoce kak namig?


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

Quikee ::

Microsoft: Poglej si kak deluje XOR encryption. V EncodeTextVar pa je v bistvu shranjena zasifrirana vsebina, kljuc pa mores "uganit".

ke ke ::

pr secret service se mi je pr 3 levelu zataknilo... bi mi lahko kdo du kaki namig prosim :8)

mare_ ::

Uf, rešil tisto iz prvega posta... po dveh letih in pol :)

TekO ::

ke ke, pa saj je enak kot prve 2? (hint: source)

Pri 4. pa se mi je zataknilo :8) :D
Ideas are bulletproof.

MihaFirst ::

TekO, verjetno imaš v mislih Mathaiiev test? Tudi tu je treba pogledati v source. Zdej, ne vem če obstaja kaka logična finta, sicer sem pa sam prišel naprej tako, da sem sestavil URL naslednjega levela glede na tole:
location.href = "_l"+koda+p+su+ix;


0:)

EDIT: Če ni v redu, da dajem namige v obliki kopiranja vrstic moderatorji prosim zbrišite ta del. :8)

Zgodovina sprememb…

TekO ::

Hehe, tnx. Sem si kar mislil da je nekaj takega, ko sem videl tiste var.
Pa za ta level (4) obstaja kakšna drugačna finta kot pa ta, da vpišeš pač URL od levela 5 ?
Ideas are bulletproof.

ke ke ::

TeKo pr prvih dveh gre sourca iya pr tretji pa ne zato kr se novo okno pojavi.. :(

Tody ::

ja najbolj da da 100 enakih levelov da boš znal vse rešit :) uporabi možgane :P

poweroff ::

Hehe, poiskusi curl.

http://curl.haxx.se/ (ok, sem malce zloben - tisti, ki uporabljate Linux boste že vedeli zakaj) :P
sudo poweroff

MihaFirst ::

Hja, sicer pa Matthai, nisem še omenil, ma mi je strašno všeč tale test. 0:)

Edino zamerim ti, ker me nisi sprejel v secret service :D

poweroff ::

Hja, saj tisto s sprejemom v secret-service je bila zafrkancija.. to je pač samo ena domena. Ampak lahko pa pogledaš Whois zapis. :-))
sudo poweroff

MihaFirst ::

Vem, samo šala :D

Ma vseeno lahko pošljem kako letter-bombo na tvoj naslov is whoisa :) Mi zafrustrirani froci to delamo :P

nejck ::

heh tale secret service je res pre lahka ;) flash pa se najbl simpl:)

poweroff ::

Vem, samo šala :D

Ma vseeno lahko pošljem kako letter-bombo na tvoj naslov is whoisa :) Mi zafrustrirani froci to delamo


Proxy naslov je. :-)
sudo poweroff

TekO ::

Kakšen hint za 5. nivo? 0:)
Ta, ki zahteva uporabo flasha..
Ideas are bulletproof.

ke ke ::

iya men se je tud malo zataknilo pr 5 nivoju.. nevem kak bi se loto ... hint lepo prosim :p

ke ke ::

sm že hekno.. če se temu lahko tak reče :D

mtosev ::

I don't get it. :\
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

nurmaln ::

Real surprise there :D

purgovich ::

Huh, rešil HackIt... Zabaven challenge, ni kaj
Drugače pa, za vse ki imate preveč časa pa še niste slišali za ta page : HackThisSite
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

[C#] Entity Framework

Oddelek: Programiranje
6981 (812) frudi
»

Raziskava o ranljivosti spletnih strani z SQL bazami podatkov

Oddelek: Novice / Varnost
204941 (4277) sverde21
»

[ASP.NET] problem

Oddelek: Izdelava spletišč
382182 (1832) Microsoft
»

PHP Kodiranje

Oddelek: Izdelava spletišč
141487 (1364) sverde21
»

Izvorna koda mojega par dnevnega dela; ce jo malo pokomentirate :) (strani: 1 2 )

Oddelek: Programiranje
606466 (4811) Microsoft

Več podobnih tem