Założe się, że będzie formatka do wpisywania adresów url, które to przez ataki typu: ICMP Echo Request Flood, IP Packet Fragment Attack, SMURF, IGMP Flood, Ping of Death, TCP SYN Flood, TCP Spoofed SYN Flood, TCP SYN ACK Reflection Flood, TCP ACK Flood, TCP Fragmented Attack, UDP Flood, UDP Fragment Flood, Distributed DNS Amplification Attack, DNS Flood, HTTP(S) GET/POST Flood czy tam DDoS DNS będzie testowała wytrzymałość klawiatur administratorów serwerów mieszczących się za w/w urlami. :)
U mnie tez TAB we fladze wychodzi
tak do ROZWAL_{
jest ok a potem głupoty: litery tab i brak } zamiast którego wychodzi f)
coś ? ktoś ?
Lukasz
5 marca, 2015 | 2:19 am
No kurde byc tak blisko i skonczyc nie idzie… Przetestowalem 5 roznych przegladarek w kilku roznych wersjach i ciagle dostaje te same bzdury. Jak koledzy powyzej dostaje tab’a i brakuje zakonczonego }.
Chodzi to u typeof ktory daje '[object Object]’. Pierwsze slowo jest OK, dlatego ROZWAL_ dziala pieknie, jednakze drugi Object jest nieprawdilowy. Nigdzie nie moge sie dokopac do „wszystkich mozliwych” typow, co by latwo mozna maly b-f napisac… Te co sprawdzilem, daja rowniez bzdury. Moglbys chociaz podac wersje wersje przegladarki na ktorej to dziala (i OS), dzieki.
Wszystkie wskazówki dotyczącego tego pod jakim środowiskiem da się to odpalić są na stronie z obrazkiem ;)
Alternatywnie – można przeanalizować JS i dojść do tego, jaka jest przyczyna, że kod nie wykonuje się prawidłowo.
ali
5 marca, 2015 | 12:06 am
mam podobne objawy, czy aby przypadkiem w tym zadaniu przeglądarka (a nawet jej konkretna wersja) nie robi b. dużej różnicy? analizowałem kod i po prawdzie to nie mam prawa dostać w pełni „od xorowanej” flagi.
Tak, przeglądarka ma znaczenie, nie przez przypadek napisałem wcześniej „to zapewne coś z przeglądarką”.
Na razie nie będę więcej pisał. Jeśli zadanie nie będzie szło, to pewnie wkrótce umieścimy więcej podpowiedzi ;)
lis6502
4 marca, 2015 | 7:41 am
Już po samej domenie zacząłem ostrzyć ząbki że z rana połamię główkę, a tu zima :/ Skanowanie portów też niczego nie pokazuje, w razie jakichś maili od abuse to to ja byłem :P
Lokalizacja JS mistrzostwo swiata, na reszte za cienki bolek chyba jestem, albo tak jak z Bostonem ostatnio, cos mi do glowy po prostu nie przychodzi :P
próbuje od dwóch dni to rozgryźć i nie wychodzi mi to :/ mamy skrypt mamy chyba podpowiedź że chodzi to na chromie… mamy jakis skrypt z zakodowanymi znakami, ale co z tego dalej zrobić??
crackme/hackme/ctf?
Ja tylko ogarniam na średnim poziomie zabezpieczeń :)
Pewnie jakaś strona typu hackme ;)
Jakieś hackme? ;)
Założe się, że będzie formatka do wpisywania adresów url, które to przez ataki typu: ICMP Echo Request Flood, IP Packet Fragment Attack, SMURF, IGMP Flood, Ping of Death, TCP SYN Flood, TCP Spoofed SYN Flood, TCP SYN ACK Reflection Flood, TCP ACK Flood, TCP Fragmented Attack, UDP Flood, UDP Fragment Flood, Distributed DNS Amplification Attack, DNS Flood, HTTP(S) GET/POST Flood czy tam DDoS DNS będzie testowała wytrzymałość klawiatur administratorów serwerów mieszczących się za w/w urlami. :)
w łeb sie puknij :-)
?
CTF? : >
zadania hackme?
Sejm?
pewnie CTFy ;)
Pewnie jakieś HackMe, a co ma być?
Interaktywna reklama firmy zajmującej się rozbiórką i wyburzaniem?
Mam nadzieje, ze spora piaskownica z zabawkami do psucia. Taki lab na wzor oferowanego w http://www.offensive-security.com
CTF? ;)
Czyżby jakieś hackme/ctf?
„keygen challenge=”is coming” „
Już wkrótce czy może już jest? ; )
Już jest :)
Może iframe zawierający „target of opportunity” na dzisiaj? ;)
Ładnie zaciemniony i ukryty ten kod JS, żaden ze mnie ekspert, ale próbuję walczyć! :D
Info: zrobiłem mały update kodu, wiec jeśli analizowałeś poprzednią wersję, to ściągnij jeszcze raz ;)
I drugie info: w kodzie ukryta jest flaga w formacie: ROZWAL_{…}, gdzie w miejscu … znajdują się wyłącznie znaki z zakresu [A-Z].
Ta wersja chyba nawet łatwiejsza niż pierwsza, tylko dostałem we fladze TAB’a, 9 w ASCII, więc coś nie tak jest u mnie albo u Was ^^
U nas wszystko gra. To zapewne coś z przeglądarką ;)
U mnie tez TAB we fladze wychodzi
tak do ROZWAL_{
jest ok a potem głupoty: litery tab i brak } zamiast którego wychodzi f)
coś ? ktoś ?
No kurde byc tak blisko i skonczyc nie idzie… Przetestowalem 5 roznych przegladarek w kilku roznych wersjach i ciagle dostaje te same bzdury. Jak koledzy powyzej dostaje tab’a i brakuje zakonczonego }.
Chodzi to u typeof ktory daje '[object Object]’. Pierwsze slowo jest OK, dlatego ROZWAL_ dziala pieknie, jednakze drugi Object jest nieprawdilowy. Nigdzie nie moge sie dokopac do „wszystkich mozliwych” typow, co by latwo mozna maly b-f napisac… Te co sprawdzilem, daja rowniez bzdury. Moglbys chociaz podac wersje wersje przegladarki na ktorej to dziala (i OS), dzieki.
Wszystkie wskazówki dotyczącego tego pod jakim środowiskiem da się to odpalić są na stronie z obrazkiem ;)
Alternatywnie – można przeanalizować JS i dojść do tego, jaka jest przyczyna, że kod nie wykonuje się prawidłowo.
mam podobne objawy, czy aby przypadkiem w tym zadaniu przeglądarka (a nawet jej konkretna wersja) nie robi b. dużej różnicy? analizowałem kod i po prawdzie to nie mam prawa dostać w pełni „od xorowanej” flagi.
Tak, przeglądarka ma znaczenie, nie przez przypadek napisałem wcześniej „to zapewne coś z przeglądarką”.
Na razie nie będę więcej pisał. Jeśli zadanie nie będzie szło, to pewnie wkrótce umieścimy więcej podpowiedzi ;)
Już po samej domenie zacząłem ostrzyć ząbki że z rana połamię główkę, a tu zima :/ Skanowanie portów też niczego nie pokazuje, w razie jakichś maili od abuse to to ja byłem :P
80,443 are open
443 is showing login panel
source code – JavaScript
No i ten dziwny komentarz na samej gorze, ktory nie daje mi spokoju… 8=$/+[’-8’f!;.$h)”=$+)a(,’$d;=
[Wymoderowane :)]
P.S. na xora nie ma bata ;)
It is always nice having look at the source, Luke :)
chyba miales na mysli „ways nice having look at” ;)
Lokalizacja JS mistrzostwo swiata, na reszte za cienki bolek chyba jestem, albo tak jak z Bostonem ostatnio, cos mi do glowy po prostu nie przychodzi :P
Pikuś
„[WYMODEROWANO]”
no chyba ze to nie koniec?
[MOD: Tak, to koniec ;)]
Fajne,
Choć bez wiedzy, że szukam ROZWAL_{…..} pewnie nie wiedziałbym że zszedłem na manowce :D.
ROZWAL_{[MODERACJA]}
Bardzo fajne hackme. Dobra robota.
Czy przy odpowiedniej wersji przeglądarki można było to zadanie rozwiązać przy użyciu jednego „alerta”?
poda ktoś jak to rozwiązać?
nie ma co psuć zabawy innym ;) Niedługo wersja 1.0 platformy to będzie można powalczyć z dużą liczbą zadań… i to na punkty, a będą też jakieś nagrody
próbuje od dwóch dni to rozgryźć i nie wychodzi mi to :/ mamy skrypt mamy chyba podpowiedź że chodzi to na chromie… mamy jakis skrypt z zakodowanymi znakami, ale co z tego dalej zrobić??
Dwa dni?
Ja spedzilem dwa dni zanim dostalem 1 punkt ;)
TO nie jest typowe hackme do jakiego przywyklem… duzo wiecej kodowania ktorego nie rozumiem :(
Polecam https://www.owasp.org/index.php/OWASP_Security_Shepherd oraz http://www.itsecgames.com/