XPATH & SQLi – rozwiązanie hackme

Przez parę dni walczyliście z ćwiczeniem zaanonsowanym w ostatni piątek wieczorem (link do samej aplikacji – tutaj)

Dzisiaj małe podsumowanie i ogłoszenie laureatów:

• W logach zanotowaliśmy dostęp z 340 unikalnych adresów IP – sporo :-]
• Pierwsze zapisy w logach apache zaczęły się pojawiać w okolicach 22:40 – sobota
• Pierwsza dobra odpowiedź przyszła od Rafała Janickiego o godzinie 0:05 w sobotę – gratulacje! (nagroda: miesięczna licencja burp suite pro)
• Druga – od Krystiana Kochanowskiego – 00:19 – jak widać konkurencja była zażarta. Licencja :-)
• Następne poprawne info było już w sobotę – s_gilon – 11:29 (licencja!), Kacper Nowak – 12:41 (przekazał licencję kolejnej osobie :) oraz Michał Bentkowski 17:02 (licencja)
• Dalej:
  • Filip Palian (licencja)
  • apis_ek
  • gorgonzola777
  • vizzdoom który powrócił z imprezki :)
  • Mateusz Świerzewski
  • Hubert Lipiński
  • Lukas
  • Dawid Bałut
  • Aleksander Droś
  • kaje11
  • Mateusz Stahl
  • Dawid Trznadel
  • (mam nadzieję że nikogo nie pominąłem – ew. reklamacje poproszę na maila ;)

Gratulacje!

Generalnie walczyliście i dniami i nocami (chyba najintensywniejsza była noc z soboty na niedzielę – każdej godziny coś się działo – przynajmniej tak mówią logi web serwera :)

Prawidłowych odpowiedzi nie publikuję, bo nie chciałbym psuć zabawy innym, a poza tym – następne hackme już przygotowaniu i całość będzie miejmy nadzieję ciekawą serią.

Prośba też do Was o niepublikowanie odpowiedzi – brak hintów na pewno docenią osoby, które będą realizowały to hackme w przyszłości.

Jeśli macie za to jakieś uwagi / prośby / czy chcecie się podzielić wrażeniami z tego hackme – zapraszam do komentowania :)

PS
Licencje na burpa aktywne są od momentu kupna – nie od momentu aktywacji, więc zwycięzców zachęcam do szybkiego rozpoznania narzędzia :-)

–michal.sajdak<at>sekurak.pl