Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
XPATH & SQLi – rozwiązanie hackme
Przez parę dni walczyliście z ćwiczeniem zaanonsowanym w ostatni piątek wieczorem (link do samej aplikacji – tutaj)
Dzisiaj małe podsumowanie i ogłoszenie laureatów:
- W logach zanotowaliśmy dostęp z 340 unikalnych adresów IP – sporo :-]
- Pierwsze zapisy w logach apache zaczęły się pojawiać w okolicach 22:40 – sobota
- Pierwsza dobra odpowiedź przyszła od Rafała Janickiego o godzinie 0:05 w sobotę – gratulacje! (nagroda: miesięczna licencja burp suite pro)
- Druga – od Krystiana Kochanowskiego – 00:19 – jak widać konkurencja była zażarta. Licencja :-)
- Następne poprawne info było już w sobotę – s_gilon – 11:29 (licencja!), Kacper Nowak – 12:41 (przekazał licencję kolejnej osobie :) oraz Michał Bentkowski 17:02 (licencja)
- Dalej:
- Filip Palian (licencja)
- apis_ek
- gorgonzola777
- vizzdoom który powrócił z imprezki :)
- Mateusz Świerzewski
- Hubert Lipiński
- Lukas
- Dawid Bałut
- Aleksander Droś
- kaje11
- Mateusz Stahl
- Dawid Trznadel
- (mam nadzieję że nikogo nie pominąłem – ew. reklamacje poproszę na maila ;)
Gratulacje!
Generalnie walczyliście i dniami i nocami (chyba najintensywniejsza była noc z soboty na niedzielę – każdej godziny coś się działo – przynajmniej tak mówią logi web serwera :)
Prawidłowych odpowiedzi nie publikuję, bo nie chciałbym psuć zabawy innym, a poza tym – następne hackme już przygotowaniu i całość będzie miejmy nadzieję ciekawą serią.
Prośba też do Was o niepublikowanie odpowiedzi – brak hintów na pewno docenią osoby, które będą realizowały to hackme w przyszłości.
Jeśli macie za to jakieś uwagi / prośby / czy chcecie się podzielić wrażeniami z tego hackme – zapraszam do komentowania :)
PS
Licencje na burpa aktywne są od momentu kupna – nie od momentu aktywacji, więc zwycięzców zachęcam do szybkiego rozpoznania narzędzia :-)
–michal.sajdak<at>sekurak.pl
Dzięki za fajną zabawę, gratuluję pozostałym zwycięzcom :) R.J.
Super sprawa!
Podoba mi się to, że do celu można dojść kilkoma drogami i że tematyka tego hackme nie jest wtórna – dzięki części o XPATH to nie zwykłe SQLi, którego w necie pełno.
Dodatkowo, naprawdę fajny wstęp :).
Czekam na więcej!
Fajne, fajne. Tylko następne nich będzie kilkanaście szczebli trudniejsze ;)
Myślę że trudność będzie … różna ;) Czyli trochę dla początkujących ale trochę dla bardziej zaawansowanych :)
-ms
Dziękuję za wspólną zabawę i również gratuluję pozostałym zwycięzcom :)
Extra zabawa :P. Pozdr.
Nie zebym wiedzial co robie ale udalo mi sie wyciagnac uzytkownika:
Error: SELECT command denied to user 'sh2’@’localhost’ for table 'list’ back to the list
PS
Sorry za podwojny wpis ale przez przypadek dalem tez w poprzednim
No to jest żywy system (nie symulowany) więc można wyciągnąć różne ciekawostki :)
PS
prośba o pisanie z normalnych – nie fejkowych – nicków.
-ms