-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

XPATH & SQLi – rozwiązanie hackme

01 lipca 2013, 20:42 | Aktualności | komentarzy 8
Tagi: ,

Przez parę dni walczyliście z ćwiczeniem zaanonsowanym w ostatni piątek wieczorem (link do samej aplikacji – tutaj)

abdDzisiaj małe podsumowanie i ogłoszenie laureatów:

  • W logach zanotowaliśmy dostęp z 340 unikalnych adresów IP – sporo :-]
  • Pierwsze zapisy w logach apache zaczęły się pojawiać w okolicach 22:40 – sobota
  • Pierwsza dobra odpowiedź przyszła od Rafała Janickiego o godzinie 0:05 w sobotę – gratulacje! (nagroda: miesięczna licencja burp suite pro)
  • Druga – od Krystiana Kochanowskiego – 00:19 – jak widać konkurencja była zażarta. Licencja :-)
  • Następne poprawne info było już w sobotę – s_gilon – 11:29 (licencja!), Kacper Nowak – 12:41 (przekazał licencję kolejnej osobie :) oraz Michał Bentkowski 17:02 (licencja)
  • Dalej:
    • Filip Palian (licencja)
    • apis_ek
    • gorgonzola777
    • vizzdoom który powrócił z imprezki :)
    • Mateusz Świerzewski
    • Hubert Lipiński
    • Lukas
    • Dawid Bałut
    • Aleksander Droś
    • kaje11
    • Mateusz Stahl
    • Dawid Trznadel
    • (mam nadzieję że nikogo nie pominąłem – ew. reklamacje poproszę na maila ;)

Gratulacje!

Generalnie walczyliście i dniami i nocami (chyba najintensywniejsza była noc z soboty na niedzielę – każdej godziny coś się działo – przynajmniej tak mówią logi web serwera :)

Prawidłowych odpowiedzi nie publikuję, bo nie chciałbym psuć zabawy innym, a poza tym – następne hackme już przygotowaniu i całość będzie miejmy nadzieję ciekawą serią.

Prośba też do Was o niepublikowanie odpowiedzi – brak hintów na pewno docenią osoby, które będą realizowały to hackme w przyszłości.

Jeśli macie za to jakieś uwagi / prośby / czy chcecie się podzielić wrażeniami z tego hackme – zapraszam do komentowania :)

PS
Licencje na burpa aktywne są od momentu kupna – nie od momentu aktywacji, więc zwycięzców zachęcam do szybkiego rozpoznania narzędzia :-)

–michal.sajdak<at>sekurak.pl

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. bl4de

    Dzięki za fajną zabawę, gratuluję pozostałym zwycięzcom :) R.J.

    Odpowiedz
  2. fuzzy

    Super sprawa!

    Podoba mi się to, że do celu można dojść kilkoma drogami i że tematyka tego hackme nie jest wtórna – dzięki części o XPATH to nie zwykłe SQLi, którego w necie pełno.

    Dodatkowo, naprawdę fajny wstęp :).

    Czekam na więcej!

    Odpowiedz
  3. SebaVegas

    Fajne, fajne. Tylko następne nich będzie kilkanaście szczebli trudniejsze ;)

    Odpowiedz
    • Myślę że trudność będzie … różna ;) Czyli trochę dla początkujących ale trochę dla bardziej zaawansowanych :)
      -ms

      Odpowiedz
  4. Krystian Kochanowski

    Dziękuję za wspólną zabawę i również gratuluję pozostałym zwycięzcom :)

    Odpowiedz
  5. Marcin

    Extra zabawa :P. Pozdr.

    Odpowiedz
  6. 123qwe

    Nie zebym wiedzial co robie ale udalo mi sie wyciagnac uzytkownika:

    Error: SELECT command denied to user 'sh2’@’localhost’ for table 'list’ back to the list

    PS
    Sorry za podwojny wpis ale przez przypadek dalem tez w poprzednim

    Odpowiedz
    • No to jest żywy system (nie symulowany) więc można wyciągnąć różne ciekawostki :)
      PS
      prośba o pisanie z normalnych – nie fejkowych – nicków.
      -ms

      Odpowiedz

Odpowiedz na bl4de