Certified Secure Challenges - Over challenges en dergelijke

Bij nogal wat challenges blijf ik steken op 50¨%

04-02-2012, 18:31 door dimi, 13 reacties
Bij de hastbot krijg ik geen responds via twitter

Bij de poemshare opdracht vind ik via Cross Site Scripting en de bijhorende link het id van de admin.
Echter is mijn cookie file als ik mij op de pagina van het gastenboek bevindt de _CERTIFIEDHACKME cookie file en niet die van de admin ?

Bij Minobet 1 geraak ik in de mail account, daar vind ik (soms) dus niet altijd een mailtje met een link naar een pagina waar staat. hier is niet te vinden. is daar dan op die pagina ook effectief niets te vinden ?

Bij de My password opdracht heb ik al verschillende mails naar dave verstuurd met de bijhorende code vanaf mijn e-mail adres, echter zonder responds in mijn mailbox of de bijhorende link in de mail..

graag wat hulp, ik wordt er zowaar radeloos van.
Reacties (13)
04-02-2012, 19:58 door SLight
gewoon later opnieuw proberen is misschien een tijdelijke bug of een probleem met je browser of doe net zo als de meeste gewoon verder gaan en wanneer je meer kennis hebt op gebouwd het gewoon nog een keer proberen. :)
04-02-2012, 21:12 door Anoniem
Of kom even langs op de IRC server (http://www.security.nl/artikel/37946/1/IRC_Server.html), daar is regelmatig iemand te vinden die wat extra uitleg wil geven.
04-02-2012, 22:53 door Frank van Vliet
Door dimi: Bij de hastbot krijg ik geen responds via twitter

Voor de hashbot is het nodig om hem eerst te followen, en daarna een direct message te sturen. Hij is te vinden op http://twitter.com/hasbotdev

Bij de poemshare opdracht vind ik via [spoiler removed]

Je bent heel goed op weg. Je kunt altijd ook cookies toevoegen.

Bij Minobet 1 geraak ik in de mail account, daar vind ik (soms) dus niet altijd een mailtje met een link naar een pagina waar staat. hier is niet te vinden. is daar dan op die pagina ook effectief niets te vinden ?

Sommige challenges zeggen inderdaad dat hier niets te vinden is, of dat de site nog in ontwikkeling is. Hier is dan alsnog iets interessants te vinden.

Bij de My password opdracht heb ik al verschillende mails naar dave verstuurd met de bijhorende code vanaf mijn e-mail adres, echter zonder responds in mijn mailbox of de bijhorende link in de mail..

Als je op de IRC server langs komt kan ik je hier misschien beter bij helpen. Ik zou nu vragen om meer details, maar dat verklapt vervolgens te veel voor andere bezoekers van dit forum.

Veel succes verder!

Frank
05-02-2012, 06:05 door dimi
Hallo iedereen,

Intussen zijn de Poemshare opdracht en de Minobet1 opdracht geslaagd. Dank voor het op weg helpen Frank.

De hashbot intussen succesvol toegevoegd. Nu nog de nodige code vinden om het eventuele versleutelde passwoord van bert te vinden.

Ik ben ook aan de IDB opdracht begonnen, [admin] geen spoilers aub [/admin] ?

mvg
05-02-2012, 18:01 door SLight
@ Dimi

Wat je ook te vragen had over IDB, hij bestaat uit 3 delen en je moet 2 path traversals en een sql injectie uitvoeren, IDB is zelfs voor een beginner zeker goed te doen.
05-02-2012, 18:09 door dimi
hallo,

ik begin ook met een path traversal, alleen weet ik niet wat ik met de inhoudt moet aanvangen die ik te zien krijg.. ik heb de video over dit thema besteld. Hopelijk zal deze mij wat meer duidelijkheid hier in geven.

ivm de hashbot. ik kan maar geen foutmeldingen verkrijgen om sql of om een path traversal uit te voeren. ik zie enkel een gebruiker 'betrand' op de background .. maar dit is weer iets anders dan 'bert'
05-02-2012, 19:28 door SLight
je moet die medewerkersbrief te zien krijgen als je daar direct op klikt krijg je Forbidden en het basisprincipe van path traversal is ../ Je moet ergens in de URL een plek vinden voor de path traversal ga maar op zoek door wat waarden aan te passen met een quoteje '

Bij Hashbot moet je zeker niet in de achtergrond kijken deze is alleen maar voor de show, net zo als de website, je moet gewoon alles via Twitter doen :)

Je moet gewoon niet te moeilijk beginnen eerst wat leren, hashbot en acronym alex zijn niet te doen als je vanaf nul begint maar daarna misschien wel ;)

Voor om te beginnen met SQL injectie: https://secure.security.nl/artikel/28299/1/SQL_Injectie.html en als je verder bent: https://docs.google.com/Doc?docid=0AZNlBave77hiZGNjanptbV84Z25yaHJmMjk

Meer dan dit kan ik niet zeggen dat zou een spoiler zijn, maar een duwtje is de juiste richting is wel handig.
05-02-2012, 19:30 door dimi
OK bedankt, ik ga hier mee aan de slag
05-02-2012, 19:54 door SLight
Nog 1 tipje voor de path traversal, houdt het simpel je hoeft niet die ../ tot een gigantisch lange string coderen en null bytes zijn ook niet nodig.
06-02-2012, 19:15 door dimi
Intussen zit ik met de IDB challenge op 67 %. Ik heb ook een pass + inlog gevonden maar als ik met deze inlog heb ik niet genoeg rechten.

Tijd voor SQL injectie, het probleem.. ik krijg geen enkele foutmelding.

moet je de SQL injectie toepassen als je al ingelogd bent of aan het login scherm om dan als admin te kunnen in loggen ?

ik heb al wat wiki gelezen en video bekeken maar aangezien ik geen enkele foutmelding verkrijg is dit lastig..
06-02-2012, 19:41 door SLight
De plaatjes worden uit een SQL databank gehaald...

Dat is weer genoeg voor vandaag :)
06-02-2012, 19:58 door dimi
aha daar is de eerste error.. thnx !
06-02-2012, 21:49 door dimi
YES, Gelukt na lang zoeken.. ik zocht het veel te ver.. thnx allemaal voor de reacties/hulp
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.