Certified Secure Challenges
- Over challenges en dergelijke
certified secure path traversal help!
21-08-2012, 02:51 door Anoniem, 19 reacties
Hallo allemaal, ik ben begonnen met certified secure en ben al bij mijn eerste challenge.
Ik kom er echt NIET uit bij the ISB ding, ik heb het bekeken en zie dat je iets met path traversal moet doen
maar ik heb geen idee hoe het werkt ik probeer dingen zoals:
[admin] geen spoilers svp [/admin]
Ik kom er niet uit, ik begrijp geen kip er meer van na 3 uurtjes proberen.
Kunnen julllie me helpen of tips sturen mijn email;
wenlordex@hotmailDOTcom
Ik kom er echt NIET uit bij the ISB ding, ik heb het bekeken en zie dat je iets met path traversal moet doen
maar ik heb geen idee hoe het werkt ik probeer dingen zoals:
[admin] geen spoilers svp [/admin]
Ik kom er niet uit, ik begrijp geen kip er meer van na 3 uurtjes proberen.
Kunnen julllie me helpen of tips sturen mijn email;
wenlordex@hotmailDOTcom
Reacties (19)
26-08-2012, 23:48 door
Lowerland
Google is your best friend ;)
27-08-2012, 17:27 door
MisterX
hallo,
stel je hebt dit http://www.mijnwebsite.com/index.php?pagina=home
die 'home' verander je bijvoorbeeld naar 'abc', de pagina 'abc' bestaat niet dus krijg je een foutmelding, iets als dit bijvoorbeeld
Warning: file_get_contents(mapje/abc): failed to open stream: No such file or directory in /var/www/index.php on line 28
Nu moet je eens de mappen structuur van een linux server op googlen. Daar zal je zien dat de webbestanden zich MEESTAL in de /var/www folder bevinden
dit varieert en kan je eigenlijk zien in de foutmelding in /var/.. enz.. op die manier weet je hoeveel mapjes je omhoog moet om op de root terecht te komen van de server waar zich de map /etc bevindt
nu kan je door middel van ../ te gebruiken een map omhoog gaan in de url
stel dat je nu /etc/passwd wil vinden moet je dus het volgende gebruiken in de url
http://www.mijnwebsite.com/index.php?pagina=../../../etc/passwd
dit komt neer op
/var/www/mapje die wordt vervangen door ../../../ waardoor je dus vanaf de root in de map etc het bestand passwd kan gaan uitlezen.
het beste is als je een foutmelding krijgt deze even op papier te zetten, en dan met ../ iedere map in de foutmeding vervangt. zo krijg je een overzicht wat je in de url moet plaatsen om etc/passwd of andere bestanden te vinden
mvg
stel je hebt dit http://www.mijnwebsite.com/index.php?pagina=home
die 'home' verander je bijvoorbeeld naar 'abc', de pagina 'abc' bestaat niet dus krijg je een foutmelding, iets als dit bijvoorbeeld
Warning: file_get_contents(mapje/abc): failed to open stream: No such file or directory in /var/www/index.php on line 28
Nu moet je eens de mappen structuur van een linux server op googlen. Daar zal je zien dat de webbestanden zich MEESTAL in de /var/www folder bevinden
dit varieert en kan je eigenlijk zien in de foutmelding in /var/.. enz.. op die manier weet je hoeveel mapjes je omhoog moet om op de root terecht te komen van de server waar zich de map /etc bevindt
nu kan je door middel van ../ te gebruiken een map omhoog gaan in de url
stel dat je nu /etc/passwd wil vinden moet je dus het volgende gebruiken in de url
http://www.mijnwebsite.com/index.php?pagina=../../../etc/passwd
dit komt neer op
/var/www/mapje die wordt vervangen door ../../../ waardoor je dus vanaf de root in de map etc het bestand passwd kan gaan uitlezen.
het beste is als je een foutmelding krijgt deze even op papier te zetten, en dan met ../ iedere map in de foutmeding vervangt. zo krijg je een overzicht wat je in de url moet plaatsen om etc/passwd of andere bestanden te vinden
mvg
27-08-2012, 17:33 door
regenpijp
lol: http://webcache.googleusercontent.com/search?q=cache:k5rTS_4NSJAJ:leethackers.nl/archief/latest/archive/index.php/thread-4195.html+wenlordex%40hotmail.com&cd=1&hl=nl&ct=clnk
Niet dat ik iets tegen 16 jarigen heb :)
Niet dat ik iets tegen 16 jarigen heb :)
16-02-2013, 17:37 door
fire24
@MisterX
beste MisterX,
ik heb de IDB challenge geprobeerd en door jouw artikel ook de eerste opdracht gehaald! (De 1ste opdracht is: "Vind de medewerkersbrief.".
Nu moet ik de verborgen admin interface vinden. Ik heb met hulp van jouw reactie een aantal dingen geprobeerd zoals:
- http://idb.idebe.hackme.certifiedsecure.com/index.php?c=page&p=../../../../../../admin.html
- http://idb.idebe.hackme.certifiedsecure.com/admin.html
- http://idb.idebe.hackme.certifiedsecure.com/index.php?c=page&p=../../../../../../admin
(natuurlijk heb ik ook meer en minder ../ gebruikt)
Dit is de foutmelding die ik krijg:
Warning: file_get_contents(content_nl/admin.php): failed to open stream: No such file or directory in /var/vhosts/idb/www/index.php on line 92
alleen ik kan de verborgen admin interface maar niet vinden. Ik heb ook al geprobeerd ".html" (in de eerste link) weg te laten en te veranderen door php. DAt had ook geen effect. Kan iemand mij een duwtje in de goede richting geven en ook mijn volgende vraag beantwoorden?
Moet er achter admin iets staan zoals .html of .php ?
mvg
beste MisterX,
ik heb de IDB challenge geprobeerd en door jouw artikel ook de eerste opdracht gehaald! (De 1ste opdracht is: "Vind de medewerkersbrief.".
Nu moet ik de verborgen admin interface vinden. Ik heb met hulp van jouw reactie een aantal dingen geprobeerd zoals:
- http://idb.idebe.hackme.certifiedsecure.com/index.php?c=page&p=../../../../../../admin.html
- http://idb.idebe.hackme.certifiedsecure.com/admin.html
- http://idb.idebe.hackme.certifiedsecure.com/index.php?c=page&p=../../../../../../admin
(natuurlijk heb ik ook meer en minder ../ gebruikt)
Dit is de foutmelding die ik krijg:
Warning: file_get_contents(content_nl/admin.php): failed to open stream: No such file or directory in /var/vhosts/idb/www/index.php on line 92
alleen ik kan de verborgen admin interface maar niet vinden. Ik heb ook al geprobeerd ".html" (in de eerste link) weg te laten en te veranderen door php. DAt had ook geen effect. Kan iemand mij een duwtje in de goede richting geven en ook mijn volgende vraag beantwoorden?
Moet er achter admin iets staan zoals .html of .php ?
mvg
16-02-2013, 17:52 door
MisterX
Hoi,
een tip die ik kan meegeven bij path traversal is om altijd eerst het passwd bestand te zoeken voor je op zoek gaat naar iets anders.
Als je hier even zoekt op het forum denk ik dat je alle gegeven tips over idb die kunnen gegeven worden zonder te spoilen al gegeven zijn.
Kom even langs op het irc channel is hierbij dus een goede raad.
mvg
een tip die ik kan meegeven bij path traversal is om altijd eerst het passwd bestand te zoeken voor je op zoek gaat naar iets anders.
Als je hier even zoekt op het forum denk ik dat je alle gegeven tips over idb die kunnen gegeven worden zonder te spoilen al gegeven zijn.
Kom even langs op het irc channel is hierbij dus een goede raad.
mvg
16-02-2013, 18:39 door
fire24
Beste MisterX,
Ik heb geprobeerd het passwd bestand te zoeken. Dat is helaas niet gelukt. Op een ander forum had ik het volgende gelezen:
bijv
[admin] Geen spoilers svp [/admin]
Ik heb nu wel 2 vragen:
1. Wat bedoel je precies met het passwd bestand of wat is daarin te vinden? (Het lijkt mij een wachtwoord ofzo)
2. Wat wordt bedoelt met " spoilen "?
Momenteel kan ik geen gebruik maken van het IRC channel
mvg
Ik heb geprobeerd het passwd bestand te zoeken. Dat is helaas niet gelukt. Op een ander forum had ik het volgende gelezen:
bijv
[admin] Geen spoilers svp [/admin]
Ik heb nu wel 2 vragen:
1. Wat bedoel je precies met het passwd bestand of wat is daarin te vinden? (Het lijkt mij een wachtwoord ofzo)
2. Wat wordt bedoelt met " spoilen "?
Momenteel kan ik geen gebruik maken van het IRC channel
mvg
16-02-2013, 19:12 door
MisterX
spoilen is specifieke details over een challenge vrijgeven en dat mag niet volgens de huisregels hier.
Dus kan ik je aanraden je reacties zelf te bewerken en de details te verwijderen voor een moderator dat zal doen in jou plaats.
en waarom kan je geen gebruik maken van het irc channel ?
mvg
Dus kan ik je aanraden je reacties zelf te bewerken en de details te verwijderen voor een moderator dat zal doen in jou plaats.
en waarom kan je geen gebruik maken van het irc channel ?
mvg
18-02-2013, 16:44 door
fire24
volgens mij is het me niet gelukt omdat ik niet in de beta versie van de site heb gezocht naar de admin.
In de beta versie heb ik geprobeerd om de admin pagina te bereiken via een path traversal attack alleen nu krijg ik geen foutmelding meer die me verder zou kunnen helpen.
Hoe zorg ik ervoor dat ik weer een foutmelding krijg?
mvg
In de beta versie heb ik geprobeerd om de admin pagina te bereiken via een path traversal attack alleen nu krijg ik geen foutmelding meer die me verder zou kunnen helpen.
Hoe zorg ik ervoor dat ik weer een foutmelding krijg?
mvg
18-02-2013, 17:02 door
MisterX
misschien dat je de Instructie Path Traversal premium content kan aanschaffen ?
https://www.certifiedsecure.com/premium
of je zoekt via google hoe het moet, kom je er dan nog niet uit kan je hulp vragen op het irc chat kanaal. Hoe je daar kan komen kan je vinden in het desbetreffende topic daarover (gebruik even de zoekfunctie van dit forum)
groeten
https://www.certifiedsecure.com/premium
of je zoekt via google hoe het moet, kom je er dan nog niet uit kan je hulp vragen op het irc chat kanaal. Hoe je daar kan komen kan je vinden in het desbetreffende topic daarover (gebruik even de zoekfunctie van dit forum)
groeten
Beste fire24,
Het lijkt er op dat je wil beginnen met hacken, of er in ieder geval interesse in hebt. Dat is goed.
Maar wat een vereiste is in dit werkveld is dat je zelfstandig dingen op kunt zoeken, en dat je ook wat moeite doet.
google is your friend..
Lees wat tutorials of bestel inderdaad de premium content, maar leer vooral om te zoeken!
groeten...
Het lijkt er op dat je wil beginnen met hacken, of er in ieder geval interesse in hebt. Dat is goed.
Maar wat een vereiste is in dit werkveld is dat je zelfstandig dingen op kunt zoeken, en dat je ook wat moeite doet.
google is your friend..
Lees wat tutorials of bestel inderdaad de premium content, maar leer vooral om te zoeken!
groeten...
18-02-2013, 17:30 door
fire24
ik heb eindelijk het passwd bestand gevonden!
op welke site moet ik de admin interface vinden? op de normale of de beta?
mvg
op welke site moet ik de admin interface vinden? op de normale of de beta?
mvg
18-02-2013, 19:46 door
MrRight
Hoi,
Ik ben ook lekker bezig geweest met de IDB challenge. Ik ben nu bezig met het laatste deel.
De kunst is, om met behulp van kennis, google en tips etc. tot de juiste uitkomst te komen.
Ik kan je adviseren om naar de IRC te gaan! Daar krijg je, gelukkig, geen kant-en-klare antwoorden maar helpt men je wel in de goede richting te zoeken.
Ik weet nu hoe ik moet gaan zoeken en welke info ik nodig heb. Nu nog uitvogelen. Maar dat is juist de bedoeling!
Suc6 en see-you-op-IRC....
Ik ben ook lekker bezig geweest met de IDB challenge. Ik ben nu bezig met het laatste deel.
De kunst is, om met behulp van kennis, google en tips etc. tot de juiste uitkomst te komen.
Ik kan je adviseren om naar de IRC te gaan! Daar krijg je, gelukkig, geen kant-en-klare antwoorden maar helpt men je wel in de goede richting te zoeken.
Ik weet nu hoe ik moet gaan zoeken en welke info ik nodig heb. Nu nog uitvogelen. Maar dat is juist de bedoeling!
Suc6 en see-you-op-IRC....
18-02-2013, 21:01 door
fire24
Bedankt voor je advies!
Sinds gisteravond ben ik bezig met het connecten naar het IRC channel, helaas is dit niet gelukt. Ik vraag me af wat ik verkeerd doe
http://s18.postimage.org/4wuxh5ttl/irc.png << plaatje
mvg
Sinds gisteravond ben ik bezig met het connecten naar het IRC channel, helaas is dit niet gelukt. Ik vraag me af wat ik verkeerd doe
http://s18.postimage.org/4wuxh5ttl/irc.png << plaatje
mvg
19-02-2013, 14:20 door
S.lenders
Voor de nostalgie en voor de mensen die niet genoeg geduld hebben voor een forum heeft Certified Secure een IRC server up and running. De server is bereikbaar op hacking.certifiedsecure.com, port 9999. De server ondersteunt *alleen* SSL verbindingen, dus daar moet je even goed op letten.
Source: http://wiki.barafranca.com/index.php/IRC/HOWTO:Connect_using_SSL
Source: http://wiki.barafranca.com/index.php/IRC/HOWTO:Connect_using_SSL
Using SSL with mIRC
The latest versions of mIRC all support secure server connections via SSL using the OpenSSL library. To use the OpenSSL library with mIRC you will need to download the library and place it in the mIRC folder or in the Windows System folder. You can then run mIRC and the OpenSSL library will be used automatically.
Where can I download the OpenSSL library?
An installer for OpenSSL 0.9.8o can be found here: openssl-0.9.8o-setup.exe. This version of the OpenSSL library was created using a default compilation of the OpenSSL source files from the OpenSSL website and as such may or may not be suitable for your particular needs. If you have the technical skills to compile your own, please feel free to do so.
Where do I install OpenSSL?
You will need to place the files either in the mIRC folder (typically C:\Program Files\mIRC) or in the Windows System folder (typically C:\Windows\System32).
What do I do next?
You can now run mIRC as usual and it should find and use the OpenSSL library automatically. To confirm whether mIRC has loaded the OpenSSL library, you can open the Options dialog and look in the Connect/Options section to see if the "SSL" button is enabled. You can also check the $sslready identifier to determine whether mIRC has loaded the OpenSSL library successfully. To initiate a secure connection to the Omerta IRC server, you can use the /server -e-command, or prefix the port number with a plus sign:
/server -e irc.barafranca.com 6679
/server irc.barafranca.com +6679
The latest versions of mIRC all support secure server connections via SSL using the OpenSSL library. To use the OpenSSL library with mIRC you will need to download the library and place it in the mIRC folder or in the Windows System folder. You can then run mIRC and the OpenSSL library will be used automatically.
Where can I download the OpenSSL library?
An installer for OpenSSL 0.9.8o can be found here: openssl-0.9.8o-setup.exe. This version of the OpenSSL library was created using a default compilation of the OpenSSL source files from the OpenSSL website and as such may or may not be suitable for your particular needs. If you have the technical skills to compile your own, please feel free to do so.
Where do I install OpenSSL?
You will need to place the files either in the mIRC folder (typically C:\Program Files\mIRC) or in the Windows System folder (typically C:\Windows\System32).
What do I do next?
You can now run mIRC as usual and it should find and use the OpenSSL library automatically. To confirm whether mIRC has loaded the OpenSSL library, you can open the Options dialog and look in the Connect/Options section to see if the "SSL" button is enabled. You can also check the $sslready identifier to determine whether mIRC has loaded the OpenSSL library successfully. To initiate a secure connection to the Omerta IRC server, you can use the /server -e-command, or prefix the port number with a plus sign:
/server -e irc.barafranca.com 6679
/server irc.barafranca.com +6679
19-02-2013, 17:12 door
fire24
Ik heb de OpenSSL library gewoon geinstalleerd zoals het hierboven is aangegeven. Het lukt me nog steeds niet om naar de IRC server te gaan
19-02-2013, 18:13 door
MisterX
ik heb al meermaals vermeld hier op het forum hoe het via mibbit.com kan.. daar moet je niks voor installeren..
zie 02-08-2012, 08:48 https://www.security.nl/artikel/37946/1/IRC_Server.html
zie 02-08-2012, 08:48 https://www.security.nl/artikel/37946/1/IRC_Server.html
20-02-2013, 07:57 door
fire24
@MisterX,
hartelijk bedankt voor deze tip, nu kan ik wel bij de IRC Server!
mvg
hartelijk bedankt voor deze tip, nu kan ik wel bij de IRC Server!
mvg
20-02-2013, 08:44 door
S.lenders
Door fire24: Ik heb de OpenSSL library gewoon geinstalleerd zoals het hierboven is aangegeven. Het lukt me nog steeds niet om naar de IRC server te gaan
Om SSL te gebruiken in MIRC moet je bij de poort een + gebruiken
dus +9999 als poort
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.