Certified Secure Challenges - Over challenges en dergelijke

iDB deel 3

08-11-2014, 16:55 door stefanb88, 2 reacties
hallo,

op dit moment bezig met de iDB challenge. zit eigenlijk al de hele middag met het zelfde probleem en kom echt geen steek verder. dit is wat ik heb gedaan..
stap 1: vind de medewerkersbrief is gelukt.
deze gelezen en zodoende op de volgende plek terecht gekomen
stap 2: vind de verborgen admin interface is ook gelukt.
toen ik bij de geheime map kwam kreeg ik de melding dat ik als het goed is het gebruikersnaam en wachtwoord al had gevonden, zo niet moet ik misschien een stapje terug...... daar snap ik dus helemaal niks van. wel 67% van de challenge complete

het probleem is dus dat ik nu moet gaan inloggen met een gebruikersnaam en wachtwoord die ik al gevonden zou moeten hebben (niet zijnde de inlognaam en wachtwoord uit het txt bestand.)

als ik probeer iets met SQL injectie te doen krijg ik geen foutmeldingen waar ik verder op kan borduren.
als ik inlog met het account in het txt bestand dan kan ik ook geen injectie doen.

ik heb echt geen enkel idee meer waar ik nu moet zoeken. zit me al uren blind te staren op deze fout en kom gewoon echt niet verder op dit moment.

kan iemand mij even terugzetten naar het punt dat ik iets over het hoofd zie? of een goede tip waar ik nu verder moet gaan zoeken?

alvast bedankt
Reacties (2)
08-11-2014, 17:28 door stefanb88 - Bijgewerkt: 09-11-2014, 11:20
zit nu ingelogd met die account in het tekst bestand.
probeer nu op allerlei manieren sql injecties toe te passen met behulp van de cheatsheet.
krijg nu foutmeldingen dat er geen kolom "username" is.
als ik dan username in 1 verander dan zegt hij dat de tabel niet uit het opgegeven aantal kolommen bestaat.
dan kan ik steeds een getal toevoegen of verwijderen tot ik die melding niet krijg.
ik ga er dan van uit dat ik het juiste aantal heb maar het probleem is dat ik dan gewoon een blanco scherm krijg weer... dus feitelijk schiet ik hier ook niks mee op..
zit ik überhaupt warm? of ben ik bezig met een kansloze missie?

een zetje in de goede richting zou zeer gewenst zijn.

bedankt

// Vandaag weer uren bezig geweest, zelfde verhaal.. ik zit gewoon met het demo account ingelogd, probeer met allerlei SQL injectie commando's informatie te krijgen maar telkens als ik denk dat ik goed zit krijg ik weer een normaal scherm zonder foutmeldingen maar ook zonder informatie.
ik snap er echt helemaal niks van.
forum al helemaal doorgespit maar niets dat mij kan helpen, of ik begrijp het gewoon niet, dat kan ook nog.
kan iemand me aub een zetje in de goede richting geven want ik kom echt geen steek verder.
op dit moment begin ik steeds meer te twijfelen of ik uberhaubt in de goed richting zit in plaats van dat ik wat leer..
09-11-2014, 10:05 door Anoniem
Je gaat hier echt geen antwoord krijgen en volgens mij lukt het best aardig dus als je er echt niet meer uitkomt kan je altijd nog naar het IRC channel gaan.
https://www.security.nl/posting/33015/IRC+Server
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.