Desafío #6 - Viernes Negro

  • 12 Respuestas
  • 7749 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5702
  • Actividad:
    100%
  • Country: ar
  • Reputación 37
  • ANTRAX
  • Skype: underc0de.org
  • Twitter: @Underc0de
    • Ver Perfil
    • Underc0de
    • Email

Desafío #6 - Viernes Negro

  • en: Febrero 17, 2017, 04:52:04 pm

Hola a todos!
Nuevamente traemos un nuevo desafío de nuestros viernes negros!
El reto trata sobre SQLi. Para poderlo jugar deben entrar a la siguiente IP

You are not allowed to view links. Register or Login

Si no les va, pueden utilizar este enlace: You are not allowed to view links. Register or Login

user: underc0de
pass: underc0de


Al que jugaremos esta semana, será el nivel básico, para configurarlo, deben seguir los siguientes pasos:

Paso 1:

Paso 2:

Deberán inyectar y obtener las credenciales.
El ganador será el primero en enviarme las credenciales del administrador y la inyección que utilizó para obtenerlas.

La inyección debe ser manual y no generada mediante SQLMAP.

Ganador del reto: @You are not allowed to view links. Register or Login

Ranking:

1.- ikher1024
2.- The Smiley Man
3.- Epsilon
4.- xyz

Hubieron muchos que enviaron la típica inyección: ' or ''=' Pero el reto se trataba mucho mas que eso. La idea era hacer la inyección por GET (en la URL) obtener las credenciales del admin y romper el MD5 con la password.

Felicitaciones a los ganadores!

Agradecimientos por el reto: @You are not allowed to view links. Register or Login

Saludos!
ANTRAX
« Última modificación: Febrero 18, 2017, 11:02:41 am por ANTRAX »


Desconectado omartinex

  • *
  • Underc0der
  • Mensajes: 0
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Desafío #6 - Viernes Negro

  • en: Febrero 17, 2017, 05:25:04 pm
Hola,

El reto lo resolví de la siguiente forma:

'or'1=1

Saludos

Desconectado DUDA

  • *
  • Underc0der
  • Mensajes: 338
  • Actividad:
    6.67%
  • Reputación 1
  • Hago pocas cosas, pero las hago bien.
    • Ver Perfil

Re:Desafío #6 - Viernes Negro

  • en: Febrero 17, 2017, 05:43:16 pm
Porfa expliquen cómo lo hicieron, serviria para mi knowledge.

Gracias,
!Duda

Desconectado kawaxi

  • *
  • Underc0der
  • Mensajes: 97
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Desafío #6 - Viernes Negro

  • en: Febrero 17, 2017, 06:20:38 pm
yo agoté mis recursos tratando de enumerar tablas y tratando con miles de consultas, nunca me imagine que un simple logging bypass iba a solucionar el reto.....

Felicidades!


You are not allowed to view links. Register or Login
Hola,

El reto lo resolví de la siguiente forma:

'or'1=1

Saludos

Desconectado [email protected]

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Desafío #6 - Viernes Negro

  • en: Febrero 17, 2017, 06:38:08 pm
Asi es, una inyeccion SQL sencila:    ID: 'or'1=1

Credenciales

First name: admin
Surname: admin

Desconectado cerridwen

  • *
  • Underc0der
  • Mensajes: 10
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Desafío #6 - Viernes Negro

  • en: Febrero 17, 2017, 06:58:25 pm
Buenas, yo solo quiero destacar aunque sea inutilmente ya que no aporta mucha informacion, que ademas de la solucion propuesta por omartinex con el bypass de 'or' 1=1. Tambien existe la posibilidad de hacerlo con 'xor' 1=1.
Un saludo

Desconectado amnesi4

  • *
  • Underc0der
  • Mensajes: 0
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Desafío #6 - Viernes Negro

  • en: Febrero 17, 2017, 07:21:16 pm
We me arruinaron la prueba con el spoiler... Bloqueen los comentarios la proxima, vayan dando pistas y y publiquen el resultado unos dias despues junto a los primeros que la resolvieron.

Desconectado rollth

  • *
  • Ex-Staff
  • *****
  • Mensajes: 876
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
  • Twitter: @RoloMijan
    • Ver Perfil
    • Whateversec
    • Email

Re:Desafío #6 - Viernes Negro

  • en: Febrero 17, 2017, 10:15:22 pm
Buenas, el payload de ' or 1=1 no es válido ya que lo que muestra es el nombre y apellido del usuario, no las credenciales como se pide.
Además no está permitido comentar por aquí como se resolvió.

Saludos.

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Desconectado The Smiley Man

  • *
  • Underc0der
  • Mensajes: 8
  • Actividad:
    0%
  • Reputación 3
    • Ver Perfil
    • Email

Re:Desafío #6 - Viernes Negro

  • en: Febrero 17, 2017, 11:18:04 pm
No induzcan a error a los demas porfavor. Y las respuestas se mandan por mp no se publican -.-

Desconectado xyz

  • *
  • Ex-Staff
  • *****
  • Mensajes: 533
  • Actividad:
    0%
  • Reputación 13
    • Ver Perfil
    • Under0cde

Re:Desafío #6 - Viernes Negro

  • en: Febrero 18, 2017, 12:52:40 am
Ponganse las pilas que es entretenido el wargame !!

Desconectado cerridwen

  • *
  • Underc0der
  • Mensajes: 10
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Desafío #6 - Viernes Negro

  • en: Febrero 18, 2017, 09:17:44 am
Yo simplemente e añadido el detalle respecto lo que ha dicho el compañero, pero a todo aquel que le haya molestado lo siento mucho

Desconectado omartinex

  • *
  • Underc0der
  • Mensajes: 0
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Desafío #6 - Viernes Negro

  • en: Febrero 18, 2017, 12:05:09 pm
También lo siento mucho por haber hecho el spoiler, lo tendré en cuenta para una próxima ocasión.

Saludos a todos

Desconectado EPSILON

  • *
  • Ex-Staff
  • *****
  • Mensajes: 363
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • [email protected]
  • Skype: epsilon.root1
    • Ver Perfil

Re:Desafío #6 - Viernes Negro

  • en: Febrero 18, 2017, 12:59:49 pm
Chicos esta bien que era un iSQL básica pero no tanto como para lo que mandaron xD, había que seguir algunos pasos típicos en este tipo de bugs, ademas de no postear nada relacionado con la solución de la misma, es todo vía MP. Por favor.

En hora buena por ikher1024!

Saludos!, EPSILON
« Última modificación: Febrero 18, 2017, 01:21:20 pm por EPSILON »

 

Viernes Negros - Puntajes y Ganadores

Iniciado por xyz

Respuestas: 1
Vistas: 3819
Último mensaje Enero 06, 2018, 08:12:59 pm
por xyz
Desafío #2 - Viernes Negros de Usuarios

Iniciado por xyz

Respuestas: 3
Vistas: 4784
Último mensaje Diciembre 01, 2017, 09:03:16 am
por rollth
Desafío #1 - Viernes Negros de Usuarios

Iniciado por xyz

Respuestas: 17
Vistas: 9141
Último mensaje Diciembre 06, 2017, 10:57:19 pm
por Andrey
Desafío #1 - Viernes Negro

Iniciado por ANTRAX

Respuestas: 6
Vistas: 4764
Último mensaje Enero 13, 2017, 10:35:57 pm
por ANTRAX
Desafío #7 - Viernes Negro

Iniciado por ANTRAX

Respuestas: 12
Vistas: 7757
Último mensaje Junio 09, 2017, 01:13:50 pm
por Flamer