tak zas ma ktosi hackol. budu asi ozaj namakani, ked sa im podarilo prelomit moju neprelomitelnu stranku. vsak posudite sami. budem vam velmi vdacny, keby ste mi stranku nejakym sposobom obnovili spat. ja uz som total mimo a to som nejaky hacker. takze mozte zacat: 5
p.s.: ako vzdy aj teraz mame hall of fame: HOF a pre tych co nasli dieru mame HOF found vulnerability kto to vyriesi, ma moj respect.
pre tych co zakysli a nevedia kde je sever, urobil som hint subor. vzdy tu budem pridavat nove hinty, podla toho ako to bude situacia vyzadovat. jednotlive hinty su odstrankovane. hint
Igor pocuj presiel som to, zadal som nick pre sien slavy, ale nefunguje ti sien slavy P.S: Jaj, treba dat reload
P.S.2. No ale peknu hadanku si vymyslel, klobuk dole
aj si nieco kodil? ci sa mam s tym trapit alebo to zvladnem aj bez kodenia.
Na to je v tomto pripade tazko odpovedat. Ak myslis ze ci som vytvaral nejaky subor *.php (alebo nejaky iny subor so scriptom), tak odpoved je nie. Nejake zakladne znalosti urcite mas, ja tiez nie som expert na skripty, ale je to dost hardcore. Ja som mal trochu vyhodu lebo niektore veci poznam z HTS stranky. P.S. ked mam pravdu povedat nie je mi uplne jasne preco to zareagovalo tak ako to zareagovalo prave na to, co som zrovna vtedy skusal (uz som si len chcel trochu robit srandu, kedze ma uz nic nenapadalo ), ma to sice trochu logiku, ale mozno som nepochopil uplne presne ze ako to bolo myslene, dozviem sa mozno neskor ze ako to bolo presne myslene.
nic si nekodil? takze predpokladam ze si pouzil uz urobene veci. btw., co nechapes? idem na icq a mozem ti to vysvetlit. ps.: congrats and respect!
No, napisanie jedneho riadku nepovazujem za kodenie Mozno som tam nasiel chybu ktoru si tam nechcel mat, lebo inac si to neviem logicky vysvetlit. O chvilu budem na ICQ...
no tak to tam mam asi chybu, lebo jeden riadok urcite nestaci. ovsem pokial nema > ako 1000 znakov.
Mě děsíš, 1000 znaků . Zatím ať píšu co píšu, skončím buď na 404 nebo na idiotovi . Ale zatím to nevzdávám, i když se blíží DPH a začnu účtovat jak barevnej...
Prejdi si poriadne celu diskusiu, ze po ktorej igorovej odpovedi ma trklo ze ako obist tu prvu obrazovku, to jeho upozornenie (ci som si uz pozrel zdrojaky ) je dobry hint, nech ta to uz nepresmerovava tolko
Inac po diskusii s Igorom, je tam teda aj chybka ktoru som zneuzil, mozno bude opravena ak bude mat Igor cas, oficialne treba scriptit trochu viac, preto pisal o tych 1000 znakoch Ale nie je to tragicke to co treba scriptit sa vyskytuje hotove aj na internete...
Princip i simulovanou skulinu jsem (možná ) pochopil, jen se mi nedaří ta PHPka k něčemu donutit . A jak koukám, co Igor změnil, tak jsem skutečně na správné cestě (haha, mám uloženo, co tam bylo dřív ).
tak ako sa dari?
Dělám DPH, teď na to bohužel nemám čas .
2 msx: PHP pochopitelně nemám, ale vidím změnu v HTML (který mám pečlivě uložen) a z toho usuzuji, co asi Igor změnil v PHP a proč.
aby to bolo ferove, tak som odstranil MM.. z hall of fame a presunul som ho do HOF found vulnerability, kde budu vsetci, ktori najdu dieru. mal som tam 2 chyby: 1., vypisoval som do vysledku warningy(alebo skor nastavenie php od providera, ale mal som na to mysliet) a druhu tzv. brutalnu, ktora sa casto stava, ze miesto if($bIsOk == true) som mal if($bIsOk = true), vsak to poznate ked nieco robite narychlo a nestihnete otestovat. vsetko je fixnute a vsetci ste na tej istej startovacej ciare. vsetko je napisane aj tu: http://pc.poradna.net/question/view/66560-hadanka-c -5-obnov-stranku
Ta posledna linka vedie na tuto istu diskusiu, to som nepochopil Kvoli mne si HOFFV zakladat nemusel, mne je to fuk ci som v nejakej Hall... Momentalne skumam novy permanent programming level (level5) na HTS, celkom zaujimave, mam pocit ze som to uz odcorruptoval ale furt to dekompresuje nezmysly, sakra //edit: tak PermProg5 hotovo http://www.hackthissite.org/user/rankings/type/perm programming/5/
HOFFV som nezalozil kvoli tebe, ale kvoli tomu, ze dalsie hadanky budu uz komplexnejsie a toto nebude ojedinely pripad, takze nova kategoria sa hodi. inac pozrel som si novu pp5 a myslim, ze hned som pochopil co treba robit. ked html napisal windows ftp klient, tak vieme ze ftp prenasa suboru v 2 modoch ... ked bude cas, tak to poriesim.
Ano to je hned vidno ked si to clovek pozrie v hex, za v akom mode to bolo prenasane, ale nie je to az take easy je v tom maly "hacik", a nikde na google nie je napisane co presne meni ftp server a ako presne to meni (teda ono to na gogle je, ale na kazdej stranke popisane inac a jeden detail som popisany ani nikde nenasiel ). Ale skusanim a skumanim na to clovek pride...
no predpokladam, ze ak to je posielane v textovom mode, tak tam este moze ist o bloky(tip) a ukoncovanie "\n", cize ak sa nemylim, tak ta hadanka sa mi zda celkom easy. ale nestudoval som to este, cize hovorim len tak od brucha.
No, kazda stranka co pojednava o FTP pise nieco ine, vsetci sa zhoduju v konverzii lf na crlf (ak to bol unix server), ale nikde nikto nepise k tomu jeden dolezity detail (on ten detail je asi zavisly od konkretneho servera, ze ako je server naprogramovany), nechcem davat hinty Nestaci len tak zmenit vsetky crlf za lf No a kopa stranok pise ze ascii mod je len 7bitovy, alebo ze konvertuje aj EOF, apod. ale to si clovek vie pozriet relativne rychlo ze ci to bolo aj v nasom pripade alebo nie, ak mam pravdu povedat tak pri tomto leveli mi informacie co nasiel google moc nepomohli Nie je to sice ziadne hardcore ale nejaky den mi to zabralo Da sa na to prist ale aj hodne rychlejsie, ak sa clovek nenecha zmiast googlom..
Tohle taky souvisi s nastavenim klienta - rezimu prenosu. Pri textovem rezimu (Type A) FTP server zasahuje do prenasenych veci a meni konce stranek - napr. z CRLF udela LFLF a pak se ti zdvoji radkovani. Pri binarnim rezimu (TYPE I) k zadnym podobnym zverstvum nedochazi
Ale to je jasne, ved o tom sa cely cas bavim, ale napr. co urobi unix server, ak je text prenos ale original subor obashuje nahodou kombinaciu CRLF? To som na google aspon ja nenasiel, a ked treba rekonstruovat takto poskodeny subor (to bola uloha) tak je dost dolezite vediet ze co s tym server porobil
to je pravda, ze vlastne v samotnom originalnom subore mozu byt aj znaky crlf. potom vlasne neostava nic ine, len pouzit kombinatoriku a generovat rozne kobinacie aj s crlf pokial nedostanes korektny vysledok. mozno by bolo najlespie zistit, ako to vlasne bzip2 komprimuje a na zaklade akych sekvencii zapise znak crlf do originalu, alebo reversovat podla checksum.
To sa neda, jedine bruteforce. inac u mna to cez bruteforce ide za 2sekundy (limit bol 10minut) Az html odomna pytala zdrojaky
myslim ze netreba bruteforce, ale to je len tip. myslim ze sa to da tak, ze citas pomocou bzlip knizne napr. po 4bytoch a checkujes errno, ak je ok, tak ides dalej, ak nie tak prepises crlf na lf. ale nestudoval som to moc, pri detoch ti uz moc casu neostava.
To tak nejde, uz z principu zip kompresie akykolvek byte v subore ti zmeni komplet cely subor, a moze to dojst az do konca dat bez erroru ale bude tam crc error. Ak robis bruteforce tak bzip vyleti v momente ked ma parsing error, necita zbytocne data dokonca, ale musis zacat s dekompresiou od zaciatku s inou kombinaciou. Zdrojaky bzip som studoval a krokoval aspon 3hodiny Inac tip: bzip kniznica ma pekne fcie, napr dekompresia dat z buffra v RAM...
no uvidim. kombinatoriku pouzijem ako posledne riesenie. s tym errnom sa skusim pohrat.
teoreticky sa to da mierne zrychlit tak ako pises (ak na niektorom mieste s CR je error uz v polovici ale CRLF dojde az do konca tak na tom mieste asi by malo byt CRLF, ale IMHO nemusi to byt naisto (zip-typ kompresie je fakt sialenost), a kombinatorika tam musi byt vzdy.
Igor mam pocit ze to nejak nefunguje teraz, alebo sa musi cakat? Logni sa na ICQ... //edit: OK tak som otestoval prejdenie korektnou cestou (vid HOF), takze da sa to prejst aj teraz (po opraveni chyby)... P.S. to Igor: inac v reali tam nemusi byt href, ale ty ho testujes , takze vsetcia ktori vedia o co ide tak toto bol hint (posledny odo mna)
no, ja sa pamatam, ze v starsej verzii Mozilly to bez href neslo, preto som ho tam vyzadoval. ale ok, mozem urobit verziu aj bez href.
ok, tak som urobil verziu, ze href je uz nepovinne.
ok, ak si uz neviete rady, pridal som novy subor s hintami - http://pc.poradna.net/question/view/66560-hadanka-c -5-obnov-stranku . pretoze nechcem pisat hinty tu, aby ti, co to nechcu vediet to nahodou nevideli, tak som to dal do jedneho suboru a jednotlive hinty su odstrankovane. kto chce si pozrie, kto nechce si nepozrie. pridal som rovno 2, aby aj fleg sa pohol dalej.
tym hintom si mi nepomohol pretoze touto cestou som siel uz davno. ono to bilo do oci naco si tam dal tu funkciu takze mi to bolo podozrive hned od zaciatku. zdrzal som sa na js injection editovanim cookies a formularov (v tomto som videl cestu). a potom som uz nemal cas. zmene ref som sa neveneoval lebo som viacej nestihol
ale hint 2 by ti uz mohol pomoct.
ved ja hovorim prave o dvojke. to zvyraznovanie bezpecnosti a to logovanie pristupov mi bolo hned podozrive. ale na radu mmka som sa pustil znovu do hts a skysol som este v basic missions a navyse uz zase nemam cas na to;o). ale pozriem sa na ten monitoring videl som tam v logoch nejake odkazy co poukazovali na zmenu ref to ma snad posunie dalej.
HTS je na dlho ak tam chces vsetko prechadzat. Skor som mal na mysli clanky (klik vlavo na "articles") ale tych je tam tiez vela, no ale ak si das vahladavat spravne slovo... BTW. referer a useragent su 2 velmi rozne veci Ok, dost hintov
to viem len netusim ako znezuit akukolvek z nich ref. este hej snad
Ked nevies tak si urcite slovo das do vyhladavania, tych slov som v prispevku nespomenul vela P.S. aha sorry, kukam ze to tam na to slovo nenajde ziaden clanok, tak to je blbe (to slovo v clanku urcite je ) Tak nic, pride dlasi hint od Igora, nechcem davat hinty aby som nepreskocil Igorove poradie hintov
Hint č. 1 mi pomôže tak akurát do... Nechápem.
...to hej, aj mne...moc tam toho nie je(coho by sa priemerny clovek mohol chytit), ale ked sa tam pozres, tak tam vidis javascript, takze ma napada-co tak pouzit javascript injection? ja JS neviem ,takze si pockam co bude dalsi hint.
skuste si vsetci tie zdrojaky v help.html pozriet poriadne.
scroll down.
pacholku!
vsak som vam hovoril, ze treba byt pozorny.
Cisty FF 1.5.0.7 2,47s
PS: Toto patri do jineho threadu...
PS2:Kua, to je tou HTS! Hledal jsem tam neco na tuhle hadanku a zalibila se mi PP1, tak jsem ji zacal kodovat, ale dneska uz to asi nedodelam, uz na to skoro nevidim...
Vidim ze Igor nepridava hinty, a kazdy je bezradny, tak nieco pridam: Ak je niekde prihlasenie cez meno, heslo pre admina, a su tam aj nejake sessions, tak sa adminovi zvycajne v PC vytvori nieco velmi chutne A ked si potom admin ide prezerat logovanie v .html tvare prehliadacom, tak mu predsa chutnu vec nenechame, takze mu ju ... (zadat tie dve slova do google (najlepsie anglicky) a trochu hladat). P.S. aby som vam trochu pri tom googlovani pomohol - nemam na mysli ziaden bug prehliadaca, ptz. nevieme aky prehliadac pouziva admin...
Asi to vzdavam.
Sel jsem na HTS, precetl si snad vsechny clanky co by mohly mit s timhle neco spolecneho a furt mi asi nejak nedochazi, co se po me chce...
Utechou mi muze byt, ze jsem v mezicase vyresil PP1 a PP2 na HTS.
Skus porozmyslat o com hovorim, a co je to "chutne" co sa vytvara adminovi v PC ked sa prihlasi. Az to slovo vies, zadaj si ho na HTS - Articles do vyhladavania. Uz vacsi hint sa dat asi neda Len pozor tie clanky na HTS pisu citatelia HTS, su tam aj chyby (mozno niektore aj zamerne).
myslim ze si im moc nepomohol. kto cs poznal uz predtym tak ho to napadlo kto cs nepozna aj tak nevie ako funguje a bude mu to naprd. dokonca kludne mozes z hts uverejnit aj calnok resp ksript venovany csa vysledok bude taky isty. dufam ze na dalsi tyzden uz budem mat cas a pozriem sa na to aj ja a budem v hof spolu s tebou;o)
Ja tusim asi co je to chutne a asi i co s tim delat, ale nevim jak na to pouzit ten skript z HTS. Pokud teda vubec delam to, co se delat ma...
Jeste jedna vec by mi pomohla: Potrebuju na to nejaky svuj webhosting? Protoze mam pocit, ze jo..
Pokud je v tom článku "Be creative!", tak jsme asi na stejném místě... Pokud ne, tak jsem někde úplně v p*.
edit: Už mě vyhazujou od počítače... kouknu na to po víkendu.
Ano, jsme na stejnem miste...
Tych clankov je tam viac, v jednom mas napisanu hned v 3riadku aj odpoved na svoju otazku Treba to citat pozorne... P.S. ako som uz pisal pozor su v tych clankoch chyby ale nie je problem si vygooglit ako ma vyzerat spravne prikaz apod.
PS: No, vlastne i kdyby jo, vubec netusim co s tim dal.
No hej ale skus si aj script z nejakeho html, ci ho mas spravne, a kukaj sa na Igorovu hacknutu stranku ze co tam vsetko je ... .. a citaj aj diskusiu co som pisal pred par dnami vyssie...
souvisi to s monitoringem, zejo?
//edit: beru zpet, to je prece kravina...
kto si pozera ten monitoring? Co sa do neho uklada? Ako to zmenit? ... Vela otazok, odpovede nepoviem
ja by som aj hinty pridal, ale len nedavno ludia presli cez prvu prekazku a este nikomu nedoslo(pozrel som si logy), co som chcel povedat druhym hintom.
Ako si niekto môže pozerať výpisy admina, keď využije chybu a to neznamená, že sa prihlási ako admin?
pozeram normalny monitoring log, ktory si mozu pozriet vsetci.
Muj pokus bez uspechu do pr****, zkusim zitra jinou taktiku.
Měl bych jinou hádanku : Jmenuj název filmu, jehož režisér by nebyl spoluautorem scénáře, narazil jsem asi tak na tři filmy
Viete čo, vykašlite sa na to. Igor si mal dávať väčší pozor a nie dopustiť toto. Teraz mu to všetci opravujete a on si sedí celý čas na zadku!
no co je ludkovia, nejako ste zaseknuti? najprv ste vykrikovali kde je hadanka a teraz okrem MM.. to este nikto nepresiel a nie su ani naznaky. mozem vam len povedat, ze cas hadaniek typu "hello world" skoncil. bud hadanky budu mat uroven, alebo nebudu ziadne.
Ale jo furt už chystej další, do roka a do dne tu tvoji amatérskou stránku opravím
dalsia uz je vymyslena, caka len na teba.
Jak už jsem psal v tomto vlákně výše. Chtělo by to nějaký článeček o vůbec základních principech hackování. Kdo se tím nezabývá, párkrát něco zkusí a už ho to ani nebaví. Na HTS zase třeba ani nechodí (třeba já), jelikož je to v angličtině. Takto je hádanka pro pár lidí.
taky se tesim na rozuzleni, moc moc moc!! ale ted sem zda se na neco malo prisel, ale myslim, ze to bude kravina, no aspon neco...
no si celkom na dobrej ceste, uz to len vylepsit.
keby tomu predchadzal clanok, tak ta hadanka by bola o nicom. na hadanke je najlepsie to, ze ta nuti hladat a casto aj najst take veci, ktore sa sice k hadanke vobec nehodia ale casto sa v buducnosti hodia na ine veci. zatial budem davat len hinty a ked sa najde dostatocny pocet ludi ktori ju vyriesia(ak sa ovsem najde, aj nie tak az po nejakej dobe), napisem kompletny popis, kde sa dotycny dopustil chyby a coho sa vyvarovat. teraz to je hlavne o samostudiu, aj ked uz nejake hinty som napisal, ktore ciastocne urcuju cestu.
keby tomu predchadzal clanok, tak ta hadanka by bola o nicom.
Neměl jsem na mysli tuto konkrétní hádanku, ale všeobecně. Křížovku také nebudeš luštit, když nevíš princip křížovky. A pak je na ní krásné to, o čem píšeš, že třeba nevíš výraz "smečka vlků na 2" a hledáš, pátráš, přičemž se i naučíš něco jiného. Ale víš, co vůbec dělat, jestli do křížovky psát písmenka, nebo vybarvovat kostičky pastelkou, aby vznikl nějaký obrazec. Třeba obrázek ovčáckého psa, jelikož tajenka je "ovčácký pes".
u hackovani je to ale asi malinko jinak - ja hackovat neumim - vubec, ale umim trochu php, html i javascript, znam i ty "sladkosti" a to mi dost pomohlo, vlastne bych jinak vubec nevedel wocogou. takze v hackovani to asi nebude o zakladech, ale o konkretnich prikladech - na rozuzleni tohodle se mooc tesim...
tak som vam to trochu ulahcil, pokial budete ohladne hintu 2 na dobrej ceste, oznami vam to javascript hlaska. dufam, ze to nebude otravne.
pridal som este jednu hlasku, pretoze angel333 ma uz celkom predstavu aj ked nepresiel parserom, tak nech o tom vie a tak isto aj ostatni.
uz jsem prosel parserem, doufam
aaaaaaaaaaa, ja se z toho zcvoknu, stejna chyba jakos mel ty
= -> ==
nojo to se stava
naco potrebujes == ?
mozno v jeho scripte na strane servera.
ve skriptu ne? stejne sem asi na blbi ceste.. nechapu to, to mam napadnout IgoraK?
edit:// jinak to rovnitko tam bylo jen kvuli pohodlnosti - dopsal sem totiz do skriptu, aby to na me nereagovalo
mna napadat nemusis a pomocou tohto <toto_uz_poznas>tu_nieco_doplnis</toto_uz_poznas> moj web ani fyzicky nenapadnut nemozes.
jo to jo, tak te alespon okradu, aspon MM.. rikal ze ti to mame slohnout
ano, slohnutie ja rad.
sorry, ze te tak otravuju, ale nemohl bys este jednou? ten skript, stale zlobi...
nechyba ti len nahodou href, ako to tu uz MM.. spominal. ok, idem tak ci tak ten href vyhodit, lebo vo vsetkycj novych prehliadacoch nie je potrebny. p.s.: este jedna vec, ked si nieco niekde posles, tak si to tam aj musis spracovat.
mam tam replace...
replace tam netreba
takze tam neni nic (jenom si nejsem jistej, jestli mluvime o stejnym href ) - neni tam ani replace ani href a ja dal ciham...
nemusis cihat, ak to mas dobre napisane, pride ti to tam kde chces aby ti to prislo okamzite.
tak ted jsi me uplne... ted to uz vubec nechapu
mozno ze to chapes, ale som ta asi len zmiatol. chcel som len povedat, ze sposobom akym si to robil nemusis cakat ako v reale ze sa admin prihlasi, kdesi klikne a vtedy sa to posle, ale v nasom pripade sa to posle okamzite. "admin je stale prihlaseny a vsetko sleduje".
hmm, nojo, uz neco mam, ale vubec nechapu jakto , prece se to nemuze jen tak odeslat.. nebo ten monitoring sledujes treba kazdych 5 sekund a opravdu reloadujes tu stranku?
aha tak to je PHPSESSID ode me tak nic no, vzdavam to...
Ja neviem ale mam pocit ze rozmyslate nejak moc komplikovane. nejde o phpsessid. Nasli ste aj clanok na HTS o tom kde je to uz napisane tak ze to uz detailnejsie napisat nejde, tak uz nechapem aky hint este dat. Aha uz viem, posledny hint: ten clanok na HTS citat pozorne a snazit sa pochopit co tam je napisane a ako to ma fungovat
nechapu jedno - IgorK rikal, ze se mi to posle hned - to nechapu (???), noa potom se mi ted zas nedari prolist parserem, jednou to proste slo - mel jsem tam ext-js, to byla parada, ale uz to nejde, nechapu proc, takze se ted pokousim osulit parser, to by se snad ale nak melo podat ...
//edit:btw: co pouziva IgorK za browser
To ti je jedno co pouziva za browser. Ved tam mas strcit len jeden riadok. P.S. znova zopakujem never slepo HTS, ale precitaj si tam len ako to ma v principe fungovat a syntax skriptu si napis sam, na HTS je v tom chyba.
posle sa to preto hned, lebo ked pouzijes korektny u..r....t , tak na stranku kde to ma prist to posle script, ktory vlastne volas ty.
ahaa, takze ten tvuj skript jenom ceka na muj spravnej u..r....t a kdyz ho tam dam, tak on mi to uz posle, je to tak?
ano, robi to prave monitoring.php
inac staci do google napisat: "toto_hladam example" a hned na prvej stranke najdes to, co sa tu da pouzit.
IgoreK, moc jsi neporadil:
Your search - "toto_hladam example" - did not match any documents.
Ano, bohuzial google je uplne blby, kedze nevie ze co to vlastne hladas
pockej den nebo dva...
No, to je tiez sposob hackovania, pockas si na Igora, napadnes ho, najlepsie s revolverom, a on ti potom povie heslo Nie len som nechapal kde potrebujes ==, ak si tam testujes nieco tak OK, nie je to ale nutne, tak som sa opytal.
by si sa cudoval, ale hacking s revolverom je ozaj najucinnejsi. je to vyssi level od social engineering.
... a potom ho okradu, ahaaaa.....
pridal som dalsi hint, lameri.
to je za hint....ved o tomto sa tu uz hovori niekolko postou vyssie
ok, tak ho trochu vylepsim.
tak teraz sa pozri.
OK, tak to uz asi mozno dakomu pomoze-ved to znie tak zlozito :D
jestli myslis freakwolfe..., tak ja to mam v googlu az druhy..
jinak me by pomohl spis nakej hint pro ten parser - je strasnej... zkousel jsem snad vsechno mozny, jak do toho narvat ten u...s....t, ale... nejde to!
//edit: blbe jsem to precet, pises, ze v googlu na prvni strance, ja myslel prvni...
ved ten us......t musis zmenit predsa u teba, aby sa ked si admin pozre log, nieco spustilo. Zavisi aky mas prehliadac, ak mas firefox tak je to uplne easy, zadas si do google u.......t change firefox. Ak uz vies zmenit u.......t, tak si pozri clanok na HTS, najdi si googlom ako ma ten JS prikaz vyzerat syntakticky spravne, a mas to, nechapem v com mas problem.
tak tak. ja mam problem ze ff nemam a ani si ho instalovat nebudem cize faknut user agenta viem len obmedzene (opera9.01). jediny sposob ako dostat sender skript na stranu igorka je poslat spravnu syntax v ua. strana prijimatela je myslim jasna kazdemu kto trosku ovlada php. budem musiet pouzit bud externe proxy alebo najst nieco pod moju operu (na tom som zlyhal vcera vecer a na viac som zatial nemal cas)
Drbni si tam FF a mas to za 3sekundy, ved ten FF potom nemusis pouzivat, nainstaleny ho mat mozes.
btw., nepotrebujes ani ziadny web. prehladac. da sa to urobit jednoducho aj cez telnet.
alebo si stiahni proxomitron a nemusis menit ani browser index.html
o telnete samozrejme viem ale nechce sa mi skumat syntax. proxomitron mam od vcera vecera na disku ale zatial som neskumal blizsie ako sa chova resp v rychlosti som nenasiel spoofovanie ua
ahaa, uz sem na to asi prisel... takova kravina... ja to totiz delam pres wget a vono mi to nechce brat uvozovky.. nejspis protoze to predavam jako parametr. no ted stejne nemuzu, pac nemam na kompu system - ted sem u druhyho kompu a rodice chtej pracovat...
teraz som ale napisal, cim sa daju spoofovat parametre odosielane browserom.
IgoreK, a proc nemuze bejt
... src=...
?
skus ist na to logicky. a., nie je mozne ocheckovat vsetky stavy b., je to ostetrene, ale nieco predsa len prejde
prelomenim hesla sa to konci alebo to ma pokracovat dalej?
ako znie nazov threadu? btw., uz si sa nato raz pytal. ak budes v hall of fame tak vies, ze si skoncil. :o)
tak mam cez 38 teplotu je mi vyrazne blbe a nic ma nenapada. ono mi to v takomto stave ani moc nemysli. zaslal som spravu je volaka chujovina. jedine zeby sa tam pouzil prepisanie mailovej adresy v php skripte. v hof som neni takze si davam asi pauzu.
ok odychni si, ked mas meno a heslo, tak si presiel najtazsiu cast. posledna pasaz uz je len logicka, ale pritom realna.
dokoncil som na hts basic missions a som na 1 realistic ale tuto ma prelomeni hesla nic nenapada. resp ano je tam nieco s odoslanim spravy. tipujem ze php skript posiela mail(?) cize staci zmenit jeho hodnotu (kde ked tam nevidim formular?) na inu? alebo sa spat vratit k admin skriptu a zistit co vlastne robi. predpokladam ze ist cestou ssi alebo shellovych prikazov je slepa cesta kedze skript okrem poslania spravy nic nevykonava (este asi vytvori subor akoze). je tato cesta s odosielanim spravna? vsetko je sice podla autora logicke ale to by sa istea zdalo aj mne keby som autorom
neviem, ci myslime tu istu misiu, ale ak myslis, tu, kde sa hlasuje(realistic 1) za tie skupiny, tak si to nejak komplikujes a ides zlou cestou: 1. tam nemusis lamat ziadne heslo. 2. ak je to skutocne realistic 1, tak si vsimni metodu, ako sa posielaju udaje.
nie ja som hovoril o tejto hadanke;o) s tym hts som sa len tak chvalil;o)
novidis, toho je celkom spravny postreh. este si to spoj s titulkom a hura do HOF.
ale to som predsa skusal uz davno! poslal som ti niekolko index.htmlsuborov a nic sa nestalo
tak na tejto prkotine som stal cely ten cas. ty si trval aj na komplet obnovenom subory. tak som 2 hned za mmkom. este mi potom vysvetlis aku chybu nasiel mmko
vsak titulok znie: obnov stranku a nie vloz stranku s hello world!.
chcel som byt vtipny;o). teraz idem na hts nech sa ti aspon trosku priblizim;o). obcas je na nieco dobre byt par dni chory a lezat v posteli s nb
inac po case planujem brutalne hadanky a mozno budeme hackovat aj linux kernel. ale zatial ostaneme pri klasickom web hackingu pokial nebudem mat pocit, ze ste pripraveni.
co si blazen sak ja neviem v nicom programovat mysli preboha aj na to!
ok, budem na teba mysiet. :o) naucim ta aspon perl, ten sa ti v zivote zide.
btw., blahozelam.
Chyba bola v tom ze to pri urcitom u.......te vypisalo chybovu hlasku s kuskom kodu (2riadky), a nahodou to boli tie najzaujimavejsie 2riadky takze nebolo treba potom uz si nic nechavat posielat Teraz je to opravene a presiel som to aj opravene (chcel som otestovat ci to funguje ) P.S. tiez gratulujem k HOF
som si aj myslel ze nema osetrenu nejaku podmienku alebo co a ze skript bud povoli prejdenie alebo hodi daky error z ktoreho sa da ist dalej;o). teraz som na hts na 4 realistic a mam pocit ze je to prva realisticka misia ktora ma prinuti studovat sql. inak tato hadanka sa mi zdala celkom lahka ale mozno preto ze ked cloveka niekto trkne ze chod touto cestou zvycajne sa uz nestrati;o).
tak ako, riesite to este niekto, alebo ste to uz vzdali? mam vam uz teda napisat rozuzlenie, alebo este chvilu pockat?
vzdavame :)
tak mi napiste, kto sa kde dostal a ja napisem hinty, ktore vas nakopnu viac.
no tak ja jsem skoncil u toho parseru a pak jsem to vzdal myslim, ze vic nez si me do ted kopal uz nakopnout nejde
Ja o vzdal jeste driv, nez jsem zacal
ja ne, a to je ta chyba
ok, od pondelka vam zacnem vysvetlovat principy tejto hadanky v realite. pretoze ale nechcem vsetko vyklopit naraz(dam vam este cas na riesenie), tak to budem vysvetlovat po jednotlivych bodoch. vzdy jeden bod kazdy pondelok, nech ste trochu v napati. body budu len 3, tak to dlho nepotrva.
hadanka c.5 - obnov stranku 
budu asi ozaj namakani, ked sa im podarilo prelomit moju neprelomitelnu stranku. vsak posudite sami. budem vam velmi vdacny, keby ste mi stranku nejakym sposobom obnovili spat. ja uz som total mimo a to som nejaky hacker. 
Igor pocuj presiel som to, zadal som nick pre sien slavy, ale nefunguje ti sien slavy
P.S: Jaj, treba dat reload
P.S.2. No ale peknu hadanku si vymyslel, klobuk dole
aj si nieco kodil? ci sa mam s tym trapit alebo to zvladnem aj bez kodenia.
Na to je v tomto pripade tazko odpovedat.
), ma to sice trochu logiku, ale mozno som nepochopil uplne presne ze ako to bolo myslene, dozviem sa mozno neskor ze ako to bolo presne myslene. 
Ak myslis ze ci som vytvaral nejaky subor *.php (alebo nejaky iny subor so scriptom), tak odpoved je nie. Nejake zakladne znalosti urcite mas, ja tiez nie som expert na skripty, ale je to dost hardcore. Ja som mal trochu vyhodu lebo niektore veci poznam z HTS stranky.
P.S. ked mam pravdu povedat nie je mi uplne jasne preco to zareagovalo tak ako to zareagovalo prave na to, co som zrovna vtedy skusal (uz som si len chcel trochu robit srandu, kedze ma uz nic nenapadalo
nic si nekodil? takze predpokladam ze si pouzil uz urobene veci. btw., co nechapes? idem na icq a mozem ti to vysvetlit.
ps.: congrats and respect!
No, napisanie jedneho riadku nepovazujem za kodenie
Mozno som tam nasiel chybu ktoru si tam nechcel mat, lebo inac si to neviem logicky vysvetlit.
O chvilu budem na ICQ...
no tak to tam mam asi chybu, lebo jeden riadok urcite nestaci. ovsem pokial nema > ako 1000 znakov.
Mě děsíš, 1000 znaků
. Zatím ať píšu co píšu, skončím buď na 404 nebo na idiotovi 
. Ale zatím to nevzdávám, i když se blíží DPH a začnu účtovat jak barevnej... 
Inac po diskusii s Igorom, je tam teda aj chybka ktoru som zneuzil, mozno bude opravena ak bude mat Igor cas, oficialne treba scriptit trochu viac, preto pisal o tych 1000 znakoch
Ale nie je to tragicke to co treba scriptit sa vyskytuje hotove aj na internete...
Princip i simulovanou skulinu jsem (možná
) pochopil, jen se mi nedaří ta PHPka k něčemu donutit 
. A jak koukám, co Igor změnil, tak jsem skutečně na správné cestě
(haha, mám uloženo, co tam bylo dřív 
).
tak ako sa dari?
Dělám DPH, teď na to bohužel nemám čas
.
2 msx: PHP pochopitelně nemám, ale vidím změnu v HTML (který mám pečlivě uložen) a z toho usuzuji, co asi Igor změnil v PHP a proč.
aby to bolo ferove, tak som odstranil MM.. z hall of fame a presunul som ho do HOF found vulnerability, kde budu vsetci, ktori najdu dieru.
vsetko je fixnute a vsetci ste na tej istej startovacej ciare. 
mal som tam 2 chyby: 1., vypisoval som do vysledku warningy(alebo skor nastavenie php od providera, ale mal som na to mysliet) a druhu tzv. brutalnu, ktora sa casto stava, ze miesto if($bIsOk == true) som mal if($bIsOk = true), vsak to poznate ked nieco robite narychlo a nestihnete otestovat.
vsetko je napisane aj tu: http://pc.poradna.net/question/view/66560-hadanka-c -5-obnov-stranku
Ta posledna linka vedie na tuto istu diskusiu, to som nepochopil
zakladat nemusel, mne je to fuk ci som v nejakej Hall...
Kvoli mne si HOFFV
Momentalne skumam novy permanent programming level (level5) na HTS, celkom zaujimave, mam pocit ze som to uz odcorruptoval ale furt to dekompresuje nezmysly, sakra
//edit: tak PermProg5 hotovo http://www.hackthissite.org/user/rankings/type/perm programming/5/
HOFFV som nezalozil kvoli tebe, ale kvoli tomu, ze dalsie hadanky budu uz komplexnejsie a toto nebude ojedinely pripad, takze nova kategoria sa hodi. inac pozrel som si novu pp5 a myslim, ze hned som pochopil co treba robit. ked html napisal windows ftp klient, tak vieme ze ftp prenasa suboru v 2 modoch ... ked bude cas, tak to poriesim.
Ano to je hned vidno ked si to clovek pozrie v hex, za v akom mode to bolo prenasane, ale nie je to az take easy je v tom maly "hacik", a nikde na google nie je napisane co presne meni ftp server a ako presne to meni
(teda ono to na gogle je, ale na kazdej stranke popisane inac a jeden detail som popisany ani nikde nenasiel 
). Ale skusanim a skumanim na to clovek pride...
no predpokladam, ze ak to je posielane v textovom mode, tak tam este moze ist o bloky(tip) a ukoncovanie "\n", cize ak sa nemylim, tak ta hadanka sa mi zda celkom easy.
ale nestudoval som to este, cize hovorim len tak od brucha.
No, kazda stranka co pojednava o FTP pise nieco ine, vsetci sa zhoduju v konverzii lf na crlf (ak to bol unix server), ale nikde nikto nepise k tomu jeden dolezity detail (on ten detail je asi zavisly od konkretneho servera, ze ako je server naprogramovany), nechcem davat hinty
Nestaci len tak zmenit vsetky crlf za lf 
No a kopa stranok pise ze ascii mod je len 7bitovy, alebo ze konvertuje aj EOF, apod. ale to si clovek vie pozriet relativne rychlo ze ci to bolo aj v nasom pripade alebo nie, ak mam pravdu povedat tak pri tomto leveli mi informacie co nasiel google moc nepomohli 
Da sa na to prist ale aj hodne rychlejsie, ak sa clovek nenecha zmiast googlom..
Nie je to sice ziadne hardcore ale nejaky den mi to zabralo
Tohle taky souvisi s nastavenim klienta - rezimu prenosu.
Pri textovem rezimu (Type A) FTP server zasahuje do prenasenych veci a meni konce stranek - napr. z CRLF udela LFLF a pak se ti zdvoji radkovani.
Pri binarnim rezimu (TYPE I) k zadnym podobnym zverstvum nedochazi
Ale to je jasne, ved o tom sa cely cas bavim, ale napr. co urobi unix server, ak je text prenos ale original subor obashuje nahodou kombinaciu CRLF?
To som na google aspon ja nenasiel, a ked treba rekonstruovat takto poskodeny subor (to bola uloha) tak je dost dolezite vediet ze co s tym server porobil 
to je pravda, ze vlastne v samotnom originalnom subore mozu byt aj znaky crlf. potom vlasne neostava nic ine, len pouzit kombinatoriku a generovat rozne kobinacie aj s crlf pokial nedostanes korektny vysledok. mozno by bolo najlespie zistit, ako to vlasne bzip2 komprimuje a na zaklade akych sekvencii zapise znak crlf do originalu, alebo reversovat podla checksum.
To sa neda, jedine bruteforce. inac u mna to cez bruteforce ide za 2sekundy (limit bol 10minut)
Az html odomna pytala zdrojaky 
myslim ze netreba bruteforce, ale to je len tip. myslim ze sa to da tak, ze citas pomocou bzlip knizne napr. po 4bytoch a checkujes errno, ak je ok, tak ides dalej, ak nie tak prepises crlf na lf. ale nestudoval som to moc, pri detoch ti uz moc casu neostava.
To tak nejde, uz z principu zip kompresie akykolvek byte v subore ti zmeni komplet cely subor, a moze to dojst az do konca dat bez erroru ale bude tam crc error.
Ak robis bruteforce tak bzip vyleti v momente ked ma parsing error, necita zbytocne data dokonca, ale musis zacat s dekompresiou od zaciatku s inou kombinaciou. Zdrojaky bzip som studoval a krokoval aspon 3hodiny
Inac tip: bzip kniznica ma pekne fcie, napr dekompresia dat z buffra v RAM...
no uvidim. kombinatoriku pouzijem ako posledne riesenie. s tym errnom sa skusim pohrat.
teoreticky sa to da mierne zrychlit tak ako pises (ak na niektorom mieste s CR je error uz v polovici ale CRLF dojde az do konca tak na tom mieste asi by malo byt CRLF, ale IMHO nemusi to byt naisto (zip-typ kompresie je fakt sialenost), a kombinatorika tam musi byt vzdy.
Igor mam pocit ze to nejak nefunguje teraz, alebo sa musi cakat? Logni sa na ICQ...
, takze vsetcia ktori vedia o co ide tak toto bol hint (posledny odo mna) 
//edit: OK tak som otestoval prejdenie korektnou cestou (vid HOF), takze da sa to prejst aj teraz (po opraveni chyby)...
P.S. to Igor: inac v reali tam nemusi byt href, ale ty ho testujes
no, ja sa pamatam, ze v starsej verzii Mozilly to bez href neslo, preto som ho tam vyzadoval. ale ok, mozem urobit verziu aj bez href.
ok, tak som urobil verziu, ze href je uz nepovinne.
ok, ak si uz neviete rady, pridal som novy subor s hintami - http://pc.poradna.net/question/view/66560-hadanka-c -5-obnov-stranku . pretoze nechcem pisat hinty tu, aby ti, co to nechcu vediet to nahodou nevideli, tak som to dal do jedneho suboru a jednotlive hinty su odstrankovane. kto chce si pozrie, kto nechce si nepozrie.
pridal som rovno 2, aby aj fleg sa pohol dalej.
tym hintom si mi nepomohol pretoze touto cestou som siel uz davno. ono to bilo do oci naco si tam dal tu funkciu takze mi to bolo podozrive hned od zaciatku. zdrzal som sa na js injection editovanim cookies a formularov (v tomto som videl cestu). a potom som uz nemal cas. zmene ref som sa neveneoval lebo som viacej nestihol
ale hint 2 by ti uz mohol pomoct.
ved ja hovorim prave o dvojke. to zvyraznovanie bezpecnosti a to logovanie pristupov mi bolo hned podozrive. ale na radu mmka som sa pustil znovu do hts a skysol som este v basic missions a navyse uz zase nemam cas na to;o).
ale pozriem sa na ten monitoring videl som tam v logoch nejake odkazy co poukazovali na zmenu ref to ma snad posunie dalej.
HTS je na dlho ak tam chces vsetko prechadzat. Skor som mal na mysli clanky (klik vlavo na "articles") ale tych je tam tiez vela, no ale ak si das vahladavat spravne slovo...
Ok, dost hintov 
BTW. referer a useragent su 2 velmi rozne veci
to viem len netusim ako znezuit akukolvek z nich ref. este hej snad
Ked nevies tak si urcite slovo das do vyhladavania, tych slov som v prispevku nespomenul vela
) Tak nic, pride dlasi hint od Igora, nechcem davat hinty aby som nepreskocil Igorove poradie hintov 
P.S. aha sorry, kukam ze to tam na to slovo nenajde ziaden clanok, tak to je blbe (to slovo v clanku urcite je
Hint č. 1 mi pomôže tak akurát do... Nechápem.
...to hej, aj mne...moc tam toho nie je(coho by sa priemerny clovek mohol chytit), ale ked sa tam pozres, tak tam vidis javascript, takze ma napada-co tak pouzit javascript injection? ja JS neviem ,takze si pockam co bude dalsi hint.
skuste si vsetci tie zdrojaky v help.html pozriet poriadne.
pacholku!
vsak som vam hovoril, ze treba byt pozorny.
Cisty FF 1.5.0.7 2,47s
PS: Toto patri do jineho threadu...
PS2:Kua, to je tou HTS! Hledal jsem tam neco na tuhle hadanku a zalibila se mi PP1, tak jsem ji zacal kodovat, ale dneska uz to asi nedodelam, uz na to skoro nevidim...
Vidim ze Igor nepridava hinty, a kazdy je bezradny, tak nieco pridam:
A ked si potom admin ide prezerat logovanie v .html tvare prehliadacom, tak mu predsa chutnu vec nenechame, takze mu ju ... 
(zadat tie dve slova do google (najlepsie anglicky) a trochu hladat).
Ak je niekde prihlasenie cez meno, heslo pre admina, a su tam aj nejake sessions, tak sa adminovi zvycajne v PC vytvori nieco velmi chutne
P.S. aby som vam trochu pri tom googlovani pomohol - nemam na mysli ziaden bug prehliadaca, ptz. nevieme aky prehliadac pouziva admin...
Asi to vzdavam.
Sel jsem na HTS, precetl si snad vsechny clanky co by mohly mit s timhle neco spolecneho a furt mi asi nejak nedochazi, co se po me chce...
Utechou mi muze byt, ze jsem v mezicase vyresil PP1 a PP2 na HTS.
Skus porozmyslat o com hovorim, a co je to "chutne" co sa vytvara adminovi v PC ked sa prihlasi. Az to slovo vies, zadaj si ho na HTS - Articles do vyhladavania.
Uz vacsi hint sa dat asi neda 
Len pozor tie clanky na HTS pisu citatelia HTS, su tam aj chyby (mozno niektore aj zamerne).
myslim ze si im moc nepomohol. kto cs poznal uz predtym tak ho to napadlo kto cs nepozna aj tak nevie ako funguje a bude mu to naprd. dokonca kludne mozes z hts uverejnit aj calnok resp ksript venovany csa vysledok bude taky isty.
dufam ze na dalsi tyzden uz budem mat cas a pozriem sa na to aj ja a budem v hof spolu s tebou;o)
Ja tusim asi co je to chutne a asi i co s tim delat, ale nevim jak na to pouzit ten skript z HTS.
Pokud teda vubec delam to, co se delat ma...
Jeste jedna vec by mi pomohla: Potrebuju na to nejaky svuj webhosting? Protoze mam pocit, ze jo..
Pokud je v tom článku "Be creative!", tak jsme asi na stejném místě... Pokud ne, tak jsem někde úplně v p*.
edit: Už mě vyhazujou od počítače... kouknu na to po víkendu.
Ano, jsme na stejnem miste...
Tych clankov je tam viac, v jednom mas napisanu hned v 3riadku aj odpoved na svoju otazku
Treba to citat pozorne...
ale nie je problem si vygooglit ako ma vyzerat spravne prikaz apod.
P.S. ako som uz pisal pozor su v tych clankoch chyby
jsou k tomu i komentare...
Mam tohle a tohle. Postupuju spravne?
PS: No, vlastne i kdyby jo, vubec netusim co s tim dal.
No hej ale skus si aj script z nejakeho html, ci ho mas spravne, a kukaj sa na Igorovu hacknutu stranku ze co tam vsetko je ...
.. a citaj aj diskusiu co som pisal pred par dnami vyssie...
souvisi to s monitoringem, zejo?
//edit: beru zpet, to je prece kravina...
kto si pozera ten monitoring? Co sa do neho uklada? Ako to zmenit? ... Vela otazok, odpovede nepoviem
ja by som aj hinty pridal, ale len nedavno ludia presli cez prvu prekazku a este nikomu nedoslo(pozrel som si logy), co som chcel povedat druhym hintom.
Ako si niekto môže pozerať výpisy admina, keď využije chybu a to neznamená, že sa prihlási ako admin?
pozeram normalny monitoring log, ktory si mozu pozriet vsetci.
Muj pokus bez uspechu do pr****, zkusim zitra jinou taktiku.
Měl bych jinou hádanku : Jmenuj název filmu, jehož režisér by nebyl
spoluautorem scénáře, narazil jsem asi tak na tři filmy
Viete čo, vykašlite sa na to. Igor si mal dávať väčší pozor a nie dopustiť toto. Teraz mu to všetci opravujete a on si sedí celý čas na zadku!
no co je ludkovia, nejako ste zaseknuti?
najprv ste vykrikovali kde je hadanka a teraz okrem MM.. to este nikto nepresiel a nie su ani naznaky. mozem vam len povedat, ze cas hadaniek typu "hello world" skoncil. bud hadanky budu mat uroven, alebo nebudu ziadne. 
Ale jo furt
už chystej další, do roka a do dne tu tvoji amatérskou stránku opravím ![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
dalsia uz je vymyslena, caka len na teba.![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
Jak už jsem psal v tomto vlákně výše. Chtělo by to nějaký článeček o vůbec základních principech hackování.
Kdo se tím nezabývá, párkrát něco zkusí a už ho to ani nebaví. Na HTS zase třeba ani nechodí (třeba já), jelikož je to v angličtině.
Takto je hádanka pro pár lidí.
taky se tesim na rozuzleni, moc moc moc!!
ale ted sem zda se na neco malo prisel, ale myslim, ze to bude kravina, no aspon neco...
no si celkom na dobrej ceste, uz to len vylepsit.
keby tomu predchadzal clanok, tak ta hadanka by bola o nicom. na hadanke je najlepsie to, ze ta nuti hladat a casto aj najst take veci, ktore sa sice k hadanke vobec nehodia ale casto sa v buducnosti hodia na ine veci. zatial budem davat len hinty a ked sa najde dostatocny pocet ludi ktori ju vyriesia(ak sa ovsem najde, aj nie tak az po nejakej dobe), napisem kompletny popis, kde sa dotycny dopustil chyby a coho sa vyvarovat. teraz to je hlavne o samostudiu, aj ked uz nejake hinty som napisal, ktore ciastocne urcuju cestu.
Neměl jsem na mysli tuto konkrétní hádanku, ale všeobecně.
Křížovku také nebudeš luštit, když nevíš princip křížovky. A pak je na ní krásné to, o čem píšeš, že třeba nevíš výraz "smečka vlků na 2" a hledáš, pátráš, přičemž se i naučíš něco jiného.
Ale víš, co vůbec dělat, jestli do křížovky psát písmenka, nebo vybarvovat kostičky pastelkou, aby vznikl nějaký obrazec. Třeba obrázek ovčáckého psa, jelikož tajenka je "ovčácký pes".
u hackovani je to ale asi malinko jinak - ja hackovat neumim - vubec, ale umim trochu php, html i javascript, znam i ty "sladkosti" a to mi dost pomohlo, vlastne bych jinak vubec nevedel wocogou. takze v hackovani to asi nebude o zakladech, ale o konkretnich prikladech - na rozuzleni tohodle se mooc tesim...
tak som vam to trochu ulahcil, pokial budete ohladne hintu 2 na dobrej ceste, oznami vam to javascript hlaska. dufam, ze to nebude otravne.
pridal som este jednu hlasku, pretoze angel333 ma uz celkom predstavu aj ked nepresiel parserom, tak nech o tom vie a tak isto aj ostatni.
uz jsem prosel parserem, doufam
aaaaaaaaaaa, ja se z toho zcvoknu, stejna chyba jakos mel ty
naco potrebujes == ?
mozno v jeho scripte na strane servera.
ve skriptu ne? stejne sem asi na blbi ceste.. nechapu to, to mam napadnout IgoraK?
edit:// jinak to rovnitko tam bylo jen kvuli pohodlnosti - dopsal sem totiz do skriptu, aby to na me nereagovalo
mna napadat nemusis a pomocou tohto <toto_uz_poznas>tu_nieco_doplnis</toto_uz_poznas> moj web ani fyzicky nenapadnut nemozes.
jo to jo, tak te alespon okradu, aspon MM.. rikal ze ti to mame slohnout
ano, slohnutie ja rad.
sorry, ze te tak otravuju, ale nemohl bys este jednou? ten skript, stale zlobi...
nechyba ti len nahodou href, ako to tu uz MM.. spominal. ok, idem tak ci tak ten href vyhodit, lebo vo vsetkycj novych prehliadacoch nie je potrebny.
p.s.: este jedna vec, ked si nieco niekde posles, tak si to tam aj musis spracovat.
mam tam replace...
replace tam netreba
takze tam neni nic (jenom si nejsem jistej, jestli mluvime o stejnym href
) - neni tam ani replace ani href a ja dal ciham...
nemusis cihat, ak to mas dobre napisane, pride ti to tam kde chces aby ti to prislo okamzite.
tak ted jsi me uplne... ted to uz vubec nechapu
mozno ze to chapes, ale som ta asi len zmiatol. chcel som len povedat, ze sposobom akym si to robil nemusis cakat ako v reale ze sa admin prihlasi, kdesi klikne a vtedy sa to posle, ale v nasom pripade sa to posle okamzite. "admin je stale prihlaseny a vsetko sleduje".![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
hmm, nojo, uz neco mam, ale vubec nechapu jakto
, prece se to nemuze jen tak odeslat.. nebo ten monitoring sledujes treba kazdych 5 sekund a opravdu reloadujes tu stranku?
aha
tak to je PHPSESSID ode me 
tak nic no, vzdavam to...
Ja neviem ale mam pocit ze rozmyslate nejak moc komplikovane. nejde o phpsessid. Nasli ste aj clanok na HTS o tom kde je to uz napisane tak ze to uz detailnejsie napisat nejde, tak uz nechapem aky hint este dat. Aha uz viem, posledny hint: ten clanok na HTS citat pozorne a snazit sa pochopit co tam je napisane a ako to ma fungovat
nechapu jedno - IgorK rikal, ze se mi to posle hned - to nechapu (???), noa potom se mi ted zas nedari prolist parserem, jednou to proste slo - mel jsem tam ext-js, to byla parada, ale uz to nejde, nechapu proc, takze se ted pokousim osulit parser, to by se snad ale nak melo podat
...
//edit:btw: co pouziva IgorK za browser
To ti je jedno co pouziva za browser. Ved tam mas strcit len jeden riadok. P.S. znova zopakujem never slepo HTS, ale precitaj si tam len ako to ma v principe fungovat a syntax skriptu si napis sam, na HTS je v tom chyba.
posle sa to preto hned, lebo ked pouzijes korektny u..r....t , tak na stranku kde to ma prist to posle script, ktory vlastne volas ty.
ahaa, takze ten tvuj skript jenom ceka na muj spravnej u..r....t a kdyz ho tam dam, tak on mi to uz posle, je to tak?
ano, robi to prave monitoring.php
inac staci do google napisat: "toto_hladam example" a hned na prvej stranke najdes to, co sa tu da pouzit.
IgoreK, moc jsi neporadil:
Your search - "toto_hladam example" - did not match any documents.
Ano, bohuzial google je uplne blby, kedze nevie ze co to vlastne hladas
pockej den nebo dva...
No, to je tiez sposob hackovania, pockas si na Igora, napadnes ho, najlepsie s revolverom, a on ti potom povie heslo
Nie len som nechapal kde potrebujes ==, ak si tam testujes nieco tak OK, nie je to ale nutne, tak som sa opytal.
by si sa cudoval, ale hacking s revolverom je ozaj najucinnejsi. je to vyssi level od social engineering.
... a potom ho okradu, ahaaaa.....
pridal som dalsi hint, lameri.![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
to je za hint....ved o tomto sa tu uz hovori niekolko postou vyssie
ok, tak ho trochu vylepsim.
tak teraz sa pozri.
OK, tak to uz asi mozno dakomu pomoze-ved to znie tak zlozito :D
jestli myslis freakwolfe..., tak ja to mam v googlu az druhy..
jinak me by pomohl spis nakej hint pro ten parser - je strasnej... zkousel jsem snad vsechno mozny, jak do toho narvat ten u...s....t, ale... nejde to!
//edit: blbe jsem to precet, pises, ze v googlu na prvni strance, ja myslel prvni...
ved ten us......t musis zmenit predsa u teba, aby sa ked si admin pozre log, nieco spustilo. Zavisi aky mas prehliadac, ak mas firefox tak je to uplne easy, zadas si do google u.......t change firefox.
Ak uz vies zmenit u.......t, tak si pozri clanok na HTS, najdi si googlom ako ma ten JS prikaz vyzerat syntakticky spravne, a mas to, nechapem v com mas problem.
tak tak. ja mam problem ze ff nemam a ani si ho instalovat nebudem cize faknut user agenta viem len obmedzene (opera9.01). jediny sposob ako dostat sender skript na stranu igorka je poslat spravnu syntax v ua. strana prijimatela je myslim jasna kazdemu kto trosku ovlada php.
budem musiet pouzit bud externe proxy alebo najst nieco pod moju operu (na tom som zlyhal vcera vecer a na viac som zatial nemal cas)
Drbni si tam FF a mas to za 3sekundy, ved ten FF potom nemusis pouzivat, nainstaleny ho mat mozes.
btw., nepotrebujes ani ziadny web. prehladac. da sa to urobit jednoducho aj cez telnet.
alebo si stiahni proxomitron a nemusis menit ani browser index.html
o telnete samozrejme viem ale nechce sa mi skumat syntax. proxomitron mam od vcera vecera na disku ale zatial som neskumal blizsie ako sa chova resp v rychlosti som nenasiel spoofovanie ua
ahaa, uz sem na to asi prisel... takova kravina... ja to totiz delam pres wget a vono mi to nechce brat uvozovky.. nejspis protoze to predavam jako parametr. no ted stejne nemuzu, pac nemam na kompu system - ted sem u druhyho kompu a rodice chtej pracovat...
pridal som dalsi hint, lameri.
Je to ten samý na který jsi upozorňoval včera http://pc.poradna.net/question/view/66560-hadanka-c -5-obnov-stranku#re-69546, nebo špatně vidím?
teraz som ale napisal, cim sa daju spoofovat parametre odosielane browserom.
IgoreK, a proc nemuze bejt
?
skus ist na to logicky.
a., nie je mozne ocheckovat vsetky stavy
b., je to ostetrene, ale nieco predsa len prejde
prelomenim hesla sa to konci alebo to ma pokracovat dalej?
ako znie nazov threadu? btw., uz si sa nato raz pytal.
ak budes v hall of fame tak vies, ze si skoncil. :o)
tak mam cez 38 teplotu je mi vyrazne blbe a nic ma nenapada. ono mi to v takomto stave ani moc nemysli. zaslal som spravu je volaka chujovina. jedine zeby sa tam pouzil prepisanie mailovej adresy v php skripte. v hof som neni takze si davam asi pauzu.
ok odychni si, ked mas meno a heslo, tak si presiel najtazsiu cast. posledna pasaz uz je len logicka, ale pritom realna.
dokoncil som na hts basic missions a som na 1 realistic ale tuto ma prelomeni hesla nic nenapada. resp ano je tam nieco s odoslanim spravy. tipujem ze php skript posiela mail(?) cize staci zmenit jeho hodnotu (kde ked tam nevidim formular?) na inu? alebo sa spat vratit k admin skriptu a zistit co vlastne robi. predpokladam ze ist cestou ssi alebo shellovych prikazov je slepa cesta kedze skript okrem poslania spravy nic nevykonava (este asi vytvori subor akoze).
je tato cesta s odosielanim spravna? vsetko je sice podla autora logicke ale to by sa istea zdalo aj mne keby som autorom
neviem, ci myslime tu istu misiu, ale ak myslis, tu, kde sa hlasuje(realistic 1) za tie skupiny, tak si to nejak komplikujes a ides zlou cestou:
1. tam nemusis lamat ziadne heslo.
2. ak je to skutocne realistic 1, tak si vsimni metodu, ako sa posielaju udaje.
nie ja som hovoril o tejto hadanke;o)
s tym hts som sa len tak chvalil;o)
ale to som predsa skusal uz davno! poslal som ti niekolko index.htmlsuborov a nic sa nestalo
a mali spravny obsah a cestu?
este aj obsah? ja som napisal ze hello word;o)
pripada ti toto ako hello world?![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
5*****/
tak na tejto prkotine som stal cely ten cas. ty si trval aj na komplet obnovenom subory. tak som 2 hned za mmkom.
este mi potom vysvetlis aku chybu nasiel mmko
vsak titulok znie: obnov stranku a nie vloz stranku s hello world!.
chcel som byt vtipny;o).
teraz idem na hts nech sa ti aspon trosku priblizim;o).
obcas je na nieco dobre byt par dni chory a lezat v posteli s nb
inac po case planujem brutalne hadanky a mozno budeme hackovat aj linux kernel. ale zatial ostaneme pri klasickom web hackingu pokial nebudem mat pocit, ze ste pripraveni.
co si blazen sak ja neviem v nicom programovat mysli preboha aj na to!
ok, budem na teba mysiet. :o) naucim ta aspon perl, ten sa ti v zivote zide.
btw., blahozelam.
Chyba bola v tom ze to pri urcitom u.......te vypisalo chybovu hlasku s kuskom kodu (2riadky), a nahodou to boli tie najzaujimavejsie 2riadky takze nebolo treba potom uz si nic nechavat posielat
)
Teraz je to opravene a presiel som to aj opravene (chcel som otestovat ci to funguje
P.S. tiez gratulujem k HOF
som si aj myslel ze nema osetrenu nejaku podmienku alebo co a ze skript bud povoli prejdenie alebo hodi daky error z ktoreho sa da ist dalej;o).
teraz som na hts na 4 realistic a mam pocit ze je to prva realisticka misia ktora ma prinuti studovat sql. inak tato hadanka sa mi zdala celkom lahka ale mozno preto ze ked cloveka niekto trkne ze chod touto cestou zvycajne sa uz nestrati;o).
tak ako, riesite to este niekto, alebo ste to uz vzdali?![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
mam vam uz teda napisat rozuzlenie, alebo este chvilu pockat?
vzdavame :)
tak mi napiste, kto sa kde dostal a ja napisem hinty, ktore vas nakopnu viac.
no tak ja jsem skoncil u toho parseru a pak jsem to vzdal
myslim, ze vic nez si me do ted kopal uz nakopnout nejde 
Ja o vzdal jeste driv, nez jsem zacal
ja ne, a to je ta chyba
ok, od pondelka vam zacnem vysvetlovat principy tejto hadanky v realite. pretoze ale nechcem vsetko vyklopit naraz(dam vam este cas na riesenie), tak to budem vysvetlovat po jednotlivych bodoch. vzdy jeden bod kazdy pondelok, nech ste trochu v napati. body budu len 3, tak to dlho nepotrva.