hackthispage.info - poradna.net

Zkoušel jste někdo tuhle hru? Já jsem zatuhnul v sedmým levelu a zaboha nevím, jak dál. Dík za každou radu

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
Teďka se tam nepodívám, to bych to musel udělat všechny levely, ale je třeba se učit na zítřejší zko… MaSo 25.01.2007 11:57	MaSo	25.01.2007 11:57
Dík, to nespěchá :-) mia 25.01.2007 12:05	mia	25.01.2007 12:05
Připomínam se :-) mia 28.01.2007 19:56	mia	28.01.2007 19:56
tak som to skusil a dosiel som k nasledujucemu zaveru, autor to ma urobene nachu*a. toto je klasicky… IgorK 02.02.2007 22:06	IgorK	02.02.2007 22:06
IgorK: ja ťa poznám z HTS a viem že si kapacita, ale toto si pekne zatrel. Ja som to prešiel pár dni… audiotrack 12.02.2007 21:17	audiotrack	12.02.2007 21:17
no tak poviem ti to inac. autor sa na jednej strane tvari, ze dovoluje do hadanky vkladat SSI prikaz… IgorK 13.02.2007 15:01	IgorK	13.02.2007 15:01
na druhej strane to vyzera ze tam je povoleny jeden spravny string, ktory ocheckuje v if-e. Jo, máš… mia 19.02.2007 23:20	mia	19.02.2007 23:20
Jakej je ten string poslední nox 25.12.2007 22:43	nox	25.12.2007 22:43
tak som nasiel na webe odpoved na tvoj problem. takto ma vyzerat spravny kod - <!--#exec cmd="ls ../… IgorK 19.02.2007 23:19	IgorK	19.02.2007 23:19
Pěkné je taky www.hackthispage.tk, zatím jsem se dostal do šestého levelu. mia 20.02.2007 14:27	mia	20.02.2007 14:27
Ta stranka vyzera velmi pekne (podla Levelov 1-4 ktore som teraz narychlo stihol pozret), diky za ti… MM.. 20.02.2007 15:35	MM..	20.02.2007 15:35
Taky jsem narychlo mrknul na 1-4 , ta čtyřka už asi bude vyžadovat nějaký flash decompiler. :-) host 20.02.2007 15:44	host	20.02.2007 15:44
stačí uložiť a otvoriť v notepade audiotrack 20.02.2007 17:13	audiotrack	20.02.2007 17:13
A co tam ty vidis? imho je to skomprimovane. nový MM.. 20.02.2007 17:24	MM..	20.02.2007 17:24
nestačí, potřebuješ Flash decompiler :-) A v level6 už bude asi potřeba i VB decompiler, stáhnul jse… nový mia 20.02.2007 18:47	mia	20.02.2007 18:47
Decompilery existuju aj pre VB, ale len do urcitej miery, nativny kod sa da len disassemblovat (v to… nový MM.. 20.02.2007 18:55	MM..	20.02.2007 18:55
ako vas oboch citam, tak to je typicke www.try2hack.nl. nový IgorK 20.02.2007 18:57	IgorK	20.02.2007 18:57
tak som sa nato pozrel a to su tzv. javascript hadanky. nic v zlom, ale toto ma uz nebavi a nema to… IgorK 20.02.2007 16:02	IgorK	20.02.2007 16:02
Tak 4ka je uz swf, ziaden javascript, je to aspon originalne a zabavne. MM.. 20.02.2007 16:45	MM..	20.02.2007 16:45
tento tip webu bude obdoba www.try2hack.nl a s takymito hadankami som kedysi zacinal. mam teraz leps… nový IgorK 20.02.2007 17:47	IgorK	20.02.2007 17:47
Co mi to jen připomíná? :-? [http://img89.imageshack.us/img89/8872/welldonerv5.p ng] karel 20.02.2007 16:08	karel	20.02.2007 16:08
Mně to připomíná jednu nejmenovanou firmu jednoho kontroverzního bloggera. ]:):x: nový host 20.02.2007 19:13	host	20.02.2007 19:13
staci napisat do google: "well done site:cz". :-D nový IgorK 20.02.2007 19:34	IgorK	20.02.2007 19:34
Ta se přeci jmenuje "agentura P-RD"... nový Vladimir 20.02.2007 19:50	Vladimir	20.02.2007 19:50

Teďka se tam nepodívám, to bych to musel udělat všechny levely, ale je třeba se učit na zítřejší zkoušku... Zítra na to mrknu.

Dík, to nespěchá

Připomínam se

tak som to skusil a dosiel som k nasledujucemu zaveru, autor to ma urobene nachu*a. toto je klasicky pripad SSI injection, ked sa vklada nasledujuci command  alebo jeho windows alternativa : . problem vidim v tom, ze tento web je hodne stary a ked autor pisal tuto hadanku, tak este nemal take security zabezpecenie svojho webu ako ma teraz. cize teraz ma security nastavene tak, ze sa na uvodzovky pouzije escape sekvencia(\") a autor zabudol fixnut aj hadanku. takze mu bud napis nech si to fixne, alebo sa nato rovno vyser. takyto typ hadanky najdes aj medzi basic web hackingom na HTS

IgorK: ja ťa poznám z HTS a viem že si kapacita, ale toto si pekne zatrel. Ja som to prešiel pár dni dozadu (3. februára [nick audiotrack], na hts mám nick tio).

no tak poviem ti to inac. autor sa na jednej strane tvari, ze dovoluje do hadanky vkladat SSI prikazy(co ma teda dost myli), na druhej strane to vyzera ze tam je povoleny jeden spravny string, ktory ocheckuje v if-e. ok, ale ked nebere tuto variantu(stale sa bavime o SSI injection)

, popripade ,

, tak ta hadanka pre mna konci, lebo syntax na SSI injection je 100% spravna a testovat ci nahodou autor nepouziva absolutne cesty, alebo miesto ls -la musi byt ls -al, tak to mozem testovat do nekonecna(a na to cas vazne nemam) a nie je to uz o samotnom SSI. ja teraz pripravujem pre poradna.net uplne zaujimavu hadanku(aspon dufam ), len musim este naprogramovat prototyp, ci je vobec riesitelna v realnom case. bude to nieco na sposob permanent programming 3 znamej z HTS, ale znacne odlisna, len nebudem od vas vyzadovat dodrzanie casoveho limitu. urcite sa na nej zapotite a zabavite. dnes este prinesiem z oblasti hackingu zaujimavu spravicku a popiseme si neopatchovanu chybu v FF a v IE. pretoze sa ju znamy polsky hacker Michal Zalewski rozhodol zverejnit(uz dlho je v bugtraq-u a nic sa s nou nedeje), rozhodol som sa ju aj ja zverejnit. dufam ze budete prvi, kto sa o nej dozvie. zatial ju ziadne security portaly nezverejnuju a myslim si, ze v ramci nasej bezpecnosti je dobre o nej vediet.

na druhej strane to vyzera ze tam je povoleny jeden spravny string, ktory ocheckuje v if-e.

Jo, máš naprostou pravdu, je tam jeden konkrétní příkaz, který se následně testuje. Je to blbě udělaný. Ten string jsem už zjistil (díky, audiotrack) a přes sedmičku jsem se dostal, ale osmičku nedám, netuším ani trošičku

Jakej je ten string

tak som nasiel na webe odpoved na tvoj problem. takto ma vyzerat spravny kod - , co je dobra chujo^ina a autor to uplne dodrbal. preco?
na stranke index.php pise: "Password file is in this directory ...", co znamena ze sa musi nachadzat v adresari hackthispage.info/level7/. spravny kod by mal podla spravnosti vyzerat ako som pisal: , lebo sme v adresari tmp a "../" nas dovedie do adresara level7. podla autora ale kod  nas dovedie do adresara level7/level7 a nie do adresara level7 ako pise na svojej stranke, co som citoval hore. fuck.

Pěkné je taky www.hackthispage.tk, zatím jsem se dostal do šestého levelu.

Ta stranka vyzera velmi pekne (podla Levelov 1-4 ktore som teraz narychlo stihol pozret), diky za tip.

Taky jsem narychlo mrknul na 1-4 , ta čtyřka už asi bude vyžadovat nějaký flash decompiler.

stačí uložiť a otvoriť v notepade

A co tam ty vidis? imho je to skomprimovane.

nestačí, potřebuješ Flash decompiler A v level6 už bude asi potřeba i VB decompiler, stáhnul jsem to exe, ale nemůžu v něm nic smysluplného najít.

Decompilery existuju aj pre VB, ale len do urcitej miery, nativny kod sa da len disassemblovat (v tom pripade je dobre poznat instrukcie x86).

ako vas oboch citam, tak to je typicke www.try2hack.nl.

tak som sa nato pozrel a to su tzv. javascript hadanky. nic v zlom, ale toto ma uz nebavi a nema to s web hackingom skoro nic spolocne. ale ostatni nepocuvajte ma, ak sa chcete zabavit, tak je to celkom dobre na odreagovanie.

Tak 4ka je uz swf, ziaden javascript, je to aspon originalne a zabavne.

tento tip webu bude obdoba www.try2hack.nl a s takymito hadankami som kedysi zacinal. mam teraz lepsiu zabavu(ked ovsem mam cas). venujem sa(lepsie povedane zacinam sa venovat) linuxovemu kernelu.

Co mi to jen připomíná?

[http://img89.imageshack.us/img89/8872/welldonerv5.p ng]

Mně to připomíná jednu nejmenovanou firmu jednoho kontroverzního bloggera.

staci napisat do google: "well done site:cz".

Ta se přeci jmenuje "agentura P-RD"...

Zpět do poradny Odpovědět na původní otázku Nahoru