hackthispage.info - poradna.net

Zkoušel jste někdo tuhle hru? Já jsem zatuhnul v sedmým levelu a zaboha nevím, jak dál. Dík za každou radu

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
Teďka se tam nepodívám, to bych to musel udělat všechny levely, ale je třeba se učit na zítřejší zko… MaSo 25.01.2007 11:57	MaSo	25.01.2007 11:57
Dík, to nespěchá :-) mia 25.01.2007 12:05	mia	25.01.2007 12:05
Připomínam se :-) mia 28.01.2007 19:56	mia	28.01.2007 19:56
tak som to skusil a dosiel som k nasledujucemu zaveru, autor to ma urobene nachu*a. toto je klasicky… IgorK 02.02.2007 22:06	IgorK	02.02.2007 22:06
IgorK: ja ťa poznám z HTS a viem že si kapacita, ale toto si pekne zatrel. Ja som to prešiel pár dni… audiotrack 12.02.2007 21:17	audiotrack	12.02.2007 21:17
no tak poviem ti to inac. autor sa na jednej strane tvari, ze dovoluje do hadanky vkladat SSI prikaz… IgorK 13.02.2007 15:01	IgorK	13.02.2007 15:01
na druhej strane to vyzera ze tam je povoleny jeden spravny string, ktory ocheckuje v if-e. Jo, máš… mia 19.02.2007 23:20	mia	19.02.2007 23:20
Jakej je ten string poslední nox 25.12.2007 22:43	nox	25.12.2007 22:43

Teďka se tam nepodívám, to bych to musel udělat všechny levely, ale je třeba se učit na zítřejší zkoušku... Zítra na to mrknu.

Dík, to nespěchá

Připomínam se

tak som to skusil a dosiel som k nasledujucemu zaveru, autor to ma urobene nachu*a. toto je klasicky pripad SSI injection, ked sa vklada nasledujuci command  alebo jeho windows alternativa : . problem vidim v tom, ze tento web je hodne stary a ked autor pisal tuto hadanku, tak este nemal take security zabezpecenie svojho webu ako ma teraz. cize teraz ma security nastavene tak, ze sa na uvodzovky pouzije escape sekvencia(\") a autor zabudol fixnut aj hadanku. takze mu bud napis nech si to fixne, alebo sa nato rovno vyser. takyto typ hadanky najdes aj medzi basic web hackingom na HTS

IgorK: ja ťa poznám z HTS a viem že si kapacita, ale toto si pekne zatrel. Ja som to prešiel pár dni dozadu (3. februára [nick audiotrack], na hts mám nick tio).

no tak poviem ti to inac. autor sa na jednej strane tvari, ze dovoluje do hadanky vkladat SSI prikazy(co ma teda dost myli), na druhej strane to vyzera ze tam je povoleny jeden spravny string, ktory ocheckuje v if-e. ok, ale ked nebere tuto variantu(stale sa bavime o SSI injection)

, popripade ,

, tak ta hadanka pre mna konci, lebo syntax na SSI injection je 100% spravna a testovat ci nahodou autor nepouziva absolutne cesty, alebo miesto ls -la musi byt ls -al, tak to mozem testovat do nekonecna(a na to cas vazne nemam) a nie je to uz o samotnom SSI. ja teraz pripravujem pre poradna.net uplne zaujimavu hadanku(aspon dufam ), len musim este naprogramovat prototyp, ci je vobec riesitelna v realnom case. bude to nieco na sposob permanent programming 3 znamej z HTS, ale znacne odlisna, len nebudem od vas vyzadovat dodrzanie casoveho limitu. urcite sa na nej zapotite a zabavite. dnes este prinesiem z oblasti hackingu zaujimavu spravicku a popiseme si neopatchovanu chybu v FF a v IE. pretoze sa ju znamy polsky hacker Michal Zalewski rozhodol zverejnit(uz dlho je v bugtraq-u a nic sa s nou nedeje), rozhodol som sa ju aj ja zverejnit. dufam ze budete prvi, kto sa o nej dozvie. zatial ju ziadne security portaly nezverejnuju a myslim si, ze v ramci nasej bezpecnosti je dobre o nej vediet.

na druhej strane to vyzera ze tam je povoleny jeden spravny string, ktory ocheckuje v if-e.

Jo, máš naprostou pravdu, je tam jeden konkrétní příkaz, který se následně testuje. Je to blbě udělaný. Ten string jsem už zjistil (díky, audiotrack) a přes sedmičku jsem se dostal, ale osmičku nedám, netuším ani trošičku

Jakej je ten string

Zpět do poradny Odpovědět na původní otázku Nahoru