Certified Secure Challenges - Over challenges en dergelijke

Certified Secure - DateMyPorts

20-08-2011, 17:18 door 0xDC, 52 reacties
Goedemiddag,

Ben bezig geweest met de security challenge van Certified Secure. Op dit moment heb ik een profiel aangemaakt op de zgn. dating site om deze missie te kunnen behalen. Hier gebruik gemaakt van XSS om de sessie van de moderator te kunnen achterhalen.

Nu mijn vraag, zijn er meer mensen die problemen hebben met deze challenge? Er wordt namelijk aangegeven dat de moderator direct na het updaten van je profiel, op je profiel komt kijken. Bij mij zit hier uren tussen voordat de moderator "langs is geweest", vervolgens is de sessie op https://store.hackme.certifiedsecure.com verlopen en kan ik dus niet verder.

Tnx!
Reacties (52)
20-08-2011, 19:18 door frankvv
Klopt, de moderator had even geen zin en heb ik gezegd dat hij toch echt binnen een minuut langs moet komen. Als het goed is werkt het ondertussen al een stuk sneller.

Extra tip: je kunt zien wanneer de moderator is langs geweest als je view profile doet.

GL!

Frank
20-08-2011, 20:50 door 0xDC
Hi Frank,

Dank hiervoor! Ik had inderdaad gezien wanneer de moderator langs is gekomen.

Nogmaals dank.

Gr, DC
20-08-2011, 22:43 door 0xDC
Hi Frank,

Zojuist even getest of het nu werkte. Ik zit inmiddels een half uur te wachten op een bezoekje van de moderator en mijn laatste bezoek staat nog steeds op 13.56:12

Zou je er nog eens naar willen kijken? Alvast bedankt!

Gr, DC
21-08-2011, 12:59 door frankvv
Uiteraard heb je weer helemaal gelijk. De moderator is nog eens grondig aangepakt en loopt weer vrolijk zijn werk te doen.

Frank
22-08-2011, 20:27 door Harbert
Ik ben bijna klaar. Alleen de laatste stap om het wachtwoord van admin te bemachtigen loopt wat lastig. Ik krijg een heel mooie injection, kan vanalles en nogwat uit de database uitlezen, op het gevraagde wachtwoord na...

Moet ik mijn creatieviteit nog meer de vrije loop laten om een databasearchitectuur te gokken of is er nog een tussenstap vereist?
24-08-2011, 23:57 door Anoniem
Ik kom nog geen eens bij de injection, dus de laatste stap, iemand die mij een gooi kan geven in de goede richting voor de sqli?
25-08-2011, 09:23 door Harbert
Door Anoniem: Ik kom nog geen eens bij de injection, dus de laatste stap, iemand die mij een gooi kan geven in de goede richting voor de sqli?

Ben je al ingelogd als moderator? Zo ja, dan moet je een plaats vinden waar je een injection toe kunt passen. Een goed begin is altijd om in vakjes waar je iets in kunt vullen eerst eens een ' of " in te vullen en vervolgens wat te gaan puzzelen met " UNION SELECT 1,2,3,4,5,"a (om te kijken hoeveel parameters er als output verwacht worden en waar ze worden afgebeeld en de laatste om het commando correct te maken). Uiteraard enkele en dubbele accenten proberen en zo.

(als dit te veel spoiler is moet het maar weg).
25-08-2011, 16:26 door 0xDC
Ik moet zeggen, met deze laatste heb ik ook wat moeite. Ik krijg geen nette injection. Zaken geprobeerd als: ' order by 1,2,3-- etc, ook union select's en union all select's zoals Harbert aangeeft, maar vooralsnog weinig geluk.

Iemand nog suggesties? Harbert?

Gr, DC
25-08-2011, 19:17 door Harbert
Ik heb een plek gevonden waar je kunt injecten (die is niet moeilijk te vinden als je eenmaal mod bent) maar ik kan het wachtwoord niet in de db vinden.

Nu heb ik wel wat ideeen, maar de moderator moet weer een schop hebben. omdat 'ie weer eens niet reageert...

EDIT: Ik was ingelogd en blijkbaar had ik nog een cookie van een moderator geactiveerd staan. Dus ik was, toen ik als user inlogde ook meteen mod... Nouja, het is dus gewoon goed :)
25-08-2011, 19:31 door Harbert
<<whoops>>
25-08-2011, 20:32 door 0xDC
Hi Harbert,

Inderdaad, die plek is niet lastig te vinden als je mod bent, zover ben ik ook. Echter de injectie blijft vrij lastig, ik krijg zelfs geen tabel namen naar voren....

Gr, DC
25-08-2011, 21:23 door Harbert
Hey DC (en wie er ook meeleest natuurlijk),

Ik heb in principe een injection waarmee ik, door te gokken, de juiste tabel kan uitlezen. Ik kan naar believen usernames en geslachten en zo printen. Maar het belangrijke veld (wachtwoord) kan ik niet vinden. Misschien is dit een spoiler, of een gek idee, maar je weet natuurlijk wat het wachtwoord van je eigen user is dus ik weet niet of SQL een inverse lookup achtige constructie kent...?
26-08-2011, 07:33 door 0xDC
Hey Harbert,

Op zich een aardige gedachte, maar wat als de wachtwoorden gehashed zijn?

DC
26-08-2011, 09:40 door Harbert
Hey DC,

Dan zou je in theorie een hash van je pwd kunnen zoeken :). Maar ik heb gisteren eens op de IRC rondgehangen en heb hem nu, door een hint van een medechatter, de boel gevonden. Er is dus een gebruikerstabel die je waarschijnlijk door slim gokken gevonden hebt. Ik denk dat een goede 'stille' hint is dat je eens moet uitzoeken hoe de tabellen staan opgeslagen en wat voor methodes er zijn om informatie over de aanwezige kolommen op te vragen. (ik hoop dat dit geen spoiler is, anders vertrouw ik de mods/admins wel om het te censureren)
26-08-2011, 10:09 door 0xDC
Hi Harbert,

Dat klopt, maar hoe is je wachtwoord gehashed is dan de vraag :) Mijn probleem op dit moment is dat ik met ' union all 1,2/* of iets dergelijks geen resultaten terug krijg. Jij bent dus al een stap verder, mijn vermoeden dat één van de input schermen vulnerable is (spoiler? please remove!).

Op welke IRC server zit je? Kan ik je PM sturen om spoilers te voorkomen?

Gr, DC
26-08-2011, 10:18 door Harbert
Op dit moment nergens (ik zit op het werk en mailen/forum posten vind ik al voldoende slacken). Vanavond misschien op de server van CS. Als ik zo kijk naar wat je doet kan ik je nog het (algemene) advies geven te kijken naar je "/*" en of daar ook alternatieven voor zijn en de union te starten met een string die sowieso geen resultaat oplevert. Zo niet dan moet ik even een manier vinden om op wat privatere wijze in contact te komen zonder botweg mijn mailadres hier neer te plempen :p.
26-08-2011, 10:25 door 0xDC
Hi,

Ja, hier precies hetzelfde hoor, ook op het werk. Ik zal hier nog even naar kijken vanavond, wellicht dat we dan nog even contact kunnen hebben. Overigens heb ik ook nog naar de Advanced SQL Injection van Frank gekeken die Live HTTP headers gebruikt, voor alsnog geen geluk.

Gr, DC
26-08-2011, 13:56 door Anoniem
Ik ben klaar met de challenge, en jullie denken VEEELSTE moeilijk na.
Probeer je gewoon voor te stellen wat voor soort sql qeury je zou hebben bij een simpele zoekfunctie als dit.
29-08-2011, 19:46 door Harbert
Het was niet zozeer makkelijker, maar wel anders dan ik eerst dacht. Feit is dat je een tabel hebt en dat je wilt weten waar het wachtwoord staat. Je kunt dit doen door te gokken of door je te verdiepen in de structuur van een SQL database.
11-09-2011, 20:54 door Anoniem
Krijgen jullie dan ook daadwerkelijk een SQl error op je scherm? zo ja, heb ik nog niet het juiste veld gevonden.
12-09-2011, 10:01 door Harbert
[admin] Geen spoilers a.u.b. [/admin]
13-09-2011, 20:15 door D3D0X
De p2000 heb ik makkelijk kunnen oplossen, echter de laatste SQL-injectie houd me al 3 dagen bezig....p2000 heeft me wel geleerd hoe ik tabellen uit een DB lees, krijg alleen nog steeds geen SQL query in d efout.
14-09-2011, 22:21 door D3D0X
Ik weet toch zeker dat het [admin] Geen spoilers aub [/admin] vunerable is maar waar blijven de erros
19-09-2011, 12:14 door Profeet
Deze is inderdaad tricky. tables heb ik, maar Ik krijg de column names er maar niet uit. De standaard query werkt niet :). kan je die schema namen ook aanpassen ofzo?!. Vanavond maar is wat dieper induiken :)
19-09-2011, 13:30 door Anoniem
waar vind ik deze challenge?
19-09-2011, 14:44 door Profeet
meest rechter blad/tab met challenges. De challenge die horen bij security specialist
19-09-2011, 14:53 door Anoniem
bedoel meer een URL. ik heb namelijk nergens (security.nl en certified cecure.) een tab/collum of klink naar challenges...
19-09-2011, 16:39 door ondernul
ik ben meer opzoek naar een URL ofzo. ik heb namelijk op bijde sites geen hackme of challenge knoppen zegma..
ben geen expert maar wil het gewoon eens proberen..
19-09-2011, 19:49 door Harbert
https://www.certifiedsecure.com/certificatedetails/security

(de eerste drie linkjes zijn alle hackmes. Ik wist toen ik eraan begon ook eigenlijk helemaal niets, maar als je van makkelijk naar moeilijker gaat kun je best inzicht krijgen in dit soort zaken :) )
19-10-2011, 19:23 door nick3hh
Ik ben nog een redelijke beginner hier, ben wel al op 75% maar kan nergens een plekje vinden waar ik een injectie kan doen.. (en daadwerkelijk ook een foutmelding genereren..) ben ik nou zo slecht bezig? of zie ik het echt totaaaal over hoofd.. enige tips zijn welkom
19-10-2011, 20:15 door Harbert
Door nick3hh: Ik ben nog een redelijke beginner hier, ben wel al op 75% maar kan nergens een plekje vinden waar ik een injectie kan doen.. (en daadwerkelijk ook een foutmelding genereren..) ben ik nou zo slecht bezig? of zie ik het echt totaaaal over hoofd.. enige tips zijn welkom

Je zou even naar de opmerkingen van mij en 0xDC kunnen kijken. Mijn vermoeden is dat je iets geprobeerd hebt op een plaats waar je op zich wel een foutmelding hebt gekregen, maar dat je die melding niet hebt gezien omdat je je bijvoorbeeld niet gerealiseerd hebt waar deze dan zou moeten komen te staan. De plek waar je moet injecten is namelijk de meest logische plaats (de enige plaats waar je wel toegang toe hebt met 75% en geen toegang met een lager percentage).
19-10-2011, 23:41 door nick3hh
Ja daar zit ik al een beetje mee te stoeien.. Krijg het niet voor elkaar... mehhh, ill keep on trying.. ;-) wordt een lange nacht! :P
24-10-2011, 15:59 door Harbert
Misschien als hint (als je er nog niet uit was) kijk verder dan je neus lang is.
15-11-2011, 19:51 door Omnipotence
Ik zit momenteel ook vast op 75%... Ik heb de plaats gevonden waar ik de injection moet uitvoeren maar ik kan gewoon geen password veld vinden. Heb ook al gezocht naar een andere tabel maar zonder success tot nu toe.
De tabellen en velden hebben redelijk voor de hand liggende namen neem ik aan? Anders wordt het gokken wel erg lastig.
15-11-2011, 19:54 door Harbert
Door Omnipotence:
De tabellen en velden hebben redelijk voor de hand liggende namen neem ik aan? Anders wordt het gokken wel erg lastig.
Wie heeft het hier over gokken (deze vraag is zuiver rhetorisch en bedoeld als hint)?
19-11-2011, 17:34 door Anoniem
Is deze server eigenlijk nog volledig online? Ik krijg vanaf verschillende netwerken nogal verschillende resultaten bij het scannen naar dit ip (meeste lijkt alles te rejecten, maar via een ziggo-verbinding lijkt ik wel wat poorten te vinden die gewoon een time-out geven)
21-11-2011, 11:26 door Anoniem
Als het scannen vanaf je eigen verbinding een probleem oplevert, kun je altijd de shell gebruiken uit de challenge.
13-01-2012, 16:06 door SLight
[admin] Geen spoilers aub [/admin]
13-01-2012, 18:06 door SirDice
Door SLight: Ik zit inmiddels ook vast bij de laatste SQL-injectie. Met Live HTTP Headers SQL-injecties (UNION SELECT 1,2, etc / order by 1, etc) in POST request sturen krijg ik maar geen informatie over de hoeveelheid kolommen te zien.
Die krijg je ook niet te zien. De truuk is om opeenvolgende queries te doen met SELECT 1, dan SELECT 1,2, dan SELECT 1,2,3 etc. Net zo lang tot je een resultaat ziet. Je weet dan hoeveel kolommen de code verwacht terug te krijgen.
13-01-2012, 21:01 door SLight
Het punt is niet dat niet weet waar ik de injecties moet doen en hoe maar alleen de uitvoer. Voor iDB, CTF sql100, sql200 en Boris heb ik ook al met succes SQL injecties gedaan.
13-01-2012, 21:08 door 0xDC
Het enige nuttige wat ik denk ik kan zeggen is: bekijk de bron code van de website en volg hier vervolgens alle links. Deze zit namelijk behoorlijk smerig in elkaar.

Gr, 0xDC
13-01-2012, 21:24 door SLight
Door 0xDC: Het enige nuttige wat ik denk ik kan zeggen is: bekijk de bron code van de website en volg hier vervolgens alle links. Deze zit namelijk behoorlijk smerig in elkaar.

Gr, 0xDC
Het behoorlijk smerige had ik al gevonden, dat indirecte...
Daarom gebruik ik ook Live HTTP Headers en niet de zoek forms.

Na zo'n 300 keer op vernieuwen geklikt te hebben vandaag en zo'n beetje alle mogelijke combinaties geprobeerd te hebben begin ik een beetje aan de haalbaarheid te twijfelen.
14-01-2012, 10:25 door 0xDC
Oke, als je het 'smerige' gevonden hebt, dan snap je dat je je payload aan moet passen om een juiste query uit te kunnen voeren.

Even off topic en compleet los van deze missie, Live HTTP Headers is een aardige manier om POST en GET's te bekijken en te "Replay-en". Wat ik jou (en iedereen) kan adviseren is het gebruik maken van Fiddler. Fiddler werkt als een proxy en hiermee kun je dus alle requests en response headers bekijken op een wat meer georganiseerde manier. Er zijn diverse addons verkrijgbaar die sommige zaken een stuk makkelijker maken.

Gr, 0xDC
14-01-2012, 11:20 door SLight
edit: en al gehaald met wat hulp en uitleg op IRC
07-02-2012, 19:07 door benjamin1555
Door Omnipotence: Ik zit momenteel ook vast op 75%... Ik heb de plaats gevonden waar ik de injection moet uitvoeren maar ik kan gewoon geen password veld vinden. Heb ook al gezocht naar een andere tabel maar zonder success tot nu toe.
De tabellen en velden hebben redelijk voor de hand liggende namen neem ik aan? Anders wordt het gokken wel erg lastig.

Heb al veel gezocht naar de plaats waar de sql injection kan worden uitgevoerd, alleen kan hem echt niet vinden. Iemand een hint / idee ?

Groet+thx
Benjamin
07-02-2012, 21:02 door SLight
[admin] geen spoilers svp [/admin]

ik vond hem zelf niet te ver gaan maar, oke.

PS Ik hoop niet dat je profielfoto op security.nl is wat ik denk dat 't is en dat dat ook de rede voor die avatar is...
07-02-2012, 21:09 door benjamin1555
Door SLight: [admin] geen spoilers svp [/admin]

PS Ik hoop niet dat je profielfoto op security.nl is wat ik denk dat 't is en dat dat ook de rede voor die avatar is...


Thanks ik ga verder zoeken , no worries - just a picture ;-)
08-02-2012, 18:52 door Anoco
Ik loop toch vast bij die SQL injection zodra je moderator ben geworden.. zit nu op de pagina om een match toe te voegen.

Maar blijf nu hangen op 75% en wil graag toch deze challenge halen! Kan iemand een tip geven hoe nu verder?
08-02-2012, 19:08 door SLight
Door Anoco: Ik loop toch vast bij die SQL injection zodra je moderator ben geworden.. zit nu op de pagina om een match toe te voegen.

Maar blijf nu hangen op 75% en wil graag toch deze challenge halen! Kan iemand een tip geven hoe nu verder?
Een eerdere tip die ik zelf niet te ver vond gaan is door de admin weggehaald, dus je zult het via het IRC-kanaal moeten doen.
08-02-2012, 21:06 door 0xDC
Lees alle source codes die er zijn, met nadruk op 'alle'.

0xDC
21-09-2012, 12:11 door gorbatsjov
Loop nu ook vast op de laatste SQL injectie. Weten niet waar we hem moeten uitvoeren. zijn er nog tips??
28-09-2012, 19:08 door Anoniem
alle tips zijn hier al meerdere malen gegeven. waarom blijven mensen steeds nieuwe topics hiervoor aanmaken. Het irc channel is de 'oplossing'
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.