Certified Secure Challenges - Over challenges en dergelijke

boris

10-08-2011, 22:45 door Anoniem, 45 reacties
Leuk concept die boris challenge, maar ik loop vast op de tweede site. Je ziet een mededeling dat je daar niet hoeft te kijken en 'that's it'... Ik zal mijn creativiteit nog eens botvieren, maar hints zijn toch altijd welkom.
Reacties (45)
11-08-2011, 09:50 door SirDice
Waar heb je het over?!?
11-08-2011, 09:54 door DanielG
Je bent op de goede weg, het lukt je vast wel

@SirDice dit is het Certified Secure forum, dus hij heeft het over de challenges op https://www.certifiedsecure.com
11-08-2011, 10:07 door SirDice
Door DanielG: @SirDice dit is het Certified Secure forum, dus hij heeft het over de challenges op https://www.certifiedsecure.com
Ah, context helpt..
11-08-2011, 10:21 door Harbert
(toch even een account aangemaakt om niet constant te moeten wachten op moderering)
SirDice: Yup, ik heb het gevonden. Maar nu zit ik meteen een stap verder vast. Ik geloof dat ik een idee heb wat ik moet doen omdat ik kan me van 'vroegah' herinneren dat ik tijdens de 'scoor een shell' een dirlisting kon krijgen. Dat stond toen op het oude forum wel min of meer in de discussie, maar aangezien ik daar niet echt meer bij kan en google me niet verder helpt zal het weer prutsen worden (wat natuurlijk ook de lol is die ik eraan ontleen)
11-08-2011, 11:47 door Spiff has left the building
Door DanielG: dit is het Certified Secure forum
Uh ... maar Certified Secure heeft toch zijn eigen forum, zo dacht ik?
En dat was ook zo, maar het is hier naartoe verhuisd, zie ik nu:
https://www.certifiedsecure.com/community
" Het Certified Secure forum vind je op Security.nl."
http://www.security.nl/forum
Waaronder nu tevens: "Certified Secure - Over challenges en dergelijke"
Ik snap 't ;-)
11-08-2011, 11:50 door Harbert
Door Spiff:
Door DanielG: dit is het Certified Secure forum
Uh ... maar Certified Secure heeft toch zijn eigen forum, zo dacht ik?
En dat was ook zo, maar het is hier naartoe verhuisd, zie ik nu:
https://www.certifiedsecure.com/community
" Het Certified Secure forum vind je op Security.nl."
http://www.security.nl/forum
Waaronder nu tevens: "Certified Secure - Over challenges en dergelijke"
Ik snap 't ;-)



Om even off-topic door te gaan (dit zou eigenlijk best informatief zijn als afgesplitst topic): is de informatie van het oude forum bewaard gebleven en zijn er plannen dat oude forum ook doorleesbaar te maken?
11-08-2011, 15:08 door CosmicFire1
Om even off-topic door te gaan (dit zou eigenlijk best informatief zijn als afgesplitst topic): is de informatie van het oude forum bewaard gebleven en zijn er plannen dat oude forum ook doorleesbaar te maken?

De oude forumberichten kun je terugvinden via de Google cache. Er zijn op dit moment geen plannen voor een archief op dit forum, maar via de volgende link kun je toch nog eenvoudig alles bekijken.
http://www.google.nl/search?hl=nl&q=site%3Ahttps%3A%2F%2Fhacking.certifiedsecure.com&btnG=Zoeken
11-08-2011, 15:17 door Harbert
Super! Daar had ik aan moeten denken. Dank je!

Dan nog een offtopic-vraag, om het af te leren: ik zie dat de "URL hacker" challenge niet meer bestaat. Dan kan het vast geen kwaad te vertellen wat nu uiteindelijk de grap was...
11-08-2011, 15:29 door CosmicFire1
Dan nog een offtopic-vraag, om het af te leren: ik zie dat de "URL hacker" challenge niet meer bestaat. Dan kan het vast geen kwaad te vertellen wat nu uiteindelijk de grap was...

Ik weet zelf ook niet wat de challenge was, maar ik heb gehoord dat die mogelijk terugkomt.
11-08-2011, 18:01 door SirDice
Geinig.. Rond 11:00u ook maar even een accountje aangemaakt. En nu 100% voor beide certificaten :)

https://www.certifiedsecure.com/profile/SirDice
11-08-2011, 19:00 door Jolt Oops
Nice! Panic Picnic ook geprobeerd? :)
11-08-2011, 21:10 door SirDice
Door Jolt Oops: Nice! Panic Picnic ook geprobeerd? :)
Nee, ik heb verder nog niets gedaan. Ik zal eens een paar van die extra dingen proberen. Ze zijn wel leuk :)

Hehe.. Ik had, gek genoeg, nog de meeste moeite met de laatste stap van IDB Challenge. Ik zag 't totaal niet. Achteraf was het duidelijk natuurlijk. Ook op de laatste stap van Distelcorp zat ik een tijdje vast. Zat me blind te staren op 't verkeerde, duh :}

@OP: Hint, kijk even goed naar de source van die eerste pagina, dan zie je vanzelf wel iets wat je kunt 'misbruiken'. Een beetje porren en dan word het vanzelf duidelijk ;)
25-08-2011, 17:25 door Anoniem
Ik kom er niet achter hij probeert /**/*** (je weet wel) met die ene script uit de source te parsen als jpeg... Hoe kan ik dan het lezen :(?
26-08-2011, 09:42 door Harbert
Anoniem: in de CTF-challenge kom je een vergelijkbaar probleem tegen. Eerlijkgezegd weet ik niet of er een simpele oplossing is. Heb je geprobeerd te saven en de extensie te wijzigen?
26-08-2011, 23:53 door Anoniem
Ik zit helaas ook vast op de 2e site (Crimecorp)

Heb wel het scriptje gevonden waarmee images geladen worden, maar buiten de image bestanden in de source code van de eerste pagina zou ik niet weten wat ik moet gaan proberen/op moet letten om verder te komen.

Zijn er nog tips?
29-08-2011, 15:31 door Anoniem
Zit helaas ook vast op de Crimecorp website.

Kan iemand misschien een kleine hint geven?
29-08-2011, 19:44 door Harbert
Voor crinecorp geldt: heb je level 2 van de path traversal gedaan van CTF? Zo ja, dan is dat op zich een hint.

Verder heeft crimecorp blijkbaar geen website. Misschien hebben ze een ander type systeem. Houd in je achterhoofd dat je op zoek bent naar de identiteit van Boris voordat je op het systeem gaat bladeren.
30-08-2011, 08:41 door Anoniem
Heeft iemand een tip voor de eerste website ? ik kan niet achter de tabel namen komen. En dan weet ik ook niet of mijn injecties goed gaan. door veel gokken heb ik wel iets waar ik geen foutmelding meer krijg, maar ik weet niet zeker of dit de goede namen zijn. Alle hulp is welkom
30-08-2011, 10:20 door Harbert
De eerste stap is te kijken of je een plek op de site kunt vinden die de sql database aanroept om inhoud te genereren. Ik gok dat jij op de verkeerde plaats aan het zoeken bent door de zin " En dan weet ik ook niet of mijn injecties goed gaan".Je zou idealiter het eerst moeten beginnen met iets van 1, 2, 3, 4 op het scherm te krijgen.
30-08-2011, 10:52 door Anoniem
Bedankt voor de tip, heb eindelijk gevonden hoe ik deze challange kon voltooien :)
16-09-2011, 15:38 door MK001
Door Harbert: Voor crinecorp geldt: heb je level 2 van de path traversal gedaan van CTF? Zo ja, dan is dat op zich een hint.

Verder heeft crimecorp blijkbaar geen website. Misschien hebben ze een ander type systeem. Houd in je achterhoofd dat je op zoek bent naar de identiteit van Boris voordat je op het systeem gaat bladeren.

Ik kom er nog steeds niet uit :(

[admin] Geen spoilers aub [/admin]
Ik zal het wat anders formuleren, hopelijk mag het zo wel:

Moet ik op een soortgelijke wijze als bij Path Traversal 2 van CTF ergens komen? Zit ik goed als ik bij het mapje wil komen waar de images staan? Verder kan ik eigenlijk geen scripts/bestanden vinden om te benaderen/gebruiken, heb meerdere malen de source doorgelopen .

Alvast bedankt,
17-09-2011, 18:53 door Harbert
Ik heb de spoiler via de mail gelezen en dat leek an sich de goede kant op te gaan. Je weet denk ik welke tool je moet gebruiken maar je moet nu alleen nog bedenken wat je eigenlijk wilt bekijken.

De site wordt gehost op een computer. Je zou je kunnen afvragen of Boris toevallig toegang tot deze computer zal hebben. (==spoiler?). Zou er een manier zijn om hier achter te komen?
24-09-2011, 23:24 door MK001
Door Harbert: Ik heb de spoiler via de mail gelezen en dat leek an sich de goede kant op te gaan. Je weet denk ik welke tool je moet gebruiken maar je moet nu alleen nog bedenken wat je eigenlijk wilt bekijken.

De site wordt gehost op een computer. Je zou je kunnen afvragen of Boris toevallig toegang tot deze computer zal hebben. (==spoiler?). Zou er een manier zijn om hier achter te komen?

Hallo,

Bedankt. Het is zojuist gelukt :)

Klopt het dat er vervolgens nog maar één stap is? (Dus eerst op 67% en vervolgens 100%), of sla ik nu ergens iets over? Dat laatste stapje was nogal onverwachts namelijk...
29-09-2011, 10:26 door Brian
Door MK001:
Door Harbert: Ik heb de spoiler via de mail gelezen en dat leek an sich de goede kant op te gaan. Je weet denk ik welke tool je moet gebruiken maar je moet nu alleen nog bedenken wat je eigenlijk wilt bekijken.

De site wordt gehost op een computer. Je zou je kunnen afvragen of Boris toevallig toegang tot deze computer zal hebben. (==spoiler?). Zou er een manier zijn om hier achter te komen?

Hallo,

Bedankt. Het is zojuist gelukt :)

Klopt het dat er vervolgens nog maar één stap is? (Dus eerst op 67% en vervolgens 100%), of sla ik nu ergens iets over? Dat laatste stapje was nogal onverwachts namelijk...
ik zit met hetzelfde. ik weet zijn volledige naam maar hij staat op 67%
de challenge lijkt mij opgelost eigenlijk....
29-09-2011, 10:36 door Harbert
[admin] geen spoilers aub [/admin]
29-09-2011, 13:02 door nick3hh
Ik heb, waarschijnlijk, een vreemde fout ontdekt bij Boris challenge..

[admin] Geen spoilers aub [/admin]

Weird?!
29-09-2011, 13:19 door Anoniem
Dat lijkt inderdaad vreemd, maar omdat het hint-systeem op de main page actief is zal ook hier worden getoond wanneer iets is behaald.

Frank
29-09-2011, 13:33 door Anoniem
Probeer dit eens met IE, ik heb hetzelfde probleem gehad met FireFox waardoor je niet verder kon. In IE werkte het wel (vaag idd!)
30-09-2011, 00:18 door nick3hh
Met IE is het me wel gelukt.. Thanks!
30-09-2011, 12:57 door Anoniem
[admin] geen spoilers aub [/admin]
03-10-2011, 18:02 door WK
Heb hem helemaal gedaan met FF met HackBar en Firebug, FF add-ons, is deze heel goed te doen. En met behulp van Charles Proxy Debugger :) met wat instellingen. (ps. is ook handig voor CFG "Path 200")
30-10-2011, 12:36 door vdvcoder
[admin]geen spoilers aub[/admin]
kan iemand me aub een klein tipje geven.
30-10-2011, 21:38 door Harbert
Door Highse: [admin]geen spoilers aub[/admin]
kan iemand me aub een klein tipje geven.
Toevalligerwijs heb ik een vergelijkbare vraag eerder beantwoord in deze discussie:

Ik heb de spoiler via de mail gelezen en dat leek an sich de goede kant op te gaan. Je weet denk ik welke tool je moet gebruiken maar je moet nu alleen nog bedenken wat je eigenlijk wilt bekijken.

De site wordt gehost op een computer. Je zou je kunnen afvragen of Boris toevallig toegang tot deze computer zal hebben. (==spoiler?). Zou er een manier zijn om hier achter te komen?
25-11-2011, 17:59 door Noob_Hacker
Hai Allemaal,
[admin] geen spoilers aub [/admin]

Dank je
13-01-2012, 19:53 door Anoniem
Never mind ... ik moet beter opletten :)
17-01-2012, 14:41 door kloek8
[admin] geen spoilers! [/admin]
17-01-2012, 14:47 door kloek8
Door CosmicFire:
Om even off-topic door te gaan (dit zou eigenlijk best informatief zijn als afgesplitst topic): is de informatie van het oude forum bewaard gebleven en zijn er plannen dat oude forum ook doorleesbaar te maken?

De oude forumberichten kun je terugvinden via de Google cache. Er zijn op dit moment geen plannen voor een archief op dit forum, maar via de volgende link kun je toch nog eenvoudig alles bekijken.
http://www.google.nl/search?hl=nl&q=site%3Ahttps%3A%2F%2Fhacking.certifiedsecure.com&btnG=Zoeken

Uw zoekbewerking - site:https://hacking.certifiedsecure.com - heeft geen overeenkomstige documenten opgeleverd.

Suggesties:

Zorg ervoor dat alle woorden goed gespeld zijn.
Probeer andere zoektermen.
Maak de zoektermen algemener.
17-01-2012, 15:18 door SLight
Denk je dat Google alle pagina's voor eeuwig in cache bewaard?
12-09-2012, 17:27 door Anoniem
Haha en dan ben je 5u bezig omdat je een 'a' was vergeten in het tweede deel van de path traversal attack. o.0
01-10-2012, 10:13 door IamSonja
ik zit zelfs na het lezen van deze pagina nog helemaal vast op het gedeelte met het achterhalen van de achternaam van boris... kan iemand nog iets van een hint droppen. ik denk dat ik weet waar ik moet beginnen met de path traversal maar daar houd het nu even op...

nevermind.. via IE ipv FF ging het erg snel...
20-05-2013, 13:27 door Gebruiker742214
ik heb hem helemaal maar hij ziet niet dat ik zijn naam achterhaald heb:-(
20-05-2013, 13:27 door Gebruiker742214
ik heb hem helemaal maar hij ziet niet dat ik zijn naam achterhaald heb:-(
20-05-2013, 13:48 door Anoniem
Probeer het eens met een andere browser, ik heb dit probleem ook gehad. Volgens mij werkte het in FF niet en in Chrome wel (of andersom, 't is alweer een tijdje terug)
21-05-2013, 10:52 door superjohn
Browser zou normaal niets mogen uitmaken. Net getest in chrome en ff en werkt in beide.

Als je boris zijn echte naam gevonden hebt, dan weet je wat je moet doen om the unlocken.

Daarna moet je nog zijn echte website vinden. Zolang je dit niet unlockt, dan zit je op de verkeerde website.
Je zal het ook wel weten als je op de goede zit.
24-05-2013, 09:29 door Thijs452
Haha wat grappig :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.