Certified Secure Challenges - Over challenges en dergelijke

Distelcorp challenge Hash

23-02-2012, 08:50 door bjorn015, 21 reacties
Ik ben me ook eens gaan wagen aan de challenges op certified secure. Tot nu toe ben ik er heel goed uitgekomen, maar nu zit ik vast op de distelcorp challenge.

Nu is het probleem dat ik echt geen idee heb hoe ik deze hash kan kraken, heb al diverse sites op internet geprobeerd zonder resultaat.
Reacties (21)
23-02-2012, 09:13 door Nimrod
Probeer eens een virtual machine te starten met Windows XP. En download dan wat bruteforce tools voor hashes. Gewoon googlen, en anders bevat volgens mij BackTrack ook wel een dictinairy/bruteforce attack volgens mij, maar dat weet ik niet zeker.
23-02-2012, 09:44 door bjorn015
Als ik het zo goed begrijp is er dus echt een Brute Force nodig. Dit gaat heel veel tijd kosten ben ik bang dan :(
23-02-2012, 10:33 door Vergeten - Bijgewerkt: 24-06-2014, 17:26
Ik ga vanuit dat je met een bruteforce die via woordenlijst werkt het wel kan vinden...
Wat snelheid van een bruteforce anders ook kan helpen is zoeken voor een programma die de GPU laat werken, als je beetje goede GPU hebt zal dit stukken sneller gaan dan met een CPU.

[moderator] geen spoilers [moderator] (gewoon nieuwsgierig hoor)
23-02-2012, 11:54 door bjorn015
Een collega heeft een goede decoder gevonden op internet. Al had ik deze gisteren al geprobeerd zonder uitkomst !?
23-02-2012, 13:42 door Anoniem - Bijgewerkt: 24-06-2014, 17:25
[moderator] geen spoilers [moderator]
27-07-2012, 15:40 door Dennis_Koreman
allemaal leuk en aardig , maar blijf hangen op het eerste gedeelte . zoals de tip aangeeft vind de passwd file.
leuk dat had ik ook al verzonnen maar , de standaard path transversal werkt niet . wat zie ik over het hoofd.
27-07-2012, 17:38 door SirDice
Ik meen me te herinneren dat het niet op een voor de hand liggende plek zat. Als het goed is zijn er meerdere scripts en een enkele daarvan werkt. Kijk goed naar de code en wat er naar de server gestuurd wordt bij "normaal" gebruik.
27-07-2012, 18:52 door MisterX
Na de sql injection zal je inderdaad een hash vinden, deze moet je zien te 'kraken' er is echter nog een andere oplossing om in te loggen. Om die manier te vinden moet je dieper ingaan op de sql injectie..

En een hash kraken hoeft niet altijd zo moeilijk te zijn, wie zoekt die zal vinden..

veel plezier !
30-07-2012, 13:04 door Dennis_Koreman
@SirDice en MisterX

Tnx

Certificaat behaald
27-10-2012, 14:27 door Maudib11
Ik ben al een tijdje bezig met deze challenge. En de site geeft af en toe de tip. Probeer eens het /etc/passwd bestand te lezen maar wanneer ik probeer daar heen te gaan vind ik hem niet iemand misschien een kleine tip?
27-10-2012, 14:56 door didrix
Door Maudib11: Ik ben al een tijdje bezig met deze challenge. En de site geeft af en toe de tip. Probeer eens het /etc/passwd bestand te lezen maar wanneer ik probeer daar heen te gaan vind ik hem niet iemand misschien een kleine tip?
Let goed op wat de error zegt. Hoe komt dit overeen met wat je invoert?
27-10-2012, 20:09 door Maudib11
Lukt echt niet ik heb zelfs het patch traversal filmpje al heel vaak bekeken. Ik kom maar niet verder met de challenges :-(.

Het enige wat ik zie is dat de /etc/passwd niet bestaat...
06-11-2012, 10:30 door Anoniem
de etc/passwd file bestaat wel, probeer eens wat anders met de url
10-12-2012, 11:17 door Anoniem
ik kom er ook niet achter waar de passwd file staat. volgens mij heb ik alles al gezocht en gekeken. wordt er helemaal niet goed van. De tip die hier staan al 100x gelezen en lukt me niet :(. ik ben niet van het opgegeven maar nu kom ik daar wel in de buurt.
Kan iemand helpen A.U.B???

Gr Christoff
10-12-2012, 23:36 door Anoniem
blijf goed naar de foutmeldingen kijken! probeer anders het IRC kanaal eens (https://hacking.certifiedsecure.com).
07-01-2013, 15:45 door Anoniem
Er zitten twee variabelen in de URL, language en page... wees eens creatief met wat je geleerd hebt in path traversal.
25-04-2014, 08:32 door Neusbeer
sorry dat ik deze thread weer bump.

maar snap niet wat ik moet inlezen in de user map,
passwd lezen is geen probleem, alsmede vele logs files in var/log.
iemand enig idee wat te doen? kan de shadow file niet open.
23-06-2014, 16:47 door Anoniem
@Neusbeer zit precies met hetzelfde probleem
Inlezen gaat goed alleen wat voor informatie moet ik eruit halen?
Heb het keer op keer gelezen maar ik snap niet wat ik met passwd moet doen...
25-06-2014, 19:30 door Anoniem
Misschien even inloggen op het IRC kanaal? Mensen die het weten gaan hier toch niet spoilen.
03-07-2014, 16:25 door Anoniem
Door Anoniem: Er zitten twee variabelen in de URL, language en page... wees eens creatief met wat je geleerd hebt in path traversal.
Ik kom er ook niet uit heb alles al geprobeerd maar ik kan niet eens achter de hashtekens komen iemand nog suggesties?
15-04-2015, 15:05 door Anoniem
Door MisterX: Na de sql injection zal je inderdaad een hash vinden, deze moet je zien te 'kraken' er is echter nog een andere oplossing om in te loggen. Om die manier te vinden moet je dieper ingaan op de sql injectie..

En een hash kraken hoeft niet altijd zo moeilijk te zijn, wie zoekt die zal vinden..

veel plezier !

wel voor degene die nieuwe zijn in deze sector , ik ga maar is op zoek naar brute force programa's aangezine ik de hash niet gekraakt krijg via online decrypters
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.