Certified Secure Challenges - Over challenges en dergelijke

Challenge Hacker Comedy and Tragedy

12-07-2016, 17:05 door Anoniem, 11 reacties
Wat een geweldige uitleg!!!
Ben al 2 dagen bezig om stap 2 te zetten. Heb de tips geprobeerd te begrijpen en op te volgen, gegoogled en allerlei andere manier informatie proberen op te halen, echter kom ik geen stap verder. Laptop ging bijna door het raam naar buiten. Tips?
Reacties (11)
14-07-2016, 09:35 door RoKo3059
Waar loop je vast?
25-02-2017, 14:22 door Mella
Beste,

Ook ik loop een beetje vast bij de challenge Hacker comedy tragedy.
Nu heb ik een Foutmelding veroorzaakt.

file_get_contents(../include/comedy/test1234): failed to open stream: No such file or directory in /var/vhosts/comedy/www/show.php on line 15

Nu word er gevraagd om het bestand login.php te lezen welke in dezelfde map als show.php zo staan nu loop ik hier vast en weet niet hoe ik deze map zou kunnen lezen.

(Vraag: Hoe kom ik in de map login via path traversal?)

Tnx :)
26-02-2017, 14:11 door j-gvk
Op of achter de plek waar je de foutmelding hebt gecreëerd start je met je path traversal. Probeer eerst eens of je /etc/passwd kan uitlezen. Weer je zeker dat er een map login is waar je moet zijn !?
26-02-2017, 14:31 door DenCar - Bijgewerkt: 26-02-2017, 15:02
[Verwijderd door moderator]
26-02-2017, 16:19 door j-gvk
show.php is niet het juiste bestand. In de instructie staat: Lees het bestand login.php. Bekijk ook eens de broncode van de pagina.
26-02-2017, 19:28 door DenCar
Je hebt helemaal gelijk, ik bedoelde ook login.php

Even voor mijn beeldvorming...de oplossing kan ik simpelweg terugvinden door alleen gebruik te maken van de adresbalk en niet een seperaat programma ernaast te draaien? Ik bedoel hiermee te zeggen dat ik dmv het wijzigen van tekst in de adresbalk de oplossing kan vinden (dus het bestand login.php).
Ik werk overigens in Windows 10.
26-02-2017, 20:41 door Mella
@J-gvk :

Je zei dat je moet beginnen met de path traversal ../../etc/passwd om deze te kunnen uitlezen.
Nu heb ik dit gedaan en krijg ik deze melding met onder andere

[ root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/usr/sbin/nologin.]
en dat gaat gaat zo nog even verder.

Zou ik van uit deze melding in de map login.php kunnen komen ?

@DenCar:

Ben jij al verder gekomen vanuit de passwd?
Ik gebruik overigens ook Windows 10.
26-02-2017, 22:44 door laurensvw91
beste,

ik het exact hetzelfde probleem.

na de foutcode probeer ik in de map /www waar ook show.php (het programma) in zou moeten staan, login.php te openen.

https://comedy.certifiedsecure.org/show.php?file=var/vhosts/comedy/www/????

ik kom er echt niet uit.... op een of andere manier wilt hij de login.php niet vinden en niet downloaden.. ik snap dat dit een challenge is maar ik ben al 9 uur bezig om te achterhalen hoe dit precies werkt.

Kan iemand helpen?
27-02-2017, 07:48 door j-gvk
[Verwijderd door moderator]
27-02-2017, 10:03 door DenCar
@j-gvk: ontzettend bedankt voor je correctie (nogmaals :) ). Dit heeft de gewenste resultaat opgeleverd.

Mijn hint voor eenieder is om de thread van j-gvk van 07:48 heel goed te lezen. De combinatie van vraag en bestand levert je de oplossing.
27-02-2017, 14:44 door Mella
@J-gvk en DenCar

Erg gedankt voor jullie uitleg heb het ww gevonden. Zat in de verkeerde bestand te zoeken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure