Certified Secure Challenges - Over challenges en dergelijke

Magic Word - Special challenge

24-08-2019, 12:18 door J0eppp, 9 reacties
Hallo,

Ik ben al een tijdje bezig met de special challenge "Magic Word"

Volgens mij begrijp ik goed wat de nodejs server doet en ik heb de private key weten te bemachtigen dus ik kan m'n eigen signatures maken. Ik heb wat SQL injectie geprobeerd maar niks lijkt te werken. De standaard wachtwoorden lijst van Certified Secure werkt ook niet.

Iemand een tip?

Groeten Joep
Reacties (9)
24-08-2019, 16:58 door Anoniem
Nice work met de signature. Voor de volgende stap moet je denk ik eens kijken
naar de exacte implementatie, tip: "Don't get confused" :) Meestal is het IRC
kanaal trouwens een betere hulpbron dan het forum.
24-08-2019, 19:49 door Anoniem
Door Anoniem: Nice work met de signature. Voor de volgende stap moet je denk ik eens kijken
naar de exacte implementatie, tip: "Don't get confused" :) Meestal is het IRC
kanaal trouwens een betere hulpbron dan het forum.

De laatste keer dat ik op IRC zat werd ik een beetje skitzo van de antwoorden dus ik pas.

Sterkte met de ondubbelzinnige challenges.
24-08-2019, 21:52 door J0eppp
Door Anoniem: Nice work met de signature. Voor de volgende stap moet je denk ik eens kijken
naar de exacte implementatie, tip: "Don't get confused" :) Meestal is het IRC
kanaal trouwens een betere hulpbron dan het forum.

Ik snap echt niks van de hint "Confusion", heb er een tijd over gedacht en met vrienden die ook op Certified Secure zitten gesproken, en nog steeds geen idee. Heb je een andere tip misschien?
25-08-2019, 10:15 door Anoniem
Door J0eppp:
Door Anoniem: Nice work met de signature. Voor de volgende stap moet je denk ik eens kijken
naar de exacte implementatie, tip: "Don't get confused" :) Meestal is het IRC
kanaal trouwens een betere hulpbron dan het forum.

Ik snap echt niks van de hint "Confusion", heb er een tijd over gedacht en met vrienden die ook op Certified Secure zitten gesproken, en nog steeds geen idee. Heb je een andere tip misschien?

Deze challenge houdt de zoekers "keep them in the dark" dan kun je maximaal profiteren van de chellenge. Denk fout.

Zo zijn er nog meer instinkers. Ik vond ergens een puzzel die een overlap had met de offline wereld dus dan kun je op straat verder gamen maar welke was dat alweer die game? Geen Po Go maar iets met security en een 3D piramide bouwen met kleine straat steentjes, waarvoor je de instructies via internet krijgt. Schijnt populair te zijn bij security mensen?
25-08-2019, 12:36 door Anoniem
Door J0eppp:
Door Anoniem: Nice work met de signature. Voor de volgende stap moet je denk ik eens kijken
naar de exacte implementatie, tip: "Don't get confused" :) Meestal is het IRC
kanaal trouwens een betere hulpbron dan het forum.

Ik snap echt niks van de hint "Confusion", heb er een tijd over gedacht en met vrienden die ook op Certified Secure zitten gesproken, en nog steeds geen idee. Heb je een andere tip misschien?

Ik ken de challenge niet, maar misschien is de hint iets met type confusion?

https://www.microsoft.com/security/blog/2015/06/17/understanding-type-confusion-vulnerabilities-cve-2015-0336/
25-08-2019, 18:09 door J0eppp
Door Anoniem:
Door J0eppp:
Door Anoniem: Nice work met de signature. Voor de volgende stap moet je denk ik eens kijken
naar de exacte implementatie, tip: "Don't get confused" :) Meestal is het IRC
kanaal trouwens een betere hulpbron dan het forum.

Ik snap echt niks van de hint "Confusion", heb er een tijd over gedacht en met vrienden die ook op Certified Secure zitten gesproken, en nog steeds geen idee. Heb je een andere tip misschien?

Ik ken de challenge niet, maar misschien is de hint iets met type confusion?

https://www.microsoft.com/security/blog/2015/06/17/understanding-type-confusion-vulnerabilities-cve-2015-0336/

Ik heb het al geprobeerd toen ik de code nog niet goed begreep, dus ik ga het nog een keer proberen, bedankt voor de tip!!!
25-08-2019, 18:47 door Anoniem
Een tip in de goede richting want ik hang ook vast...
26-08-2019, 15:04 door J0eppp - Bijgewerkt: 26-08-2019, 15:07
Door Anoniem:
Door J0eppp:
Door Anoniem: Nice work met de signature. Voor de volgende stap moet je denk ik eens kijken
naar de exacte implementatie, tip: "Don't get confused" :) Meestal is het IRC
kanaal trouwens een betere hulpbron dan het forum.

Ik snap echt niks van de hint "Confusion", heb er een tijd over gedacht en met vrienden die ook op Certified Secure zitten gesproken, en nog steeds geen idee. Heb je een andere tip misschien?

Ik ken de challenge niet, maar misschien is de hint iets met type confusion?

https://www.microsoft.com/security/blog/2015/06/17/understanding-type-confusion-vulnerabilities-cve-2015-0336/

Ik vraag me nu ik bezig ben af, hoe kan dit me helpen met het krijgen van de unlock code?
Ik krijg alleen een true of false terug van de server als ik een magic word invoer, dus hoe zou dit kunnen helpen?
26-08-2019, 16:04 door Anoniem
Zonder iets te verklappen ;-)

Kent iemand de "slotautomaat challenge" ? De token daar misschien iets te maken met de code hier.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.