Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Seguridad Informática => Seguridad => Desafíos - Wargames => Mensaje iniciado por: 0x5d en 1 Abril 2014, 05:47 AM

Título: ["Desafío"] Patrón. - 0x5d
Publicado por: 0x5d en 1 Abril 2014, 05:47 AM
Hola, muy buenos días.

Hace un rato hice un login tipo patrón de android (que visualmente no se asemeja mucho, pero bueeh), el que me parece muy seguro, su url es http://181.41.199.11/patron/ , quisiera proponer vulnerar el sistema para medir la fortaleza. Así posteriormente quizás poder desarrollarlo de forma grupal.

Pista: Usuario: admin

Saludos.
Título: Re: ["Desafío"] Patrón. - 0x5d
Publicado por: BlackM4ster en 1 Abril 2014, 08:30 AM
Está bastante bien... una pregunta: usa base de datos?
Título: Re: ["Desafío"] Patrón. - 0x5d
Publicado por: 0x5d en 1 Abril 2014, 21:43 PM
Cita de: BlackM4ster en  1 Abril 2014, 08:30 AM
Está bastante bien... una pregunta: usa base de datos?
Discovery It jajaja
Título: Re: ["Desafío"] Patrón. - 0x5d
Publicado por: dantemc en 14 Mayo 2014, 18:29 PM
probé lo básico, XSS en "estado" y lo normal de SQLi, nada de herramientas.

No vi nada raro, más tarde si tengo tiempo le miro más.
Título: Re: ["Desafío"] Patrón. - 0x5d
Publicado por: BlackM4ster en 4 Junio 2014, 20:06 PM
Dado que el md5 lo genera el javascript, se podría automatizar un script que, usando esa función, generase los 389112 MD5 posibles y hacer una peticion masiva al servidor de logueo enviando todos y cada uno. No parece tener protección contra la fuerza bruta :D
Título: Re: ["Desafío"] Patrón. - 0x5d
Publicado por: Shell Root en 5 Junio 2014, 15:27 PM




1a2x3o
4d5i6u
7hh8h9b

Los valores se concatenan y se hashea 2 veces en md5, tendría que crear un diccionario con todas las posibles conbinaciones e intentar brutear el hash.

@dantemc, aqui no se vale de eso...
Sólo texto | Texto con Imágenes