Bien, de la charla que dí el miércoles pasado, conservo el concursillo que hice al final, que sería la hora de comer, y que quizás no se resolvía tan tan rápido, lo que hizo que de las 80 personas que habría durante toda la charla, al iniciar el reto quedaron 15, 10 y al final 3 o 4 . ::)
http://sevestworld.com/reto/charla/concurso.php
ACLARACIONES:
1. Seguramente le podeis sacar algún que otro bug al concurso, lo hice la noche anterior en la universidad en 10 minutillos
2. el reto se trata de encontrar el e-mail del administrador. Por lo que damos por supuesto que por ahí anda una base de datos de usuarios
3. Leer las 2 o 3 pistillas que hay en la página y a jugar
Gracias!
Ni siquiera intentarlo?? :¬¬ :¬¬
yo lo vi y... lo mio es el photoshop ;-)
salu2
Respuesta: ayudataller@mailinator.com xD
;-) ;-) ;-) ;-)
PD: no :-\
Bienvenido admin - Salir de tu cuenta
Datos bancarios
Saldo en cuenta: 1,000,000$
cuak xD
Jeje, esa era la demo de XSS que usé para la charla con los 3 navegadores principales xD, difícil la contraseña no? :P.
El reto consiste en sacar el email del admin, en una tabla de usuarios en la base de datos
una pergunta
se que carga un archivo y lo proceso , por ejemplo un txt , pero no lo sube al host no ?
solo lo procesa o como hace ?
para posibles ataques usas htmlentities para los codigos como < > y otros ?
no se me ocurre mucho como poder encontrar algo , a menos que viendo las cabeceras http , aunque no se...
Va procesando palabra por palabra y las coteja con una base de datos para ver si dicha palabra es una palabrota
>:(
bueno, el blind sql injection es claro.
pero como hare consultas si no puedo poner espacios xD
encontre un bug xss
http://sevestworld.com/reto/charla/index.php?font=%22%3E%3Cscript%3Ealert%28%22bug+por+fede_cp%22%29%3C/script%3E
ahora me fijo lo demas
>:(
ola.
Soy nuevo y no se muy bien como es este reto si me exprican un poco mas que hay que hacer alomejor puedo participar aunque no creo por que se pocas cosas aora mismo me estoy leyendo todos los temas para intentar ser tan bueno como vosotros.
si se trata sobre codigos HTML o CSS si puedo participar (es lo unico que se por el momento aparte de lo fundamental) :P
Cita de: fede_cp en 13 Abril 2010, 01:53 AM
encontre un bug xss
http://sevestworld.com/reto/charla/index.php?font=%22%3E%3Cscript%3Ealert%28%22bug+por+fede_cp%22%29%3C/script%3E
ahora me fijo lo demas
Obviamente NO es un bug, es el vector de ataque para la demo de XSS filter bypass de la charla que hicimos un compañero y yo.
El reto está en la pagina que he linkado.
Un saludo
por lo menos se que la base de datos esta fallando en la internacionalización.
(http://r.i.elhacker.net/cache?url=http://www.imaxenes.com/mini/conchack_no_i18n1ry81h8.jpg) (http://www.imaxenes.com/imagen/conchack_no_i18n1ry81h8.jpg.html)
:laugh: :laugh: :laugh: ;D ;D ;D
Probando XSS...
Es un reto del lado del servidor, por lo que el XSS en este caso no sería una opción.
PD. muy bueno eso jeje
je je, me alegra que haya hecho gracia...
... por otro lado, soy bastante newbie asi que este desafio me lo tomo como un objetivo de mediano plazo, voy aprendiendo cosas y probando, ahora mismo estoy aprendiendo a hacer programas en PHP, de hecho no hace mucho que instale un server apache para ir probando en local... :¬¬ y hasta le he dado vueltas su httpd.conf y este diantres todavia no me respeta :¬¬ ... pero bueno, la cosa es que como PHP es de lado servidor y tiene buena interoperabilidad con MySQL quizas por ahi le pueda atinar por lo menos de empezada, tambien estoy leyendo algo de teoria acerca de una tecnica que vi que se usa en estos casos "blind sql injection", ojala hubiesen textos mas como for dummies. jeje