Mensajes

Dimitrix, lo que pasa que como dejabas claro que esta idea salio del post del curso de ethical hacking.. pensaba que era relacionado, es decir, lo que aprendemos ahi aplicarlo en tu servidor. Pero bien, esto es cosa a parte, aca intentaran los que ya sepan del tema, yo me quedare viendo como van entonces xD Saludos!

Bueno, esa parte vendrá después, la idea es que 'entre todos' pongamos poco a poco ideas y consigamos crackear el servidor. Y luego veremos paso a paso como se hace.

Luego prepararemos ataques de SQL Injection, XSS, etc...

Vale todo? jeje. Salu2

Sí, excepto ataques por fuerza bruta y D/DOS.

Edu tienes razón, el teórico...

No entiendo lo del teórico ¿Podeis explicarlo?

Esto es una especie de concurso, no es un Tuto, una vez alguien consiga acceder, ya se realizará el tuto.

Corriendo un live cd de Back Track 5 ya sirve? sin instalarlo me refiero.

Se espera el Teorico para ir estudiando dias antes xD

Cada uno puede atacar como quiera :-)

PD: Yo también usaré el BT5

Aguantara no? xDD

- Los ataques espero que no xDDD
- Fisicamente es un servidor contratado, no está en mi casa...

Si lo dejo 'fácil' es para ir aprendiendo todos poco a poco y luego ir subiendo la seguridad, etc...

donde me apunto

El 1/5/2012 lo diré.

[aunque una pregunta... se podria incluir en las bases que el ganador (o los ganadores) explicasen como lo han logrado? una vez acabado el concurso claro.]

aunque una pregunta... se podria incluir en las bases que el ganador (o los ganadores) explicasen como lo han logrado? una vez acabado el concurso claro.

- Se me olvidó comentarlo, solo podrá nombrarse 'ganador' el que explique como lo ha realizado, puesto que esto es para aprender.

Supongo que no lo diras pero, sera linux o windows el server?

No me importa mucho decirlo pues es fácil saberlo: Linux.
De todos modos pondré la versión del SO y los puertos serán de serie.

Realmente no es más que un servidor reción instalado con un servidor apache, php, etc... pero nada securizado :-)

[Vale para que podamos opinar todos he creado este tema:]

Vale para que podamos opinar todos he creado este tema:

http://foro.elhacker.net/hacking_avanzado/concurso_nordm1_hack_my_server-t360003.0.html

[Hack My Server]

Hack My Server

El próximo día 01/05/2012 empezará un concurso que se tratará de Crackear un servidor (Totalmente legal todo). El concurso durará 30 días y si obtenemos permiso de el-brujo seguramente estará patrocinado por alguna empresa y habrá algún premio :-)

Bases:

• Daremos la IP del servidor que hay que Crackear.
• El servidor no tiene seguridad.
• La IP del servidor se dará por privado.

También me gustaría dejar claro que la idea de realizar esto es para que todos los usuarios aprendamos de todos, por lo que los organizadores agradeceriamos que se realizaran comentarios para que así todo el foro poco a poco fuera consiguiendo acceder al servidor.

CONDICIONES

• Se trata de ser colaborativos, es decir, si pedis la IP para atacar, contar en este POST como vais a atacar y lo que habeis conseguido.
• La idea es que entre todos aprendamos.
• Si alguien pide la IP, va atacando y no va informando en este POST, la próxima vez no se le entregará la IP del servidor.

GANADOR

• Será el primero que consiga acceder como Root.
• Tendrá que haber participado en este foro comentando, etc...
• Se le enviará una botella (España) de cerveza.
  
  • La cerveza será una HACKER PSCHORR importada desde alemania.

¡Que gane el mejor!

-------------------------------------------

PUNTACIÓN

Belial & Grimoire - GANADOR
- Muestra con que 2 exploits intentó atacar y con que programa: 1 punto
- Indique que file de Plesk es 'posiblemente' vulnerable. : 1 punto
- Muestra bug y link para posible XSS/SQLi en Plesk: 1 punto
- Muestra escaneo positivo e indica el programa: 1 punto

maxim_o
- Saca servicios del servidor: 2 puntos
- Descubre posible vulneración (no es al final): 1 punto

opportunity
- Posible SQLi en el Plesk: 1 punto
- Muestra IP del server: -1000 puntos
- Comparte posible SQLi: 1 punto

adastra
- Muestra el source para atacar si fuera vulnerable el proFTP: 1 punto
- Aporta como ha intentado acceder al PLESK y resuelve dudas: 1 punto
- Adastra prueba exploit y comparte resultado: 1 punto


m0rf
- Encuentra una vulnerabilidad (pero tiene que tiene que ser en local): 1 punto
- Comparte exploit posible vulnerabilidad: 1 punto

ESTE CONCURSO HA TERMINADO

Lo que no entiendo como pudieron cerrar a magaupload si la ley S.O.P.A todavia no esta aprobada.

Pueden cerrar por 1000 formas, por ejemplo en españa a base de denuncias por infringir la LOPD o la LSSI.

Incluso si tienen la TV comprada se puede poner una multa a una empresa como SeriesYonkis de 800.000€ y aunque ganen el juicio después de 3 años ya habrán tenido que vender/cerrar la empresa SeriesYonkis. (Esto es una técnica muy utilizada).

Hablaré con varias personas esta noche (mandaré MP) y luego veremos como se hace.

Me gustaría tener un servidor básico montado el 1 de Mayo preparado para que lo ataqueis.

Un saludo.