Algo gracioso en hackweb_carrito

AlbertoBSD · 22 Diciembre 2008, 16:07 PM

Yo sigo sin pasarla, y eso que ya he pasado mas dificiles

Cita de: MasterPunk en 21 Diciembre 2008, 15:04 PM
yo probé a poner que quiero 0,25 camisetas jajaja

No funciona!! ahora te tu camisa prefieres las mangas, o parte de la espalda ?

Cita de: дٳ⁪⁪⁪⁪⁪⁪⁪Ŧ٭ en 22 Diciembre 2008, 07:04 AM
sdc es rico!! xDDD

Ya confiesa que eres hijo de slim

en serio !!!

sirdarckcat · 25 Diciembre 2008, 01:43 AM

alguien hace tiempo encontro un error en la conversion de enteros a floats entre php y de alguna forma extra;a logro tener 0 en el carrito xD

no paso la prueba, pero es interesante

y seh! soy rico xD

WHK · 26 Diciembre 2008, 06:47 AM

Yo tampoco he pasado esa prueba y fijate que si calculas la cantidad de camisetas a llevar para pagar solo 10 te da una cantidad x de decimales en camisetas y aun asi no pasas la prueba porque te tira error, vi un poco la fuente y pude observar que cada ves que modificas los valores se cambia tambien un valor oculto en el formulario, pongo la misma cantidad otro dia en otro explorador y me aparece el mismo valor en ese type=hiden, cuando logré modificar ese valor poniendo como numero de camisetas la cantidad decimal solo para pagar 10 (hasta resté dentro de la misma variable) el carrito me decia "tramposo", supongo que al entender como se genera ese valor oculto que es un número entero ya sea positivo y a veces negativo podrás modificar los valores del formulario para pagar con la cantidad exacta de camisetas y pagar solo $10 desde el mismo firebugs para anteponerse a un bypass contra un csrf. Cual será el sistema para gnerar esa cifra?, traté de decodificar a decimales, hexadecimales, octales, y nada, intenté ver relaciones de n.camisetas y precio multiplicando, dividiendo, sumando, restando pero nada

, vi en la pagina anterior al script que envía el último formulario pero ahi solo hay javascript que te redirecciona al sistema del formulario asi que no se aloja ningún valor que pudiera diferenciar entre cada usuario como para poder generar algún tipo de hash. Ahora la solución mas lógica que veo es hacerse pasar por un familiar de sdc y pedirle la respuesta por correo

AlbertoBSD · 26 Diciembre 2008, 07:16 AM

Aaaa entonces es una prueba de Ingenieria Social

eso si amerita mas puntos, por que para hacerse pasar por alguien de la familia de sdc y engañarlo mediante correo electronico, necesitas realizar un MIM y conseguir las llaves PGP y tambien el pass phrase ya que el mantiene todas sus conversaciones cifradas

Definitivamente la prueba amerita unos 30 Puntos en caso de pasarse de esa manera

.

Pero ahora que lo pienso mejor, segun recuerdo la prueba no fue hecha por sdc, si no mas bien por Crack_X asi que no se va a poder aplicar Ingenieria Social

.

En fin que mas le hacemos. Yo tambien he estado sumando y restando como loco y pss naaa.

Saludos.

sirdarckcat · 26 Diciembre 2008, 21:09 PM

jaja seh, fue hecha por crackx

WHK · 27 Diciembre 2008, 02:32 AM

Citarjaja seh, fue hecha por crackx

Ahora ya sabemos a quien mandarle los correos

AlbertoBSD · 27 Diciembre 2008, 06:53 AM

Lastima que este off...

A si me falta esto:

Citar

Saludos!!

Uxio · 28 Diciembre 2008, 22:21 PM

Pues yo tambien me he quedado encerrado en esta prueba.

Sin embargo, al php que evalúa si somos tramposos o no, sólo se le envía el número mágico y el total, según creo, así que debe haber alguna relación...

Uxio · 28 Diciembre 2008, 22:35 PM

Ajá, ya lo superé

AlbertoBSD · 29 Diciembre 2008, 04:55 AM

Cita de: Uxio en 28 Diciembre 2008, 22:35 PM
Ajá, ya lo superé

wtf?!?!?!

$:-\$ $:-\$ $:-\$