Desesperación con Hack-Web_EAS

Iniciado por chaotic57, 3 Septiembre 2020, 07:26 AM

0 Miembros y 1 Visitante están viendo este tema.

chaotic57

Hola muy buenas, pues nada llevo varias horas con esta prueba y he hecho todo lo que se me ha ocurrido: desde buscar rutas ocultas con diccionarios hasta cocinar galletas de mil formas mientras usaba un proxy para interceptar cada petición y ver si podía sacar algo en claro.

Lo único que he conseguido es encontrar un archivo en PHP al cual no puedo acceder sin ser profesor.

He podido también entrar en la página principal sin tener que haber logueado previamente simplemente cocinando para un usuario que me he inventado aunque parece que mas que un avance parece un bug porque no sale nada, la página en blanco.

Tampoco se si es un bug que al cocinar la galleta PATH no lo toma como corrupto si empieza por "%2FA"... y lo que sea (por ejemplo "%2Farbol" lo toma como válido)

También destacar que tanto en la página principal como en el referer donde está el iframe solo sale "The document has moved here" y un hipervínculo que apunta a http://blog.elhacker.net

A estas alturas ya no se si estoy progresando algo y me da rabia porque parece que solo encuentro bugs y hay alguna tontería que se me está escapando..

Si la prueba estuviera rota porfavor, me gustaría ser informado :-\

Muchas gracias y un saludo!

el-brujo

#1
hijo mío y para eso ¿era necesario enviar 222 mil peticiones a la web?

Estaba mirando los registros de CloudFlare y veo que hay 222.24k peticiones con tu ip en 10 minutos de 5:35 am a 5:45 am con el User Agent DirBuster-1.0-RC1 (http://www.owasp.org/index.php/Category:OWASP_DirBuster_Project)


Edito:

he quitado el block a tu IP en CloudFlare o no podrías entrar al foro.

chaotic57

Mea culpa, era para agilizar el proceso de buscar dirs o archivos ocultos que sirvieran como pista (ya que había una prueba que era así y pensé que sería buena idea)

Mis disculpas.

Llevo bastante tiempo con esta prueba y se me acabaron las opciones, ya no se por dónde tirar.

Lo que se hasta ahora:

  • Un archivo en PHP (que empieza y acaba por consonante) que no me deja acceder si no soy profesor.
  • Un parámetro GET que intuyo es el token de sesión para el usuario autenticado actual.
  • El apartado de debug al loguearse.
  • Las galletitas, que cocinándolas lo único que consigo es o una página en blanco o un aviso de que el path está corrupto.
  • Otro parámetro GET (que empieza y acaba por vocal) que sirve para acceder a varias funciones como ver el correo y demás.

Haga lo que haga no consigo salir de la típica pantalla de: Found, the document has moved here.

Agradecería mucho una pequeña pista o como mínimo saber si la prueba funciona correctamente, muchas gracias.

Saludos!

@XSStringManolo

A mi me gustaría saber como registrarme xD
Creo que en Android no va el captcha o algo.

Tenía cuenta hace siglos cuando tenía poca idea y me quedaron algunas pruebas sin hacer. A la de estego de los ojos me acuerdo de haberle echado aprox 30 horas seguidas y no tener ni idea de que hacer jajaja.

Si el reto va de galletas, y te pide ser profesor...
No me acuerdo del reto pero me imagino que no habrá que ir mucho más allá.

Pd: Te recomiendo no usar herramientas que no sabes lo que hacen, ni como lo hacen. No es raro tirar o ssturar un servidor con un scanner, romper una base de datos, una inyección perjudicial y cosas por el estilo.

chaotic57

Prueba desde PC mejor, desde Android si tal con otros navegadores puede que se visualice.

Yo de hack web hice casi todas menos 3 y esta prueba la intenté hace años y me rendí pero ahora me decidí a volver a retomarla ya de forma personal y me da rabia porque llevo días y no hay manera. Mucha gente ha llegado como mínimo a encontrar los hashes de los profesores y se supone que es la parte fácil y apenas comenzando XD

chaotic57

No se si la prueba estará rota, alguien podría confirmar que funciona correctamente porfavor?

chaotic57