El Warzone consta de 18 Niveles (por ahora) y es muy facilito (para aprender javascript y así)
http://zonaisc.com/
se me resiste el nivel 11 :¬¬
;-) ;-) ;-) ;-)
jajajaja intenta loguearte como sea, y descubre como se llama el admin jajaja
:silbar:
encontre un xss en el nivel 9 saludos jeje
jajajajaj Es que ni me he molestado taparlos, para qué?
La verdad es que es extremadamente sencillito, a ver a que nivel llegas jajaja ;-)
Cita de: Black Master en 13 Mayo 2013, 15:48 PM
La verdad es que es extremadamente sencillito, a ver a que nivel llegas jajaja ;-)
hasta el 11 jaja
Cita de: Black Master en 13 Mayo 2013, 15:12 PM
jajajaja intenta loguearte como sea, y descubre como se llama el admin jajaja
:silbar:
probe con el escroto y el muy tonto de mi, no probo con el admin jaja
excelente wargame me gusto mucho ;D
no me parecio tan facilito como dices sobretodo el ultimo nivel :P
(http://i42.tinypic.com/2yzas91.png)
Cita de: daryo en 13 Mayo 2013, 18:24 PM
excelente wargame me gusto mucho ;D
no me parecio tan facilito como dices sobretodo el ultimo nivel :P
(http://i42.tinypic.com/2yzas91.png)
Jajajaj veo que te lo has pasado, y has sacado el XSS del ranking jajajaja Felicidades ;-)
El ultimo nivel, queria programar yo un php vulnerable, pero el servidor directamente te lanza error 403 cuando encuentra inyecciones, asi que busqué en la vida real jajaja ;-)
En la última, lo harías a mano no? me refiero, para aprender xD ;-)
.../mineria.php?id=-1+union+select+1,2,@@version,4,5,6,7,8,9,10--
Cita de: Black Master en 14 Mayo 2013, 15:30 PM
En la última, lo harías a mano no? me refiero, para aprender xD ;-)
.../mineria.php?id=-1+union+select+1,2,@@version,4,5,6,7,8,9,10--
pues yo encontre un blind sql y ese es muy lento hacerlo a mano(ya conozco el metodo) asi que gracias a eso me puse a aprender sqlmap jeje saludos
yo me quedado en el 15 jaja
a ver si aprofundizo un poco mas en javascript
Jajajaajajaja intenté hacer el XSS al final del warzone y lo escribí mal por andar hablando por teléfono u.u ¿podrías borrar mis intentos de xss? excelente warzone!
Herramientas utilizadas:
-Havij (Inyecciones SQL con GUI)
-Firebug (Completemto firefox para el debug de páginas webs)
(http://lphone-unlock.com/odi/elhackernet.png)
vale ya me pasado el 15 xD aunque no lo he entendido mucho. Black Master te mando un privado de como lo he resuelto y mi hipotesis, para ver si lo he entendido o no xD
por cierto probando cosas me salio esta imagen:
(http://img5.imageshack.us/img5/5013/capturatt.png) (http://imageshack.us/photo/my-images/5/capturatt.png/)
Uploaded with ImageShack.us (http://imageshack.us)
Cita de: kaiserr en 15 Mayo 2013, 00:43 AM
vale ya me pasado el 15 xD aunque no lo he entendido mucho. Black Master te mando un privado de como lo he resuelto y mi hipotesis, para ver si lo he entendido o no xD
por cierto probando cosas me salio esta imagen:
(http://img5.imageshack.us/img5/5013/capturatt.png) (http://imageshack.us/photo/my-images/5/capturatt.png/)
Uploaded with ImageShack.us (http://imageshack.us)
Si, es mi error 404 jajajaja
Hola soy nuevo en el foro pero llevo leyendolo tiempo, se aprenden cosas interesantes :), este warzone esta muybien, Black Master buen trabajo, ciertos niveles los tuve que hacer de una manera que creo que asi no eran, otra no tengo conocimientos amplios en javascript pero con ellos llegue al nivel 16 :)
estoy empezando y la verdad no paso del 2,debe ser muy facil(para algunos de ustedes)pero yo no tengo ni idea,no pido que me den la solucion,ni mucho menos,pero si alguien me pudiese explicar como funciona,para poderlo aprender,y asi saber un poco mas.
un saludo
Hace tiempo lo había intentado, pero me quedé en el 11 xD (No se mucho de php, y menos de SQL)
Conseguí entrar en la cuenta de Mario y de Luigi :D
dega1980, soluciones no te daremos xD
Fíjate en las pistas que deja el bueno de Blackm4ster por ahí jeje
Si no sabes ni como empezar, mírate alguna guía de HTML, es lo principal por esos niveles.
hola blackm4ster puedes subir el código fuente de tu wargame? de verdad me gusto mucho y quiero saber como esta hecho por lo menos los primeros 10 niveles.
gracias de antemano.
Blackm4ster del 16 no paso :S las comillas me matan no se como burlarlas la solucion supongo que es la misma que el 15 pero haciendo algo con las comillas me das una pista o algo :S es raro jeje
Cita de: shitoman en 13 Junio 2013, 19:46 PM
hola blackm4ster puedes subir el código fuente de tu wargame? de verdad me gusto mucho y quiero saber como esta hecho por lo menos los primeros 10 niveles.
gracias de antemano.
Te diré si has llegado a los niveles tienes el código fuente... ya que lo primero de todo lo puedes ver te lo dice el nivel 1 jeje ademas que lo puedes bajar con Guardar como... ciertos niveles tienen scripts y cosas externas tan facil como ver el código y dirigirse a ellas para cogerlo :P
Cita de: dega1980 en 13 Junio 2013, 17:52 PM
estoy empezando y la verdad no paso del 2,debe ser muy facil(para algunos de ustedes)pero yo no tengo ni idea,no pido que me den la solucion,ni mucho menos,pero si alguien me pudiese explicar como funciona,para poderlo aprender,y asi saber un poco mas.
un saludo
El nivel 2 es traducir el codigo fuente jeje
<script>
function ComprobarPass() //Declara la función
{
var pass1 = document.Formulario.pass1.value;
var pass2 = document.Formulario.pass2.value; //Declara las 2 variables que se deben añadir.
//alert("Has escrito: " + pass1 + ", " + pass2);
var fin = parseInt(pass1) + parseInt(pass2); //Declara fin y dice que suma el valor entero de las variables pass1 y pass2
if(fin != 69) // Si (Fin Es distinto de 69)
{
alert("Mal");
document.Formulario.pass1.value = "";
document.Formulario.pass2.value = "";
}else{
alert("Bien");
window.location=fin+".html"; //Te redirigira si es correcto el resultado a la variable fin.html donde fin es un numero sumado
}}
</script>
Espero averte ayudado :D
Eso es ;-)
Cita de: αиσиyмσυรCร en 14 Junio 2013, 03:00 AM
El nivel 2 es traducir el codigo fuente jeje
<script>
function ComprobarPass() //Declara la función
{
var pass1 = document.Formulario.pass1.value;
var pass2 = document.Formulario.pass2.value; //Declara las 2 variables que se deben añadir.
//alert("Has escrito: " + pass1 + ", " + pass2);
var fin = parseInt(pass1) + parseInt(pass2); //Declara fin y dice que suma el valor entero de las variables pass1 y pass2
if(fin != 69) // Si (Fin Es distinto de 69)
{
alert("Mal");
document.Formulario.pass1.value = "";
document.Formulario.pass2.value = "";
}else{
alert("Bien");
window.location=fin+".html"; //Te redirigira si es correcto el resultado a la variable fin.html donde fin es un numero sumado
}}
</script>
Espero averte ayudado :D
gracias pero me quede igual,gracias por la explicacion,me dedicare al ping pong :-(
Cita de: BlackM4ster en 14 Junio 2013, 07:46 AM
Eso es ;-)
Dame una pista del 16 jeje :P me joden las comillas... como sera :S intenta darme una pista :P
Cita de: αиσиyмσυรCร en 14 Junio 2013, 23:21 PM
Dame una pista del 16 jeje :P me joden las comillas... como sera :S intenta darme una pista :P
Tu misión es que el condicional devuelva true... puedes probar qué pasa cuando pones una comilla simple ( ' ) en un solo campo, luego qué pasa si la pones en el otro y así... ¿Me entiendes?
Alguna pequeña ayuda para el nivel 11? xD consigo entrar como Mario && Luigi, pero nada más
Cita de: ivancea96 en 14 Junio 2013, 23:51 PM
Alguna pequeña ayuda para el nivel 11? xD consigo entrar como Mario && Luigi, pero nada más
El 11 mira las cookies cuando entres como Invitado, Mario o Luigi veras una cosa curiosa :P y antes de eso mira "Contraseña olvidada?" y ya no te doy mas pistas que si no lo resuelves jajaja ami el que me complica todo es el 16 no se como pasarlo :S
Cita de: MeTaD en 14 Junio 2013, 23:25 PM
Tu misión es que el condicional devuelva true... puedes probar qué pasa cuando pones una comilla simple ( ' ) en un solo campo, luego qué pasa si la pones en el otro y así... ¿Me entiendes?
Lo he ido haciendo y no doy con ello jeje eso lo probaba en fin seguire intentando creo que dare con ello
Cita de: αиσиyмσυรCร en 15 Junio 2013, 14:09 PM
El 11 mira las cookies cuando entres como Invitado, Mario o Luigi veras una cosa curiosa :P y antes de eso mira "Contraseña olvidada?" y ya no te doy mas pistas que si no lo resuelves jajaja ami el que me complica todo es el 16 no se como pasarlo :S
Agg, probé de todo, y no me di cuenta de lo de cambair contraseña xD pensaba q simplemente era una broma eso jaja
Cita de: ivancea96 en 15 Junio 2013, 14:34 PM
Agg, probé de todo, y no me di cuenta de lo de cambair contraseña xD pensaba q simplemente era una broma eso jaja
Es que es una broma muy buena para ocultar al admin de la lista pero en realidad te dice como se llama ademas eso lo tienen dicho en el principio del tema.
CitarCitarjajajaja intenta loguearte como sea, y descubre como se llama el admin jajaja
probe con el escroto y el muy tonto de mi, no probo con el admin jaja
Alguna pista con el Nivel 14?, conozco sobre XSS pero no sé que cómo aplicarlo para pasar de nivel.
ala, me atasqué en el 12 xD tendré que aprender más PHP
Ya conseguí el 14, gracias de todo modo jeje
Cita de: .:UND3R:. en 15 Junio 2013, 17:56 PM
Ya conseguí el 14, gracias de todo modo jeje
.
Me logueé para escribirte la respuesta :¬¬
jaja lo siento :-(, ya terminé el WarGame, debo decir que me entretuvo demasiado, felicitaciones al creador del WarGame ;-)
Encontré un pequeño bug en el lvl 17, son dos campos, pero sólo es tomado en cuenta el primero...
Me he puesto y en un momento he llegado al 18, que no consigo pasar. Me voy a dormir y mañana le doy ;). Están interesantes los de las comprobaciones, del 15 al 17 o así.
Sa1uDoS
No soy muy bueno con esto de los XSS complicados jajajaja pero con un poquitín de ayuda de owasp lo logré :rolleyes: ;-)
Ya me pase el nivel 18 me falto el XSS no tengo muchos conocimientos de ello debo dar las gracias a MeTaD que me dio pistas para el 16 y con ello lo resolví y pude continuar estuvo muy bien y he aprendido cosas que no sabia :D
El 18 sigue operativo? No se donde puedo loguearme, ni encuentro nada para admin ni nada :S
Cita de: ivancea96 en 17 Junio 2013, 18:20 PM
El 18 sigue operativo? No se donde puedo loguearme, ni encuentro nada para admin ni nada :S
Si esta activo, lo que debes hacer es una inyeccion sql al sitio que esta ahi (link que sice ir al sitio web) y obtener la contrasena cifrada del administrador (copia el hash md5) y eso lo pegas en el campo que esta ahi en el reto
Pero la contraseña del administrador para login?
De ser así, donde está la página de login??
Cita de: ivancea96 en 17 Junio 2013, 18:43 PM
Pero la contraseña del administrador para login?
De ser así, donde está la página de login??
Haber te explicare mejor tienes que hackear la web que es real de tal manera que debes de sacar la contraseña del admin que para mas información es el único usuario y la debes de sacar en MD5 y como bien dijo MeTaD Debes de hacer una inyección SQL y con ello sacaras la contraseña.
PD: En este tema se encuentra un programa muy útil para ello si no tiene conocimientos muy avanzados...
Un Saludo y espero haberte sido de ayuda :D
Mm, esque al no haber el típico "user:" && "pass:" && "-login-" me pierdo un poco xD
Pero ba, poco se de SQL la verdad, lo máximo el tipico " asd' || '1'='1 " jaja así que tendré que aprender. Prefiero no hacerlocon programas, me siento lammer así xd, y tampoco aprendo, que en definitiva, es la cuestión
Cita de: ivancea96 en 18 Junio 2013, 20:29 PM
Mm, esque al no haber el típico "user:" && "pass:" && "-login-" me pierdo un poco xD
Pero ba, poco se de SQL la verdad, lo máximo el tipico " asd' || '1'='1 " jaja así que tendré que aprender. Prefiero no hacerlocon programas, me siento lammer así xd, y tampoco aprendo, que en definitiva, es la cuestión
Me parece bien pero hacer una inyeccion SQL sin programas es algo complicado... y bueno por este tema viene una cosa dicha por BlackM4ster para el último que si lo quieres hacer a mano te pude servir pero yo no se como va asi y si me gustaria aprenderlo :S
Hola... Disculpad las molestias no comprendo muy bien el 5. ¿Podríais facilitare alguna pista?
<script>
function ComprobarPass(){
var pass = document.Formulario.boton.value;
if(pass != "Isc"){
alert("Mal");
document.Formulario.pass1.value = "";
}else{
alert("Bien");
window.location="%49%73%63.html";
}}
</script>
<form name="Formulario" onsubmit="return false;">
<input name="pass1"><br>
<input type="button" name="boton" value="Vamos !" OnClick="ComprobarPass()">
</form>
Supongo que habrá que cambiar es algo del segundo código que puse... entiendo que el OnClick al hacer click hace referencia a la función del primer código, la cual dice que si la contraseña es diferente de Isc salta el error de Mal y no te lleva a la página %49%73%63.html (Qué por cierto la puse en la barra de direcciones y me llevó al nivel 6) ¿Es un problema o lo hice bien? Cosa que dudo, haberlo hecho bien, pues la pista era usar inspector de elementos para cambiar algo del código.
Por cierto, si dije el resultado o algo, perdón, editarme el comentario al tema, o decirme que lo edite.
Saludos.
Hola de nuevo, edito... Con el 6 me sucede lo mismo. Este es el código.
<script>
function ComprobarPass(){
var pass1 = document.Formulario.boton.value;
var pass2 = document.Formulario.pass2.value;
if(pass2 != "nifico"){
pass2 = "Shit";
}
var fin = pass1 + pass2;
if(fin != "IscElMagnifico"){
alert("Mal");
document.Formulario.pass1.value = "";
document.Formulario.pass2.value = "";
}else{
alert("Bien");
window.location=pass1+".html";
}}
</script>
<title>Nivel 6</title>
<h1> Nivel 6: La cosa se complica...</h1>
<form name="Formulario" onsubmit="return false;">
<input name="pass1"><br>
<input name="pass2"><br>
<input type="button" name="boton" value="Vamos !" OnClick="ComprobarPass()">
</form>
Basicamente tenemos la variable pass2 que en un momento fue nifico pero que cambia a Shit, la primera variable la desconocemos, pero si nos fijamos hay una variable (fin) que es la suma de la primera variables (pass1) y la segunda (pass2) dando como resultado que si lo que se mete en los textbox no es IscElMagnifico no entra, no obstante, la variable pass2 'nifico' se cambio a Shit quedando en IscElMagShit. Pero si lo meto en el textbox no sucede nada, ahora bien si nos fijamos, nos redireciona a la variable pass1+.html sabiendo que pass1 equivale a IscElMag , si ponemos eso en la Url nos pasa al nivel 7.
Ahora mi pregunta... ¿seguro que esto es así? dudo que sea solo fijarse en donde te redirecciona y meterlo en el url para acceder al siguiente nivel... ¿Podrían darme pistas? también aclaro y estoy muy seguro que he dado tanta información que entiendo perfectamente que me editen el tema, y si tienen que editarlo, hacerlo por favor...
Gracias de antemano.
Bueno, podías poner la dirección, si, pero no era la idea xD
var pass = document.Formulario.boton.value;
if(pass != "Isc"){...}
pass que es? lo pone ahí. No digo más, creo que no hace falta jaja
Cita de: ivancea96 en 19 Junio 2013, 00:49 AM
Bueno, podías poner la dirección, si, pero no era la idea xD
var pass = document.Formulario.boton.value;
if(pass != "Isc"){...}
pass que es? lo pone ahí. No digo más, creo que no hace falta jaja
Es obvio que lo primero que intente fue Isc y no fue esa... >_<
Cita de: Akise en 19 Junio 2013, 00:19 AM
Hola... Disculpad las molestias no comprendo muy bien el 5. ¿Podríais facilitare alguna pista?
<script>
function ComprobarPass(){
var pass = document.Formulario.boton.value;
if(pass != "Isc"){
alert("Mal");
document.Formulario.pass1.value = "";
}else{
alert("Bien");
window.location="%49%73%63.html";
}}
</script>
<form name="Formulario" onsubmit="return false;">
<input name="pass1"><br>
<input type="button" name="boton" value="Vamos !" OnClick="ComprobarPass()">
</form>
Supongo que habrá que cambiar es algo del segundo código que puse... entiendo que el OnClick al hacer click hace referencia a la función del primer código, la cual dice que si la contraseña es diferente de Isc salta el error de Mal y no te lleva a la página %49%73%63.html (Qué por cierto la puse en la barra de direcciones y me llevó al nivel 6) ¿Es un problema o lo hice bien? Cosa que dudo, haberlo hecho bien, pues la pista era usar inspector de elementos para cambiar algo del código.
Por cierto, si dije el resultado o algo, perdón, editarme el comentario al tema, o decirme que lo edite.
Saludos.
Hola de nuevo, edito... Con el 6 me sucede lo mismo. Este es el código.
<script>
function ComprobarPass(){
var pass1 = document.Formulario.boton.value;
var pass2 = document.Formulario.pass2.value;
if(pass2 != "nifico"){
pass2 = "Shit";
}
var fin = pass1 + pass2;
if(fin != "IscElMagnifico"){
alert("Mal");
document.Formulario.pass1.value = "";
document.Formulario.pass2.value = "";
}else{
alert("Bien");
window.location=pass1+".html";
}}
</script>
<title>Nivel 6</title>
<h1> Nivel 6: La cosa se complica...</h1>
<form name="Formulario" onsubmit="return false;">
<input name="pass1"><br>
<input name="pass2"><br>
<input type="button" name="boton" value="Vamos !" OnClick="ComprobarPass()">
</form>
Basicamente tenemos la variable pass2 que en un momento fue nifico pero que cambia a Shit, la primera variable la desconocemos, pero si nos fijamos hay una variable (fin) que es la suma de la primera variables (pass1) y la segunda (pass2) dando como resultado que si lo que se mete en los textbox no es IscElMagnifico no entra, no obstante, la variable pass2 'nifico' se cambio a Shit quedando en IscElMagShit. Pero si lo meto en el textbox no sucede nada, ahora bien si nos fijamos, nos redireciona a la variable pass1+.html sabiendo que pass1 equivale a IscElMag , si ponemos eso en la Url nos pasa al nivel 7.
Ahora mi pregunta... ¿seguro que esto es así? dudo que sea solo fijarse en donde te redirecciona y meterlo en el url para acceder al siguiente nivel... ¿Podrían darme pistas? también aclaro y estoy muy seguro que he dado tanta información que entiendo perfectamente que me editen el tema, y si tienen que editarlo, hacerlo por favor...
Gracias de antemano.
En los 2 niveles hay que usar el Inspector de elementos. Claro que se puede pasar igual que el nivel 3, pero no es lo "correcto" :¬¬
Gente!, me quede en el 10, si bien veo la cookie y demás pero no entiendo como avanzar. Tanto en el codigo con en las cookies no veo pista alguna, al menos a mi no me parece claro. Una mano?
GRACIAS :d
Olviden la ayuda, todo por navegar privado,jajajaj. Ya lo solucione solari,sigo por el 11 ;-)
Te digo solo 2 cosas:
SPOILER
-¿Qué pone en la cookie?
-¿Qué número es el siguiente nivel?
Si, ya voy por el 12, por eso puse que iba por el 11 ya,jajaja. Gracias igual.
Ahora, consulta sobre el 12, modifico los datos con la contraseña tambien y no me deja acceder al siguiente nivel, alguna ayuda????
Cita de: juanxxiii en 19 Junio 2013, 13:50 PM
Gente!, me quede en el 10, si bien veo la cookie y demás pero no entiendo como avanzar. Tanto en el codigo con en las cookies no veo pista alguna, al menos a mi no me parece claro. Una mano?
GRACIAS :d
Olviden la ayuda, todo por navegar privado,jajajaj. Ya lo solucione solari,sigo por el 11 ;-)
Te dire que en el 10 tenia en la imagen un enlace a un editor de cookies que nuestro amigo blackmaster nos lo puso para instalarlo y solucionar ese nivel pero te diré que hay un método mas cómodo sin descargar eso que sale te diré que busques información de "document.cookie" se usa en la consola de la siguiente manera:
javascript: document.cookie="cookie=valor" Esto dentro de la consola de tu navegador :D
Espero servirte de ayuda aunque se que ya lo pasaste.
Un saludo
En el 12 debes manipular el tiempo jeje mira lo que pasa en la URL cuando pruebas y intenta descubrirlo :P
Lo del nivel 10 dije ya hace rato q lo habia pasado,jajaj, el 12 veo las modificaciones y hago las cuentas, los hidden los cambio a show y modifico a mano,pero cuando le hago click no me da bola y siempre dice que no haga trampa.
Cita de: juanxxiii en 19 Junio 2013, 17:04 PM
Lo del nivel 10 dije ya hace rato q lo habia pasado,jajaj, el 12 veo las modificaciones y hago las cuentas, los hidden los cambio a show y modifico a mano,pero cuando le hago click no me da bola y siempre dice que no haga trampa.
En el 12 no tienes que tocar código si no la URL fíjate en lo que pasa cuando pones números en h y m y mira bien el id para superar tienes que poner en h m y ID un numero concreto si no no pasaras... como te dije anteriormente...
Cita de: αиσиyмσυรCร en 19 Junio 2013, 17:00 PM
En el 12 debes manipular el tiempo jeje mira lo que pasa en la URL cuando pruebas y intenta descubrirlo :P
Ya no te puedo decir mas... si no te lo resolveré y la intención del warzone es aprender...
Un saludo y espero haberte ayudado :D
No quiero ser malo, ni grosero, pero recuerden que es un reto, están dando muchas pistas para la solución, la idea es que se rompan la cabeza investigando, así se aprende, es sólo una opinión hermanos, ¿No creen? :silbar:
Me alegra que os guste, ahora en mi web estoy subiendo videotutoriales de hacking. Por ahora solo está el de phising, pero por ejemplo para mañana por la tarde ya pongo uno sobre robar cookies con XSS
Cita de: MeTaD en 19 Junio 2013, 23:31 PM
No quiero ser malo, ni grosero, pero recuerden que es un reto, están dando muchas pistas para la solución, la idea es que se rompan la cabeza investigando, así se aprende, es sólo una opinión hermanos, ¿No creen? :silbar:
Yo estoy contigo :D pero si les ayudas aprenderán mas rápido si se lo dices sabrán como es pero no les dará el placer de aprenderlo por si mismo ami me paso en el 16 yo me atasque y la solución era muy sencilla para lo que me imaginaba gracias a la ayuda de MeTaD lo comprendí y con ello supere el 17 que es igual que el 16 pero con mas dificultad... es decir lo acabe aprendiendo bien :P y me siento bien conmigo mismo y se lo agradezco a MeTaD por esa pequeña ayuda que necesite :P
Cita de: BlackM4ster en 19 Junio 2013, 23:36 PM
Me alegra que os guste, ahora en mi web estoy subiendo videotutoriales de hacking. Por ahora solo está el de phising, pero por ejemplo para mañana por la tarde ya pongo uno sobre robar cookies con XSS
^
Ese me va a interesar es una cosa que no se y sobre todo no sabia que son cosas relacionadas con cookies y XSS gracias a tu warzone lo aprendí a hacer :D y te doy las gracias por haberlo hecho gracias a gente como tu algunos que les gustan estos temas pueden aprender :D
Aunque hay que sacrificarse, buscar y aprenderlo para solucionarlo pero te sientes bien cuando lo logras :P
Hola a todos :D Soy nuevo en el foro, me gusta el tema de la seguridad y he empezado a resolver ctf con este. Primero de todo, la enhorabuena al creador; me parece muy entretenido y, yo al menos, estoy aprendiendo un montón.
Segundo... please, alguna pista para el nivel 11 :P Sé cómo se llama el admin, sé la md5... pero no encuentro la palabra (la he buscado con md5 inverso y me sale una de 8 caracteres que no es... también he probado generando un diccionario con 01...89ab...yz con el maxlength, pero no hay ninguna palabra que coincida, y si le meto más caracteres genera diccionarios demasiado grandes)
Cita de: Dubidu en 21 Junio 2013, 17:59 PM
Hola a todos :D Soy nuevo en el foro, me gusta el tema de la seguridad y he empezado a resolver ctf con este. Primero de todo, la enhorabuena al creador; me parece muy entretenido y, yo al menos, estoy aprendiendo un montón.
Segundo... please, alguna pista para el nivel 11 :P Sé cómo se llama el admin, sé la md5... pero no encuentro la palabra (la he buscado con md5 inverso y me sale una de 8 caracteres que no es... también he probado generando un diccionario con 01...89ab...yz con el maxlength, pero no hay ninguna palabra que coincida, y si le meto más caracteres genera diccionarios demasiado grandes)
http://www.md5decrypter.co.uk/
Aquí te resolverán el MD5 aunque estoy seguro que esa si es la clave debes modificar algo en el código mira bien donde dicen PROBLEM? jeje seguro que lo que te salio la clave correcta solo debes cambiar valores en el código que lo verifica :P
Muy divertido sobre todo el 18 me rompí la cabeza para que funcionase el sqlmap xD.
Saludos
¡Simplemente genial, me quedé por el 10 que luego le echaré un vistazo al complemento al que redirecciona...!
Dan ganas de ponerse a crear un wargame :P
Hola!! Estoy loco con lo del Xss final!!! es la primera vez que llego hasta el "final" en un reto solo con lo que mas o menos se y no doy con el último paso!!! alguna pista para estudiarme lo que haga falta??!?!?!?
Gracias!
El xss? El 17? Si es ese, es como los demás, no te rompas la cabeza. Solo mira lo que te pone, y si tal mira lo básico de javascript.
Si hablas del 18, yo no tengo ni idea de SQL xD
No ivancea96, gracias, me refiero al final del todo, cuando pones tu nombre por haber terminado, que se comenta por el post que hay posibilidad de sacar un XSS y no lo logro, eso si, he generado lineas a montón jajajajjajajaj
Yo he llegado al 18 con una poca ayuda de algunas personas, de este ya no paso porque en mi vida lei sobre SQLi xD
Yo tampoco doy con el XSS del final deje mi nombre y algunos intentos si alguien puede borrar los intentos de encontrar el XSS del final se lo agradecería :P
Ya tengo hecho el XSS del final estuvo interesante y aprendí bastante :D
La url ya la modifique, tal como te digo, vi el tiempo que tienen y la contraseña que genera es basica porque no tiene en cuenta la hora,solo los minutos pero asi y todo no me deja pasar.
Juanxxiii, ademas de minutos y horas, hay una cosa que pone clave. Averigua que es eso, cuándo cambia, etc
Cita de: juanxxiii en 24 Junio 2013, 13:32 PM
La url ya la modifique, tal como te digo, vi el tiempo que tienen y la contraseña que genera es basica porque no tiene en cuenta la hora,solo los minutos pero asi y todo no me deja pasar.
No ves mas lejos del tiempo mal vamos... Di demasiadas pistas te dije hasta como sacarlo el ID mediante una operación matemática que debes averiguar ya mas pistas no porque si no te lo resuelven... si no consigues pasártelo entra a las 4:37 que mas quieres que te diga pero eso no seria la manera de pasarlo si no descubriendo la formula que saca los ID de la url ya que no es aleatoria sigue un patrón y es siempre el mismo...
Saludos
Nunca pensé que iba a tener tantos jugadores ;-)
A ver si saco un rato, y me hago mi propio reto de sqli :¬¬
He subido un tutorial sobre como robar cookies :silbar:
Entre yo, omarhack, kil4n y drvy llegamos al 15, bueno, ne realidad yo y omarhack llegamos al 6, y en el 14 le echó una mano Omarhack :P
Yo me quedé en el 18. Y con mis conocimientos del tema, creo que no lo conseguiré jaja
Cita de: BlackM4ster en 27 Junio 2013, 10:21 AM
Nunca pensé que iba a tener tantos jugadores
Porque es muy bueno :D
Mi siguiente videotutorial irá sobre los primeros niveles del warzone
El siguiente, sobre bypasses varios (trolling web)
El siguiente, sobre SQL injection (lo que necesitas) ;-)
Cita de: BlackM4ster en 27 Junio 2013, 14:06 PM
Mi siguiente videotutorial irá sobre los primeros niveles del warzone
El siguiente, sobre bypasses varios (trolling web)
El siguiente, sobre SQL injection (lo que necesitas) ;-)
gracias blackmaster increíble warzone
Esta muy bien tu warzone solo os dire a los que lleguen a la calificación el XSS del final lo hacéis y lo sacáis pero no os pone en la clasificación como "con el XSS del final" si no que tenéis que esperar a que os lo ponga blackm4ster me di cuenta :P ya que borraron mis intentos que había y me lo pusieron jaja :P
Cita de: Ikillnukes en 27 Junio 2013, 11:27 AM
Entre yo, omarhack, kil4n y drvy llegamos al 15, bueno, ne realidad yo y omarhack llegamos al 6, y en el 14 le echó una mano Omarhack :P
o.O la mitad que has nombrado saben programación y para lo que se ve de javascript que ami se me da mal y me lo pase hasta el 18 y saque el XSS del final...
Yo se que podéis hacerlo, sois buenos informáticos :D
Un saludo
Una lista de la clasificación del warzone :)
Citar
Clasificados:
1-5-2013 - BlackM4ster - Creador del Juego
14-5-2013 - Daryo - Con XSS Del Final
14-5-2013 - Metad - Con XSS Del Final
16-5-2013 - Saodin
19-5-2013 - Ciervo
4-6-2013 - PHAMTOM - Con XSS Del Final
5-6-2013 - PeterPunk
13-6-2013 - DevSec
15-6-2013 - .:UND3R:. - Con XSS Del Final
21-6-2013 - drvy | BSM - Con XSS Del Final
22-6-2013 - zhemn - Con XSS Del Final
22-6-2013 - αиσиyмσυรCร - Con XSS Del Final
22-6-2013 - caster
------------ ¿ XSS ? ------------
PD: Ikillnukes hay esta drvy | BSM no se si sera el drvy que dices... es decir el ha llegado al final y con el XSS al igual que yo :)
Un saludo
No no, yo me fui y ellos siguieron dale que te pego, es posible que terminasen xD
Cita de: Ikillnukes en 28 Junio 2013, 11:41 AM
No no, yo me fui y ellos siguieron dale que te pego, es posible que terminasen xD
jeje es posible. Pero lo que no posible es "como dice Ralph en los Simpsons XD" que te rindas tan fácilmente te diré que yo solo se lo básico de javascript y lo realice entero incluso sacando el XSS del final solamente me informe busque y aprendí lo que necesitaba para solucionar los niveles :) se que tu puedes hacerlo y te animo a que lo termines seguro que aprenderás cosas que no sabias y te sentirás bien contigo mismo te lo digo por experiencia propia :D
PD: solo me ayudaron en el nivel 16 y fue MeTaD eso de las comillas simples no me lo explicaron y lo aprendí gracias a el :) y me dio una pista en el nivel anterior BlackM4ster es decir el 15 solo me dijo tienes que probar con números y los signos y vi que tenia que poner una cosa igual a ALEATORIO y lo conseguí jeje :)
Te animo a que lo termines :)
Un saludo.
NUEVOS NIVELES, INCLUIDOS 2 DE SQLI ;-)
Cita de: BlackM4ster en 3 Julio 2013, 12:55 PM
NUEVOS NIVELES, INCLUIDOS 2 DE SQLI ;-)
Excelente, estaba probando el primer nivel nuevo, pero... empecé a tener problemas con la conexión y no pude llegar a sacar las cilumnas :-[ , ahora debo irme al instituto, cuando vuelva lo ataco nuevamente ^^
Es lo que yo estoy aprendiendo xD
Por cierto, me dejas tu camiseta BM4? xD
ajajaj la cami de SQLi es la polla, luego me saco una foto y os la enseño xD
Creo que tienes una protección anti ddos en tu host... es un fastidio :-\
Cita de: MeTaD en 3 Julio 2013, 19:40 PM
Creo que tienes una protección anti ddos en tu host... es un fastidio :-\
Si, viene con el Hosting, y aunque les he llamado varias veces para que lo desactiven, ahí sigue, activado -.-
Cita de: BlackM4ster en 3 Julio 2013, 19:48 PM
Si, viene con el Hosting, y aunque les he llamado varias veces para que lo desactiven, ahí sigue, activado -.-
Bien, me costó burlar tu anti-ddos, vpnreactor ha sido mi buen amigo ^^
----EDIT----
Debo reconocer que esta vez estuvo mucho más entretenido que la primera vez, ¡Buena black!
Y de juego también, truco para tramposos: lista todo el directorio y obtendrás las respuestas como nombre de pagina respuesta.html xDD
Cita de: Puntoinfinito en 3 Julio 2013, 21:17 PM
Y de juego también, truco para tramposos: lista todo el directorio y obtendrás las respuestas como nombre de pagina respuesta.html xDD
No puedes listar todo el directorio si no es por fuerza bruta -.-
Mmmm... Haber en el nivel 18 yo conseguí sacar una vulnerabilidad en la linea 14 pero con Haviji no consigo nada no se ponerle el fallo para que consiga el acceso a la base de datos... :S el error fue poniendo una cosa donde clave que normalmente un navegador interpreta como error... :S
Me podrían ayudar por privado...
PD: No se mucho sobre SQLi uso haviji para hacerlo y vi la forma manual no se nada de SQL tampoco solo 4 cosas básicas... de hay que pida ayuda...
Un saludo
Cita de: αиσиyмσυรCร en 5 Julio 2013, 06:39 AM
Mmmm... Haber en el nivel 18 yo conseguí sacar una vulnerabilidad en la linea 14 pero con Haviji no consigo nada no se ponerle el fallo para que consiga el acceso a la base de datos... :S el error fue poniendo una cosa donde clave que normalmente un navegador interpreta como error... :S
Me podrían ayudar por privado...
PD: No se mucho sobre SQLi uso haviji para hacerlo y vi la forma manual no se nada de SQL tampoco solo 4 cosas básicas... de hay que pida ayuda...
Un saludo
Revisa tus mensajes...
El Havij no te va a funcionar en el reto 18...
Ya lo veo tocara hacer el método a mano como bien indicaste tu mismo en una parte de este tema cito textualmente:
CitarEn la última, lo harías a mano no? me refiero, para aprender xD
Código:
.../mineria.php?id=-1+union+select+1,2,@@version,4,5,6,7,8,9,10--
Solo que esto fue con el anterior reto... y bueno que yo si que lo saque con Haviji... pero este hay que hacerlo a mano solo que pasa el problema de que no me sale el ID y bueno supongo que lo pondré yo ademas de el error y las correspondientes partes de union , select y version pero no se mucho de esto... cosa que investigare y si veo que me cuesta pediré ayuda a mi gran amigo MeTaD que me lo explica muy bien las cosas :P y gracias a el pase cierto nivel en el que me atasque por las comillas simples jajaja eso no me lo explicaron cuando di javascript y lo aprendí gracias a el :)
Un saludo y se que voy bien encaminado solo que como no tengo esos conocimientos me atasco y me cuesta pero intentare solucionarlo por mi mismo :D
Cita de: BlackM4ster en 5 Julio 2013, 09:29 AM
El Havij no te va a funcionar en el reto 18...
¡ERROR!, havij sí que funciona en ese reto, y va de maravilla porcierto ^^, para todas las inyecciones SQL de tus retos me ha funcionado...
jajajaja no jodas, el propósito es hacerlo a mano -.-
Cita de: BlackM4ster en 6 Julio 2013, 10:58 AM
jajajaja no jodas, el propósito es hacerlo a mano -.-
Esos es lo que aprenderé yo y ya cuando sepa eso usare el Haviji que esta hecho para hacerlo puedes ponerlo en modo GET y POST y hacerlo yo lo tenia en GET y como que no se puede... jeje pero en POST se podrá y gracias a unas cosas que me dijo MeTaD me informare para hacerlo jeje
PD: Aprenderé lo básico de PHP y SQL que no se nada de ello solo HTML CSS y javascript lo básico principalmente pero una vez entiendes las condiciones todo se vuelve algo mas fácil jeje
Un saludo.
O no hay ánimos o está muy difícil... ¿Están intentándolo por lo menos?
EDITO
Bien, en respuesta a black, el fin justifica los medios ^^, vamos, el objetivo es penetrar en tu seguridad, ¿No? jajajajaja nunca había tenido la oportunidad de probar havij en _POST y me dio curiosidad y por allí seguí, pero ahora que lo he hecho de la forma manual pues me doy cuenta que no es para NADA complicado... hacerlo a mano es como forzar un poquito la cerradura, con havij fue meterme por la ventada de tu casa, saludarte y pasar directo a tu cuarto, cojer la llave y salir para volver a entrar jajajaja :laugh:
CitarClasificados:
3-7-2013 - BlackM4ster - Creador del Juego
3-7-2013 - Stakewinner00
3-7-2013 - metad ^^
8-7-2013 - αиσиyмσυรCร
He de decir que he aprendido mucho gracias a la ayuda de MeTaD que me dio un empujoncito :) Estuvieron muy bien los 2 nuevos niveles :)
Un saludo.
Tengo casi acabado uno nuevo xD
Interesante... :D Espero con ansias ese nuevo nivel para superarlo y aprender mas :D
Me he quedao en el Nv 11, le he sacao la contra al Admin y ara no se que hacer con ella xD
cuando saques el nuevo,podras hacer un tutorial de los primeros niveles de este?
saludos
Cita de: dega1980 en 9 Julio 2013, 15:48 PM
cuando saques el nuevo,podras hacer un tutorial de los primeros niveles de este?
saludos
Si, de hecho, lo tengo empezado a grabar
Cita de: Ikillnukes en 9 Julio 2013, 15:00 PM
Me he quedao en el Nv 11, le he sacao la contra al Admin y ara no se que hacer con ella xD
La contraseña la tienes cifrada, desencriptala y tienes que introducirla donde dice problem? en el cuadro ese para ello debes hacer ciertas cosas antes de meterla y cuando lo consigas la metes das intro y bienvenido al nivel 12 :D
Me clasifiqué! ^^
Cita de: Ikillnukes en 9 Julio 2013, 20:48 PM
Me clasifiqué! ^^
Gracias a mi ayuda ¬¬
jeje :D
Cita de: αиσиyмσυรCร en 9 Julio 2013, 21:14 PM
Gracias a mi ayuda ¬¬
jeje :D
A ti te ayudo Metad... :¬¬ No te quejes...
Gracias! :D
Cita de: Ikillnukes en 9 Julio 2013, 21:48 PM
A ti te ayudo Metad... :¬¬ No te quejes...
Gracias! :D
El conocimiento es libre no me quejo :D
PD: El poder de la información es un gran poder díselo a Snowden jejeje tiene acojonado a EE.UU jaja
Cita de: αиσиyмσυรCร en 10 Julio 2013, 09:30 AM
El conocimiento es libre no me quejo :D
PD: El poder de la información es un gran poder díselo a Snowden jejeje tiene acojonado a EE.UU jaja
jajajajajajaja
Cita de: BlackM4ster en 9 Julio 2013, 18:35 PM
Si, de hecho, lo tengo empezado a grabar
ok gracias BlackM4ster
Esta genial el warzone, pero me quede atascado en el nivel 15 no se mucho de inyeccion :-\, alguna ayuda o consejo que me puedan dar?
P.D.: Solo me registre en el foro porque ya me estoy viciando con este warzone :D
______________________________________________________________
Es mejor morir luchando que vivir de rodillas...
Cita de: OctavioXII en 7 Agosto 2013, 09:46 AM
Esta genial el warzone, pero me quede atascado en el nivel 15 no se mucho de inyeccion :-\, alguna ayuda o consejo que me puedan dar?
P.D.: Solo me registre en el foro porque ya me estoy viciando con este warzone :D
______________________________________________________________
Es mejor morir luchando que vivir de rodillas...
Jajajajaj gracias, en en nivel 15 tienes que sabotear la sintaxis de javascript para añadir otra condicion cierta, y así pasar
blackmaster puedes poner el código fuente php del nivel 9 por favor
Muy buen juego, me entretuvo mucho el 11.
En la clasificación pensé que era otra prueba, dejé en blanco el input, y se guardo.
Saludos!
Cita de: shitoman en 12 Agosto 2013, 22:23 PM
blackmaster puedes poner el código fuente php del nivel 9 por favor
Que parte quieres que te pase?
Cita de: BlackM4ster en 13 Agosto 2013, 13:45 PM
Que parte quieres que te pase?
la segunda parte que no se ve dandole click derecho "ver codigo" sino que esta oculta debe ser un php
Enhorabuena BlackMaster por el Wargame!!! ;-) ;-) La foto del payaso desconcentra un huevo :¬¬ :xD
No entiendo que hay que hacer en el 8...
Jajajaja cuantos jugadores ;D
El objetivo de todos los niveles es pasar, sea como sea >:D
Es que ni siquiera sé que tengo que hacer. No hay ningún sitio donde dar log-in, no hay ningún script y solo te redirige a la pagina donde está la foto, donde tampoco veo nada...
Cita de: za.asi en 14 Agosto 2013, 17:58 PM
Es que ni siquiera sé que tengo que hacer. No hay ningún sitio donde dar log-in, no hay ningún script y solo te redirige a la pagina donde está la foto, donde tampoco veo nada...
Fíjate bien de donde coge la imagen... >:D
Cita de: BlackM4ster en 15 Agosto 2013, 16:29 PM
Fíjate bien de donde coge la imagen... >:D
¿Con eso te refieres a que mire la pagina en la que esta almacenada la imagen? Porque eso ya lo he hecho, pero sigo sin entender el nivel.
Cita de: za.asi en 15 Agosto 2013, 16:42 PM
¿Con eso te refieres a que mire la pagina en la que esta almacenada la imagen? Porque eso ya lo he hecho, pero sigo sin entender el nivel.
La imagen la coje de una ruta, digamos, "especial" :silbar:
Es que no veo que tiene de especial la ruta. Solo estoy usando el inspector de elementos. ¿Necesito algo mas?
jajaj estoy igual que za.asi, en cuanto lo resuelva me voy de fiesta a celebrarlo xD
EDITO: buuuuhhhhh..... :¬¬ anda que no ha dado coñazo el nivel 8 :xD
Por fin, era muchísimo mas fácil de lo que pensaba jajaja
¿Harás algún tutorial de SQLi, BlackM4ster? es que no tengo ni idea de como se hace y estoy atascado en el 18 hasta aprender algo.
Lo único que consigo es una advertencia de error en la línea 14 al escribir donde pide el pass, pero no se como explotar esto.
Cita de: za.asi en 20 Agosto 2013, 13:56 PM
¿Harás algún tutorial de SQLi, BlackM4ster? es que no tengo ni idea de como se hace y estoy atascado en el 18 hasta aprender algo.
Lo único que consigo es una advertencia de error en la línea 14 al escribir donde pide el pass, pero no se como explotar esto.
Ahora mismo estoy de vacaciones y no puedo grabar (relaaaax) pero cuando vuelva, si el curso me lo permite (empiezo en la uni este año) lo grabaré, ya que muchos me lo habéis pedido. Un Saludo
Yo también empiezo este año jaja por eso quería conseguirlo antes xD.
Estoy mirando código SQL por internet, pero no funciona nada de lo que intento.
Cita de: za.asi en 22 Agosto 2013, 12:47 PM
Yo también empiezo este año jaja por eso quería conseguirlo antes xD.
Estoy mirando código SQL por internet, pero no funciona nada de lo que intento.
Saca la versión de la base de datos con @@version y asegurate de que el tutorial es para esa versión. Suerte
Por dios, llevo horas intentando resolver el 11. Tengo el nombre del admin y he entrado en su cuenta, pero no se de donde sacar la dichosa contraseña TT.
Darme una pista porfavor... Ya no se que hacer!
EDITO--------------------------
Olvidadlo, ya tengo el MD5... No se si es que estoy haciendolo de manera distinta a la que deberia, pero modificando cabeceras o te fijas muy bien o te pasa lo que a mi, que he estado casi 2h en el mismo nivel...
Ahora estoy atascado en el 19. Tengo el admin y tengo el password, pero no se donde tiene el panel de administrador... Le he aplicado fuerza bruta pero ni con esas... :S Alguna pista?
Cita de: xaps en 4 Noviembre 2013, 20:17 PM
Ahora estoy atascado en el 19. Tengo el admin y tengo el password, pero no se donde tiene el panel de administrador... Le he aplicado fuerza bruta pero ni con esas... :S Alguna pista?
En los textos hay una gran pista
Cita de: BlackM4ster en 5 Noviembre 2013, 08:14 AM
En los textos hay una gran pista
No se si te refieres a lo de google, pero del warzone en google solo aparece el primer nivel y un par de paginas más que no tienen nada que ver con el nivel 19... :l
Y si no es eso, no tengo ni idea de cual es la pista... Me he leido y releido los mensajes mil veces y no veo nada sospechoso aparte de lo de google vv'
Cita de: xaps en 5 Noviembre 2013, 14:26 PM
No se si te refieres a lo de google, pero del warzone en google solo aparece el primer nivel y un par de paginas más que no tienen nada que ver con el nivel 19... :l
Y si no es eso, no tengo ni idea de cual es la pista... Me he leido y releido los mensajes mil veces y no veo nada sospechoso aparte de lo de google vv'
Ni Google lo encuentra... como se hace para ocultarle algo a Google en una web? :silbar:
Cita de: BlackM4ster en 6 Noviembre 2013, 08:19 AM
Ni Google lo encuentra... como se hace para ocultarle algo a Google en una web? :silbar:
Pfff vale, ya lo he encontrado... Y mira que estuve buscándo como ocultar una web de google, pero no se me encendió la bombilla como me ha pasado ahora. Gracias ^^
El nivel 19 es el último verdad?
Cita de: xaps en 6 Noviembre 2013, 19:36 PM
El nivel 19 es el último verdad?
Por ahora si xD
El nivel 9 no hay manera, alguna pista?
Cita de: acarllc en 9 Noviembre 2013, 14:00 PM
El nivel 9 no hay manera, alguna pista?
Aplica el XSS más sencillo que se te ocurra
No paso del 12... Se lo que me pide, se cual es el patrón de la clave, pero no se como aplicarlo... siempre me dice lo mismo: no hagas trampas
Pero es que en eso consiste no? Hacer trampas... xD
Enviado desde mi GT-I9505
Ale, completado los 19, ufff, acabo de empezar y me ha parecido un mundo, pero buscando buscando van saliendo las cosas... google es tu amigo.
El 19 he visto con SQL Map, las tablas, el user y el pass.
PD: Lo de las s le di de chiripa.... Jejej
alguna ayuda para el nivel 15?.
estoy totalmente perdido, gracias
saludos HomeGuard
Hola veo que todos ustedes han podido con muchos de los retos yo la verdad aun no puedo con el primero, no tengo gran conocimiento sobre el js, alguien me puede dar alguna pista porfavor?