Конкурс. Февраль.
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Конкурс. Февраль. - 2007-02-21 12:30:27.516666
|
|
|
ZaCo
Сообщений: 81
Оценки: 0
Присоединился: 2006-03-03 10:16:56
|
Необходимо найти как можно больше информации о хэкере 0d4y. Результат -> ganjobus@rambler.ru
—
Конкурс взлома начнется в 13:15 по московскому времени.
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 12:32:12.016666
|
|
|
(MiXeR)
Сообщений: 32
Оценки: 0
Присоединился: 2006-07-24 12:26:27
|
уря! )
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 12:53:13.190000
|
|
|
Bap9Ir
Сообщений: 76
Оценки: 0
Присоединился: 2006-11-01 22:10:04.693333
|
Хм…Зако, в смысле вообще всю возможную инфу во всём инете?…
Кстати весело ты ][ Задефейсил=)
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 12:58:54.703333
|
|
|
ZaCo
Сообщений: 81
Оценки: 0
Присоединился: 2006-03-03 10:16:56
|
вообще же в самом процессе взлома вы поймете нашли вы это или нет ;) могу сказать конкретней - город проживания, телефон и т.п.
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 13:01:37.263333
|
|
|
(MiXeR)
Сообщений: 32
Оценки: 0
Присоединился: 2006-07-24 12:26:27
|
я думаю можно начитнать)
3 человека есть, остальные во время конкурса подтянутся)
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 13:15:54.303333
|
|
|
ZaCo
Сообщений: 81
Оценки: 0
Присоединился: 2006-03-03 10:16:56
|
конкурс открыт.
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 13:44:02.860000
|
|
|
.Vi.
Сообщений: 57
Оценки: 0
Присоединился: 2006-12-17 11:37:02.356666
|
Нашёл админку но пароль и пользователь не канают -(
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 14:13:25.813333
|
|
|
Great
Сообщений: 1046
Оценки: 0
Присоединился: 2005-08-11 19:41:36
|
няяяяяяя а они летают. желтый, гад, пушистый. мурлыкает
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 14:39:57.610000
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
Сцука, на ya.ru редиректнуло….
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 14:41:02.546666
|
|
|
(MiXeR)
Сообщений: 32
Оценки: 0
Присоединился: 2006-07-24 12:26:27
|
Фейк или не фейк, а ZaCo ?
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 14:42:44.030000
|
|
|
ZaCo
Сообщений: 81
Оценки: 0
Присоединился: 2006-03-03 10:16:56
|
нет
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 14:45:32.110000
|
|
|
(MiXeR)
Сообщений: 32
Оценки: 0
Присоединился: 2006-07-24 12:26:27
|
не фейк? странно
и почисти лог, а то его кое кто, как он сам выразился, засрал
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 14:47:57
|
|
|
.Vi.
Сообщений: 57
Оценки: 0
Присоединился: 2006-12-17 11:37:02.356666
|
Парни дайте наводочку… из лога логин и пас к админке подходят или нет?
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 14:48:34.140000
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
quote:
Парни дайте наводочку… из лога логин и пас к админке подходят или нет?
Подходят
З.Ы. Что за хрень с ЛиРу?
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 14:50:11.030000
|
|
|
ZaCo
Сообщений: 81
Оценки: 0
Присоединился: 2006-03-03 10:16:56
|
ничего странного в этом нет если немного подумать ;) работаем же с черным ящиком.
лог чистить не буду в виду бесполезности сего занятия.
–
>> З.Ы. Что за хрень с ЛиРу?
если ты про лигу, то просто ее кто-то решил добавить. это же страничка хэкера 0d4y ;)
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 15:16:47.953333
|
|
|
kirrun
Сообщений: 133
Оценки: 0
Присоединился: 2007-02-18 22:37:06.130000
|
ых…. идея вроде рпостая как пень а вот понять как реализовтаь не могу… опыту не хватает =)
Не, помучаю когда да дому доберусь…
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 15:35:29.873333
|
|
|
.Vi.
Сообщений: 57
Оценки: 0
Присоединился: 2006-12-17 11:37:02.356666
|
нипанятна -) чето никак дальше адиминки не уйду нехотят данные из лога подходить -(
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 15:39:36.310000
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
обратился скриптом к админке, думал, перед редиректом какие-то данные выдает - фиг два…
Вот собсно ответ сервера:
HTTP/1.1 302
Date: Wed, 21 Feb 2007 12:42:06 GMT
Server: Apache/1.3.37 (Unix)
X-Powered-By: PHP/5.2.0
Set-Cookie: admin=deleted; expires=Tue, 21-Feb-2006 12:42:05 GMT
Set-Cookie: pass=deleted; expires=Tue, 21-Feb-2006 12:42:05 GMT
Location: http://ya.ru
Connection: close
Content-Type: text/html
Он сцука куки херит к тому же..))
чето пока идей нет, буду работать)
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 15:47:14.873333
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
возможно редиректит, если пароль и логин неверные были в куках.
Тогда нужно брутом…
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 15:49:09.983333
|
|
|
LIASON
Сообщений: 6
Оценки: 0
Присоединился: 2006-11-17 09:53:03.216666
|
ни катят данные из лога
help
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 16:02:31.263333
|
|
|
ZaCo
Сообщений: 81
Оценки: 0
Присоединился: 2006-03-03 10:16:56
|
2Сhaos_Сode скрипт убивает неверные записи в кукисах. если они правильные, то ничего не стирает.
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 16:09:01.700000
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
Ога, именна переменных те, значит неверны логин, или пароль, или и то и другое.
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 16:21:57.560000
|
|
|
kolPeeX
Сообщений: 1456
Оценки: 0
Присоединился: 2007-01-25 14:57:57.683333
|
как кусис в оперу вписать? [:o]
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 16:26:55.186666
|
|
|
Dimonelite
Сообщений: 348
Оценки: 0
Присоединился: 2005-12-05 20:55:07
|
Перожку - зачет.
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 17:05:09.373333
|
|
|
kolPeeX
Сообщений: 1456
Оценки: 0
Присоединился: 2007-01-25 14:57:57.683333
|
в смысле НЕ получилось!! hlp
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 17:05:41.576666
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
quote:
пробовал:
<?php
setcookie("TestCookie", "testvalue", time() + 3600, "/~", "konkurs.xakep.ru", 0);
?>
на получилось
если хочешь пхп, то сокеты
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 17:26:24.250000
|
|
|
kirrun
Сообщений: 133
Оценки: 0
Присоединился: 2007-02-18 22:37:06.130000
|
Официальными способами не получится - не парьтесь.
Только ручками файл править или читерскими прогам.и Я лично юзаю читерский бразуер, который умеет отлавливать Get и POST зарпосы, подделывать реферер и писать любые куки. Вот так вот =)
ЗЫ. Добрался до дома, щас потмрим чгео придумается…
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 17:37:51.373333
|
|
|
DDosT
Сообщений: 99
Оценки: 0
Присоединился: 2006-10-03 15:12:16.436666
|
Может привязка к IP.
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 17:51:16
|
|
|
kirrun
Сообщений: 133
Оценки: 0
Присоединился: 2007-02-18 22:37:06.130000
|
Граждане, новички (в личе меня) требуют подсказки =)
SQL-inj найти не могу. нецифровые значения влиьтруются причем как-то хитро ибо "news_id=1/*bla" выполняется, но "news_id=1+OR+1=1/*" тоже выполняется правильно. такое ощущение, что все нецифровые символы просто обрубаются. Хотя с другой тороны "news_id=bla1" не выполняется… Бред какой-то.
Далее, tool.php никак не могу найти. Хотя очевидно, что где-то должна быть file-include уязвимость - не зря же лежит веб-шелл пхпшный… index.php парамтер page похоже проверяет, причем, похоже, у него есть тупо список разршенных параметров. Значит баш должен быть в этом смом tool.php, который 404.. воть :(((
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 18:11:11.560000
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
quote:
ецифровые значения влиьтруются причем как-то хитро ибо "news_id=1/*bla" выполняется, но "news_id=1+OR+1=1/*" тоже выполняется правильно. такое ощущение, что все нецифровые символы просто обрубаются. Хотя с другой тороны "news_id=bla1" не выполняется… Бред какой-то.
Не бред. Данные приводятся к целочисленному типу. А это особенность перевода такая, что 123blablabla будет 123, а blablabla123 будет 0.
Инклуда там нет.
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 18:15:46.030000
|
|
|
kirrun
Сообщений: 133
Оценки: 0
Присоединился: 2007-02-18 22:37:06.130000
|
quote:
ORIGINAL: Сhaos_Сode
quote:
ецифровые значения влиьтруются причем как-то хитро ибо "news_id=1/*bla" выполняется, но "news_id=1+OR+1=1/*" тоже выполняется правильно. такое ощущение, что все нецифровые символы просто обрубаются. Хотя с другой тороны "news_id=bla1" не выполняется… Бред какой-то.
Не бред. Данные приводятся к целочисленному типу. А это особенность перевода такая, что 123blablabla будет 123, а blablabla123 будет 0.
Вот я об этом и подумал.
quote:
Инклуда там нет.
Как? [&:] [X(]
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 18:21:38.950000
|
|
|
swish
Сообщений: 158
Оценки: 0
Присоединился: 2005-07-11 22:41:59
|
конечно там нет инъекции, там даже не запущен скуль сервер =)
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 18:27:11.200000
|
|
|
DDosT
Сообщений: 99
Оценки: 0
Присоединился: 2006-10-03 15:12:16.436666
|
Да? А мне только что он выплюнул ошибку!
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 18:32:51.796666
|
|
|
kirrun
Сообщений: 133
Оценки: 0
Присоединился: 2007-02-18 22:37:06.130000
|
Почиитал про "No input file specified.". Все= не понимаю что делать… хм…
SQL-inj нету. инклуда нету. Есть пхп установленный, скорее всего, как cgi и вкусный php-скрипт в txt файле. Все это вместе с апачем, который незадумываясь перекидывает все запросы *.php в PHP… мде…
Грустно как-то…
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 18:35:05.360000
|
|
|
Сhaos_Сode
Сообщений: 1049
Оценки: 0
Присоединился: 2006-01-12 11:54:12
|
quote:
Почиитал про "No input file specified.". Все= не понимаю что делать… хм…
Ответ апача что файла нет, та же 404!!!
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 18:36:18.890000
|
|
|
swish
Сообщений: 158
Оценки: 0
Присоединился: 2005-07-11 22:41:59
|
какую ошибку?? не может быть, там только 21,22 и 80 TCP порты открыты, не может быть там скуля =\
|
|
|
|
|
RE: Конкурс. Февраль. - 2007-02-21 18:36:27.546666
|
|
|
kirrun
Сообщений: 133
Оценки: 0
Присоединился: 2007-02-18 22:37:06.130000
|
quote:
ORIGINAL: Сhaos_Сode
quote:
Почиитал про "No input file specified.". Все= не понимаю что делать… хм…
Ответ апача что файла нет, та же 404!!!
Я ж сказал, я уже почитал. Мне рпосто стало интересно не льзя ли сделать так, чтобы апач подумал что ето *.php и скормил ее в PHP, а тот понял, что это скрипт и обработал его… Но ничего придумтаь не могу, очевидно, игры с %00 тут не покатят…
Думаю дальше…
|
|
|
|
|
|
