BlackBoard | Netzwerke/Telekommunikation

BlackBoard » Computerecke » Netzwerke/Telekommunikation » HackIt Hackit

» Hallo Gast [Anmelden|Registrieren]

Letzter Beitrag | Erster ungelesener Beitrag

Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen

Seiten (2): [1] 2 nächste »

Hackit

Autor

Beitrag

« Vorheriges Thema | Nächstes Thema »

Zirias

BlackBoarder

Dabei seit: 11.09.2002
Beiträge: 1.217
Herkunft: /dev/urandom

Hackit

so, just wanted to know about your skills, dudes

I coded a little PHP based hackit, url: http://palmen.homeip.net/~fmp/hackit/

rules:
- no flooding
- no bruteforcing
- no nuking
- no use of any other tool than a webbrowser

if you got the pw, write a pm to me, and I'll edit this post to let the rest of the board know you succeeded

Please include a brief description of the hole, so I know you didn't use brute force or just guessed right

If you flood me, I will not hesitate to write an abuse mail to your ISP. There is a simple security hole in the script and your challenge is to find it. There is absolutely no need to use any "tool".

Now go for it and have fun

greets, Ziri

PS: This post is written in English to discourage all the lamers thinking everything has to be in German. Go away and learn English if you want to be a hacker

Hall of fame:

1. Black Star 13.11.2002 16:59
2. Elch 13.11.2002 22:19
3. Compuholic 14.11.2002 00:32
4. Fuchs 14.11.2002 18:06
5. [TH] 15.11.2002 16:34
6. Kalka 30.11.2002 17:07
7. Antion 17.12.2002 15:49
8. deklarmart 10.01.2003 10:00
9. Saphir 23.01.2003 15:45
10. Michael_Myers 24.03.2003 22:18
11. [CF]Bunny 08.08.2003 01:27
12. dark-coder 08.08.2003 01:40
13. exs 30.10.2003 16:59

__________________
palmen-it.de
GCS/MU d+(++) s+: a C++ UL++++ P+++$ L+++ !E W+++ N+ o? K? w++$ !O M-- V?
PS+ PE++ Y+ PGP++ t !5 X- R- tv b+ DI++ D+ G e++ h r y+

Dieser Beitrag wurde 12 mal editiert, zum letzten Mal von Zirias: 30.10.2003 23:30.

13.11.2002 00:38

zampano

Member

Dabei seit: 08.10.2002
Beiträge: 244

Shit! Your Hackit makes me depressive!

Perhaps, I haven't enough patience!

Congratulation! The hackit is n00b secure!

cya
o000o

13.11.2002 09:12

Zirias

BlackBoarder

Dabei seit: 11.09.2002
Beiträge: 1.217
Herkunft: /dev/urandom

Themenstarter

I just made it a little bit easier. The script doesn't suppress all error messages any more, because they could maybe help you

Have fun

Greets, Ziri

__________________
palmen-it.de
GCS/MU d+(++) s+: a C++ UL++++ P+++$ L+++ !E W+++ N+ o? K? w++$ !O M-- V?
PS+ PE++ Y+ PGP++ t !5 X- R- tv b+ DI++ D+ G e++ h r y+

13.11.2002 16:33

Black Star

Der Pate [Admin]

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr

das war aber kein realistisches hackit. oder?

P.S.: dein englisch wirkt etwas gestelzt

__________________

vescere bracis meis

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Black Star: 13.11.2002 17:05.

13.11.2002 17:01

Fuchs

Senior Member

Dabei seit: 01.11.2002
Beiträge: 474
Herkunft: IM DSL_LIght Land

Yes, his english is funny

13.11.2002 17:19

El Comandante en Jefe

Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx

His English is best one could do without falling down to a level of fucking profanity or k1dd13 h4x0r 5p34k

)

__________________
JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard

"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von LX: 13.11.2002 17:24.

13.11.2002 17:23

Zirias

BlackBoarder

Dabei seit: 11.09.2002
Beiträge: 1.217
Herkunft: /dev/urandom

Themenstarter

Blackstar: Of course it is simplified, but this class of errors is very common in php scripts

As I can see in my webserver logs, it's not that easy to some guys

greets, Ziri

__________________
palmen-it.de
GCS/MU d+(++) s+: a C++ UL++++ P+++$ L+++ !E W+++ N+ o? K? w++$ !O M-- V?
PS+ PE++ Y+ PGP++ t !5 X- R- tv b+ DI++ D+ G e++ h r y+

13.11.2002 19:35

Black Star

Der Pate [Admin]

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr

ich geb ja zu, dass ich mich etwas dumm angestellt hab, aber mein php ist auch nicht das beste.

__________________

vescere bracis meis

13.11.2002 19:42

Compuholic

knows where he wants to go tomorrow

Dabei seit: 19.10.2002
Beiträge: 819
Herkunft: München

Oje,

ich hab mich am Anfang blöd angestellt. Dabei ist es so einfach. *Mich selbst ohrfeig*

14.11.2002 00:34

Fuchs

Senior Member

Dabei seit: 01.11.2002
Beiträge: 474
Herkunft: IM DSL_LIght Land

i am so stupid. It is really simple, but...........

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Fuchs: 14.11.2002 18:02.

14.11.2002 17:35

Compuholic

knows where he wants to go tomorrow

Dabei seit: 19.10.2002
Beiträge: 819
Herkunft: München

lol,

I just realised another feature in Zirias's Script. You can instruct his server to open a connection to an arbitrary target. I wanted to exploit this by using a reverse telnet session but I was unable to redirect stdout of the telnet session to the shell.
If anybody has a solution to this problem please let me know about it.

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Compuholic: 14.11.2002 20:07.

14.11.2002 20:04

Zirias

BlackBoarder

Dabei seit: 11.09.2002
Beiträge: 1.217
Herkunft: /dev/urandom

Themenstarter

Yes, this is because fopen() in php doesn't make a difference between local files and URLs. Within strong limitation, you could use the script as a kind of proxy, but you shouldn't tell the others how to do this, because it would simplify the hackit.

Greets, Ziri

__________________
palmen-it.de
GCS/MU d+(++) s+: a C++ UL++++ P+++$ L+++ !E W+++ N+ o? K? w++$ !O M-- V?
PS+ PE++ Y+ PGP++ t !5 X- R- tv b+ DI++ D+ G e++ h r y+

14.11.2002 22:57

Sephiroth the 23rd

BlackBoarder

Dabei seit: 05.12.2001
Beiträge: 818

H3h3, Black Star analysed it so it's a nice hackit, maybe I'll do it when I'm at home <g>

__________________

16.11.2002 09:28

AC!D

paranoid

Dabei seit: 31.05.2002
Beiträge: 825
Herkunft: localhost

ja genau, wo bist du eigendlich, hab dich ewig nimmer gesehen

__________________

“Attack is the secret of defense - defense is the planning of an attack”

16.11.2002 09:33

Sephiroth the 23rd

BlackBoarder

Dabei seit: 05.12.2001
Beiträge: 818

off topic - ich bin derzeit in der Uni Köln, aber nachher bin ich dann auch wieder nachhause. Sprech mich heut Nachmittag mal in ICQ an, hab keins mehr gehabt und hab dich jetzt nichtmehr in der Liste. Ich war weg weil ich bißchen Starkstrom durch meine Server gejagt hab, aber das erzähl ich dir nachher mal <g>

- ja ich weiß, Spam, aber das ist mir doch mal erlaubt g

__________________

16.11.2002 09:37

[TH]

»®€ªN¡M¡€RT«

Dabei seit: 24.11.2001
Beiträge: 424

Zirias Hackit hat mich inspiriert damit n bisschen rumzuspielen!

Also habe ichs mal bei ewigen ausprobiert! Seit dem werden nur noch 5.999 registrierte User angezeigt! Egal wie oft ich mich regge!

Reggt euch mal ihr kommt zwar ins game habt aber erstens weniger res und zweitens werdet ihrn icht mal im sek angezeigt!

__________________
___________________________

:::::::::::::::::::::::::::::::::::::
.....we gonna get out of this sick society! no one who leads and no one who follows......
:::::::::::::::::::::::::::::::::::::

16.11.2002 12:28

Antion

Member

Dabei seit: 21.10.2002
Beiträge: 216
Herkunft: Schweiz

wo kriege ich einen class file viewer. die im googel sind alle deaktiviert.

Antion

__________________
Wie mal Sokrates gesagt hat, ich weiss, dass ich nichts weiss.

27.11.2002 16:38

Zirias

BlackBoarder

Dabei seit: 11.09.2002
Beiträge: 1.217
Herkunft: /dev/urandom

Themenstarter

Ich glaube du bist im falschen Fil^H^H^HThread.

Außerdem meinst du wohl einen Java-Decompiler. Vielleicht hilft ja die korrekte Bezeichnung bei der Suche

Greets, Ziri

__________________
palmen-it.de
GCS/MU d+(++) s+: a C++ UL++++ P+++$ L+++ !E W+++ N+ o? K? w++$ !O M-- V?
PS+ PE++ Y+ PGP++ t !5 X- R- tv b+ DI++ D+ G e++ h r y+

27.11.2002 17:21

Black Star

Der Pate [Admin]

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr

Zitat:

Original von Antion
wo kriege ich einen class file viewer. die im googel sind alle deaktiviert.

Antion

ich hab den hier -- djdec299.zip
der ist wohl schon ein jahr alt, aber ich hab sehr gute erfahrungen damit gemacht.

in dem jvm-code rumhacken ist nämlich ein bischen lästig.

__________________

vescere bracis meis

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Black Star: 27.11.2002 20:51.

27.11.2002 20:51

Kalka

BlackBoarder

Dabei seit: 16.03.2002
Beiträge: 856

ich habs irgendwie immer noch net geschnallt, wie soll das gehen? Nur mit nem Browser? könnt ihr mir vielleicht einen kleinen Tipp geben?????

cu Kalka

EDIT:
JUHUUUUUUUUUUUUUUUUUUUUUUUUUUUöhhm....also irgendwie habe ich kein pw gebraucht, is das richtig so?

ausserdem sehe ich auch ne Menge PHP auf meinem "geschaft-Screen"

__________________
In wirklichkeit sind wir alle kleine grüne Kaninchen!

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Kalka: 30.11.2002 16:47.

30.11.2002 16:42

Seiten (2): [1] 2 nächste »

Baumstruktur | Brettstruktur

BlackBoard » Computerecke » Netzwerke/Telekommunikation » HackIt Hackit

Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH