El próximo día 01/05/2012 empezará un concurso que se tratará de Crackear un servidor (Totalmente legal todo). El concurso durará 30 días y si obtenemos permiso de el-brujo seguramente estará patrocinado por alguna empresa y habrá algún premio :-)

Bases:

• Daremos la IP del servidor que hay que Crackear.
• El servidor no tiene seguridad.
• La IP del servidor se dará por privado.

También me gustaría dejar claro que la idea de realizar esto es para que todos los usuarios aprendamos de todos, por lo que los organizadores agradeceriamos que se realizaran comentarios para que así todo el foro poco a poco fuera consiguiendo acceder al servidor.

CONDICIONES

• Se trata de ser colaborativos, es decir, si pedis la IP para atacar, contar en este POST como vais a atacar y lo que habeis conseguido.
• La idea es que entre todos aprendamos.
• Si alguien pide la IP, va atacando y no va informando en este POST, la próxima vez no se le entregará la IP del servidor.

GANADOR

• Será el primero que consiga acceder como Root.
• Tendrá que haber participado en este foro comentando, etc...
• Se le enviará una botella (España) de cerveza.
  
  • La cerveza será una HACKER PSCHORR importada desde alemania.

¡Que gane el mejor!

-------------------------------------------

PUNTACIÓN

Belial & Grimoire - GANADOR
 - Muestra con que 2 exploits intentó atacar y con que programa: 1 punto
 - Indique que file de Plesk es 'posiblemente' vulnerable. : 1 punto
 - Muestra bug y link para posible XSS/SQLi en Plesk: 1 punto
 - Muestra escaneo positivo e indica el programa: 1 punto

maxim_o
 - Saca servicios del servidor: 2 puntos
 - Descubre posible vulneración (no es al final): 1 punto

opportunity
 - Posible SQLi en el Plesk: 1 punto
 - Muestra IP del server: -1000 puntos
 - Comparte posible SQLi: 1 punto

adastra
 - Muestra el source para atacar si fuera vulnerable el proFTP: 1 punto
 - Aporta como ha intentado acceder al PLESK y resuelve dudas: 1 punto
 - Adastra prueba exploit y comparte resultado: 1 punto


m0rf
 - Encuentra una vulnerabilidad (pero tiene que tiene que ser en local): 1 punto
 - Comparte exploit posible vulnerabilidad: 1 punto

---

Supongo que no lo diras pero, sera linux o windows el server? 

- Se me olvidó comentarlo, solo podrá nombrarse 'ganador' el que explique como lo ha realizado, puesto que esto es para aprender.

No me importa mucho decirlo pues es fácil saberlo: Linux.
De todos modos pondré la versión del SO y los puertos serán de serie.

Realmente no es más que un servidor reción instalado con un servidor apache, php, etc... pero nada securizado :-)

Ok.

Aguantara no? xDD

- Los ataques espero que no xDDD
- Fisicamente es un servidor contratado, no está en mi casa...

Si lo dejo 'fácil' es para ir aprendiendo todos poco a poco y luego ir subiendo la seguridad, etc...


El 1/5/2012 lo diré.