Foro de elhacker.net

Seguridad Informática => Desafíos - Wargames => Mensaje iniciado por: Son_of_Bush en 22 Marzo 2015, 04:57 am



Título: Solo para principiante - Hackea mi sitio web.
Publicado por: Son_of_Bush en 22 Marzo 2015, 04:57 am
Estoy practicando  lo poquito que se y tal vez alguien se pueda beneficiar.

Si llevas menos de un mes aprendiendo a "hackear" puedes practicar hackeando mi "website". Ahora mismo no estoy enfocado en la seguridad y pues tiene varias vulnelabilidades. Dispara a tu discrecion, tengo backups

www.playground.x10host.com (http://www.playground.x10host.com)

(Si estoy rompiendo alguna regla favor de gritarme)


Título: Re: Solo para principiante - Hackea mi sitio web.
Publicado por: engel lex en 22 Marzo 2015, 05:15 am
hola!

por favor modifica tu web y colocale (si quieres como un comentario htlm) en algún lado que diga algo como

Citar
Hackea mi sitio web. reto para nuevos

para asegurar que sea realmente tu sitio, luego de eso borra el comentario de "bloqueado" que yo puse y coloca ahí tu pagina entre etiquetas de enlace

Saludos


Título: Re: Solo para principiante - Hackea mi sitio web.
Publicado por: Son_of_Bush en 22 Marzo 2015, 06:56 am
Hecho. Coloque un comentario html con la url de este tema. Esta en el home page precisamente despues del tag del body.



Título: Re: Solo para principiante - Hackea mi sitio web.
Publicado por: engel lex en 22 Marzo 2015, 07:19 am
 ::) perfecto! ya esperemos los resultados


Título: Re:
Publicado por: yum-kax en 22 Marzo 2015, 08:58 am
Mañana me pongo, que buena iniciativa, hace rato que quería ponerme con algo asi.. Tengo q sacarle polvo a algunos recuerdos de mi memoria y leer cosas nuevas!


Título: Re: Solo para principiante - Hackea mi sitio web.
Publicado por: Son_of_Bush en 3 Abril 2015, 10:01 am
Si lo intentastes, dejalo saber para decirte que no encontrastes  :)


Título: Re: Solo para principiante - Hackea mi sitio web.
Publicado por: AleBallesta en 3 Abril 2015, 22:32 pm
Es a nivel web o a nivel servidor? Gracias por la oportunidad, ahora me pongo a practicar!


Título: Re: Solo para principiante - Hackea mi sitio web.
Publicado por: 3n31ch en 3 Abril 2015, 23:04 pm
Uhhh, nunca he intentado nada con esto, quizás empezare ahora con tu pagina, gracias!

;DROP DATABASE users xDDDDDDDDDDD!

buen intento, quien fue ese?

EDITO


No se si es bueno ir publicando esto, pero quizás sea de utilidad. Las contraseñas pueden ser de 8 a 12 caracteres.

Si quieren pueden ver, cree dos usuarios

prueba@prueba.prueba - 12345678
pruebados@pruebados.pruebados - 123456789012


Título: Re: Solo para principiante - Hackea mi sitio web.
Publicado por: Son_of_Bush en 4 Abril 2015, 08:58 am
AleBallesta, nivel web.


Citar
;DROP DATABASE users xDDDDDDDDDDD!

buen intento, quien fue ese?

Aunque parece que no logro borrarla, si encontro una vulnerabilidad.  ;)

Se que al menos hay otra mas.




Título: Re: Solo para principiante - Hackea mi sitio web.
Publicado por: AleBallesta en 5 Abril 2015, 01:25 am
Gracias, voy a ver que puedo aprender de esto...


Título: Re: Solo para principiante - Hackea mi sitio web.
Publicado por: yum-kax en 14 Abril 2015, 14:07 pm
 :-( :-( :-( :-( :-(

Cuanto me falta en este tema! jaja
Lo intente poco voy a ser sincero, por temas de tiempo. Pero asi y todo no pude hacer nada mas que investigar que el sitio esta re mal programado obviamente aproposito para este juego.

Deberia leer mucho mucho mas, voy a buscar a ver que encuentro en el foro.

De nuevo gracias por la iniciativa!



Título: Re: Solo para principiante - Hackea mi sitio web.
Publicado por: Shell Root en 14 Abril 2015, 14:23 pm
Aunque parece que no logro borrarla, si encontro una vulnerabilidad.  ;)

Pues hasta donde se, MySQL (+php) no acepta querys seguidas con ;. Si fuera MSSQL quizás si y dependiendo de los permisos. (Corregidme si estoy equivocado)


Título: Re: Solo para principiante - Hackea mi sitio web.
Publicado por: Son_of_Bush en 15 Abril 2015, 17:36 pm
Shell Root, la verdad no se, pero creo que estas en lo correcto. Creo haber leido algo asi en algun libro, pero no recuerdo.



La razon por la que pense que podian practicar es porque hay un formulario que no esta siendo validado. La idea era que lo encontraran... Sigan el link de "Job Log" y en el primer text imput cuando le hagan click aparecera un formulario. En el no utilice ningun mecanismo de proteccion. De hecho la unica seguridad que he usado en la web es mysqli_real_escape_string.