elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad
| | |-+  Desafíos - Wargames
| | | |-+  WarZone (Moderador: sirdarckcat)
| | | | |-+  Torneo de explotacion de servidores
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 2 3 4 5 6 [7] 8 9 10 11 12 13 14 15 Ir Abajo Respuesta Imprimir
Autor Tema: Torneo de explotacion de servidores  (Leído 72,575 veces)
AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Torneo de explotacion de servidores
« Respuesta #60 en: 30 Noviembre 2008, 04:24 am »

Validar esta bien programado, ese no es uno de los ejecutables a atacar.

Si lo ejecutas con sh lo que estas haciendo es pasarle a sh como si validar fuera un archivo script.
Te marca los errores por que sencillamente estas tratando de jecutar un binario como shell script y no va.

En validar solo debes de poner el hash que obtines despues de haber explotado el bug.

Buscas un directorio Oculto dentro de donde se encuentra la aplicaion vulnerable y ahi hay un archivo que solo tu puedes leer ahi esta el hash que le tienes que meter en validar.

Despues de esto se te aplicara a otro grupo donde podras ver otro reto :P. Para esto tendras que volver a iniciar secion y validar con id la correcta aplicaion.

Creo que estas tratando de ejecutar el bug de una forma poco casual, si se puede con perl pero hace falta mas.

Pero al parecer ya lo vistes y solo lo aclaro para los demas, si busca una shellcode de las que he puesto, hay una muy bonita de 25 Bytes, en fin.

Saludos y Suerte.


« Última modificación: 30 Noviembre 2008, 04:30 am por Anon » En línea

dxr
Colaborador
***
Desconectado Desconectado

Mensajes: 3.036



Ver Perfil
Re: Torneo de explotacion de servidores
« Respuesta #61 en: 30 Noviembre 2008, 04:52 am »

Código:
$ /usr/home/warzone/validar
Ejecutado: 1
Hash de la Prueba 0: 413cdc2XXXXXXXXXXXXXXXXXX1
Perfecto ;)
pw: not found
$ echo $PATH
/sbin:/bin:/usr/sbin:/usr/bin:/usr/games:/usr/local/sbin:/usr/local/bin:/root/bin
$

esho es un bug de la aplicacion o q?

Código:
pw: not found

Código:
$ whereis pw
pw: /usr/sbin/pw /usr/share/man/man8/pw.8.gz /usr/src/usr.sbin/pw
$ ls -lah /usr/sbin/pw
-r-xr-xr-x  1 root  wheel    54K Nov 21 16:15 /usr/sbin/pw



En línea

Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.
AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Torneo de explotacion de servidores
« Respuesta #62 en: 30 Noviembre 2008, 05:15 am »

Lo probe muchas veces antes y si funciono... deja veo.

Saludos y gracias.
En línea

dxr
Colaborador
***
Desconectado Desconectado

Mensajes: 3.036



Ver Perfil
Re: Torneo de explotacion de servidores
« Respuesta #63 en: 30 Noviembre 2008, 05:25 am »

pues na... me voy a dormir :(

pense que os ibais a currar un jail, securelevels o algo asi....

El hacerlo en freebsd puede que haya limitado a muchos participantes.
En línea

Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.
AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Torneo de explotacion de servidores
« Respuesta #64 en: 30 Noviembre 2008, 05:37 am »

Ya vi va a ser cosa del sh que estas ejecutando, trata que despues de genera el sh con el bug. Ya que viste tu hash

Sal del entorno inestable: yo lo probe

Código:
%/usr/home/warzone/validar
Ejecutado: 1
Hash de la Prueba 0: 88d32605000a5XXXXXX41f58da080889
Perfecto ;)
%

Y no salio error ... y con el entorno Inestable:

Código:
$ /usr/home/warzone/validar
Ejecutado: 3
Hash de la Prueba 0: 88d32605000a5XXXXXX41f58da080889
Perfecto ;)
pw: not found
$

Si, gracias voy a poner la observacion que regresen al shell principal.

Sobre lo otro que mencionas, si, sin embargo si no fuera asi, la verdad no seria un reto.
Ahora que no solo eso los limito, la mayoria no han encontrado como acceder al sistema.
Saludos.
« Última modificación: 1 Diciembre 2008, 17:32 pm por Anon » En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Torneo de explotacion de servidores
« Respuesta #65 en: 30 Noviembre 2008, 16:18 pm »

Se agrego archivo TORNEO.txt dentro del directorio de Cada usuario
este contiene las Instrucciones de una manera general.

Saludos.
« Última modificación: 30 Noviembre 2008, 16:52 pm por Anon » En línea

sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: Torneo de explotacion de servidores
« Respuesta #66 en: 1 Diciembre 2008, 01:05 am »

worale xD no sabia que dxr supiera de explotacion jaja..
se hizo en FreeBSD, porque en la vida real no siempre eliges el entorno en el que debes trabajar.. pero pues muy bn dxr, vas bien

lo de securelevels no creo hubiera sido muy util para este caso.. pero bueno, jail si.. pero amm.. una pesadilla de implementar en este caso, y con muchos usuarios, la memoria probablemente hubiera sido un problema..

Ahh porcierto, el lunes u algun dia cercano al lunes, es probable que les pongamos SSH o algo asi.. pero no es seguro.. depende de cuantos hayan ya descubierto como iniciar sesion.

Saludos!!
« Última modificación: 1 Diciembre 2008, 01:24 am por sirdarckcat » En línea

IWKY

Desconectado Desconectado

Mensajes: 272



Ver Perfil
Re: Torneo de explotacion de servidores
« Respuesta #67 en: 1 Diciembre 2008, 01:39 am »

Hola, cuando entro en http://shell.warzone.elhacker.net/ no me carga la pagina, Safari dice que el servidor no responde, es como debería ser o me tendría que dejar hacer un login?
En línea

Por internet libre http://red-sostenible.net/
El mejor momento de Dragon Ball Z --> Aqui
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Torneo de explotacion de servidores
« Respuesta #68 en: 1 Diciembre 2008, 01:57 am »

Nop no carga, ayer el servidor real del warzone también estaba off y como se veia la shell funcionando ps lo mas probable es que alguien esté lanzando algún ataque ddos.
Si es así lo mas probable también es que no tenga ni la mas minima idea de como entrar y por frustración la gente se desespera y comienza a hacer tonterías para sentirse tomados en cuenta.

(sugerencia) Sdc, podrías poner la web en un servidor ajeno a la shell y en ves de entrar que te de la ip del servidor con la shell real y asi evitas que un ataque al pedo proboque que no podamos entrar
En línea

sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: Torneo de explotacion de servidores
« Respuesta #69 en: 1 Diciembre 2008, 02:28 am »

la web esta en un servidor ajeno a la shell.. la shell esta en mexico, la web en españa, hay que esperar a que anon se de cuenta jaja.. porque no tengo su celular para avisarle (pasame tu cel!)

Saludos!!
En línea

Páginas: 1 2 3 4 5 6 [7] 8 9 10 11 12 13 14 15 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Nuevo conjunto de herramientas de explotación de IceApple implementado en servidores de Microsoft Exchange
Noticias
r32 0 2,215 Último mensaje 11 Mayo 2022, 22:19 pm
por r32
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines