Непрерывный хак-квест

Discussion in 'Задания/Квесты/CTF/Конкурсы' started by Root-access, 22 Nov 2011.

  1. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91
    Решил попробовать свои силы в придумывании CTF-заданий.
    Накатал довольно корявый двиг (без бд :D ).
    Запилил несколько заданий, довольно интересных, хоть и несложных, на мой взгляд.

    Предупреждаю: брут я не люблю, поэтому заданий на брут нет! Пожалуйста, не надо перегружать сервак сканом директорий и брутом паролей -- это бесполезно.

    Также прошу сообщать о найденых неигровых уязвимостях. На сервере всё равно ничего для вас интересного нет ;) .

    Задания на знания и сообразительность, в основном по вебу.

    Линк: http://ahack.ru/contest
     
    1 person likes this.
  2. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91
    Появляются новые задания, всё на знание классических уязвимостей php + капля криптографии. Пока ничего сложного нет.
     
  3. Osstudio

    Osstudio Banned

    Joined:
    17 Apr 2011
    Messages:
    638
    Likes Received:
    160
    Reputations:
    81
    http://ahack.ru/contest/?act=news&page=php_include
    Сначала используй функцию
    if (file_exists($filename))
    {
    }

    если true, то инклудь, иначе echo "FFFUUUUU"; ;)
     
  4. AnGeI

    AnGeI Elder - Старейшина

    Joined:
    8 Dec 2008
    Messages:
    395
    Likes Received:
    79
    Reputations:
    16
    Советуешь, да? :D
     
  5. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91

    Эм, вообще-то эта уязвимость -- часть квеста, ок? :)
     
  6. Tigger

    Tigger Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    936
    Likes Received:
    527
    Reputations:
    204
    Включаю логику.
    Читаю твой пост.
    Ты пишешь "page=php_include", т.е. ты предпологаешь, что тут PHP include. Но, есть одно небольшое но. Там используется функция: file_get_contents, о каком инклюде может быть речь? Советчик епт. Ну и очевидно по-моему, что это часть квеста, ибо ты видешь другие задания, кроме этого двига или нет? Это во-первых.

    Во-вторых, интересно, а как функция "file_exists" защитит в данном случае от "инклюда"?
     
    #6 Tigger, 26 Nov 2011
    Last edited: 26 Nov 2011
  7. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,026
    Likes Received:
    311
    Reputations:
    86
    Osstudio
    Опять обосрался...
     
    _________________________
  8. Osstudio

    Osstudio Banned

    Joined:
    17 Apr 2011
    Messages:
    638
    Likes Received:
    160
    Reputations:
    81
    Почему бы нет? :rolleyes: ...

    Ладно, думал автор дыру оставил не нарочно :D
    Сорри!
     
  9. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,026
    Likes Received:
    311
    Reputations:
    86
    Смысл проверять существует ли файл? Это убережет от раскрытий, но не от самой LFI.
    Лучше просто составить белый список для значений параметра инклюдимого файла и все, ну это самое простое.
     
    _________________________
  10. Osstudio

    Osstudio Banned

    Joined:
    17 Apr 2011
    Messages:
    638
    Likes Received:
    160
    Reputations:
    81
    можно удалять ../ к примеру ;)
     
  11. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91
    Osstudio, ты о чём вообще? Там во-первых вообще не инклуд, как уже сказали, во-вторых ".." там фильтруется, ибо это не нужно для квеста.

    Между тем, появилось ещё простое задание! На XSS.
     
  12. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91
    Начали появляться задания на sql-инъекции. Многим будет полезно.

    http://ahack.ru/contest
     
  13. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91
    Снова пошли задания, теперь на исполнение кода, интересные.
    http://ahack.ru/contest
    Хекаем, не стесняемся =) Только не деструктивно!
     
  14. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91
    За последние пару недель появилась пачка заданий.
    Налетаем! http://ahack.ru/contest
     
  15. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91
    Задания уже не только на PHP-безопасность, расширяем кругозор!

    http://ahack.ru/contest
     
  16. daniel777

    daniel777 Elder - Старейшина

    Joined:
    8 Jul 2010
    Messages:
    517
    Likes Received:
    90
    Reputations:
    37
    Сайт не доступен.
     
  17. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Доступен.
     
  18. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91
    Серв падал при фаззинге последнего задания. Почему падал -- не знаю )
     
  19. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91
    2 people like this.
  20. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    193
    Likes Received:
    195
    Reputations:
    91
    Палим новое задание (NewService) после долгого перерыва!
    http://ahack.ru/contest/