domingo, julio 26, 2009

Reto Hacking X: El Zurdorium

Para los amantes de los retos, y todos aquellos que se han estado dejando los sesos y las neuronas en la fase 1 del reto hacking, va esta primera pista.

En la fase 1 se puede ver a Homer Simpson intentando hackear la tienda de nuestro querido señor Flanders. Ned es un tipo peculiar, religioso, bueno, un poco cansino, pero que ha conseguido sacarse un hueco en nuestros corazones.

Una de las características de Flanders es que es zurdo, ya sabéies, esa "gente rara" que llegó a ser tomada por endiablada en otras épocas. Flanders tiene una tienda tiendita llamada el Leftorium en la serie original y que fue traducida en España como el Zurdorium. En ella todo es para zurdos. Tijeras para zurdos, abrelatas para zurdos, calzoncillos para zurdos...


Homer ante el Zurdorium... ¿Qué inyectar?

La pregunta que hay que hacerse es... ¿cómo será una autenticación tradicional para zurdos? ¿Cómo será una inyección en una página web para zurdos?

Saludos Malignos!

108 comentarios:

ramandi dijo...

Venga va, y ahora una pista para el segundo nivel, poooooooorfaaaaaaaaaaaaaaa!! ;-)

Bueno, mejor esta noche, que no voy a poder en todo el día xD.

RoMaNSoFt dijo...

El segundo nivel tiene... digamos, que 4 subniveles... ¿En cuál estás?

Si estás al principio, la pista es que te fijes en la camiseta de Hommer e intentes hacer que se mude de camiseta :)

-r

ramandi dijo...

Sip, estoy pasmado al principio.

Ahora me voy a Bilbo a ver al Boss, pero iré pensando en la pista, a ver si a la vuelta consigo algo :).

Gracias por la pista, oh, gran RoMaNSoFt!!! (esto de que mis ídolos de media vida seáis tan accesibles es acojonante :D )

Anónimo dijo...

La pista de la camiseta es una pista de lo obvio. Es lo único que se sale de lo normal!!

Pero seguramente lo que necesite una pista es el ¿dónde? porque el ¿cómo? (o ¿con qué?) parece descifrable

Dani Kachakil dijo...

Para los que estén enganchados en la primera parte de la fase 2:

- No es casual que Chema haya publicado el Asegur@IT 6 justo antes del comienzo del reto "X", así que ya deberíais saber el qué.

- Como bien apuntaba RoMaNSoFt, se trata de conseguir cambiarle la vestimenta a Homer, modificando algo de la petición. Así averiguaréis el dónde. Unos estaréis viendo un toro, otros al "Tío Sam", otros le veréis en pelotas y tal vez alguno vea al Homer negro... ;-)

- Basta con jugar con dos de los estados anteriores (cualquiera vale) para ir sacando información. Para ello tendréis que ajustar bien la inyección y luego adaptar alguna herramienta que continúe con el trabajo sucio (os advierto que tadará lo suyo...)

¿Cuántos habéis superado esta fase?

Unam1 dijo...

@Kachakil:

Yo, desde luego, no he superado la fase. He perdido un montón de tiempo intentando ver si había algún fichero oculto en el PNG del nombre sospechoso (o algún otro tipo de esteganografía). También he intentado analizar el nombre del fichero, por si oculta algo.

Gracias a tí y a RoMaNSoFT por las pistas.

Bob9316 dijo...

@Kachakil:

Yo tampoco he superado la 1ª parte del segundo nivel. Con las pistas que das veo por donde puede ir la cosa. Probaremos a ver.

Un saludo.

RoMaNSoFt dijo...

Más os vale que os guste programar...

-r

Pedro Laguna dijo...

@romansoft

¿Como a ti? ;-)

¡¡Dejad de dar pistas!! que tampoco es tan dificil el reto como para que ya al segundo dia andemos revelando todo el asunto...

Ains... Si es que no puede ser... ¡Animo a los que esteis en la segunda fase!

g30rg3_x dijo...

Pues no se si sea muchísima mala suerte pero aun no puedo pasar de la fase 1 =/...

Ya he intentado todo tipo de inyecciones sql al derecho y al revés pero aun así nada de nada, no consigo ver nada distinto del 'Acceso Denegado'.
Inclusive ayer -antes de que se de esta nota- pregunte a uno de los que ya ha pasado el nivel y me confirmo que el camino que sigo es el correcto y que la inyección que estoy intentando debería de funcionar pero nada.

Ya me estoy desesperando un poco (ya que se acaba el fin de semana) y yo sigo varado en lo mismo sin idea de que pueda ser -o no ser- y aunque esta entrada/post me sigue diciendo que la inyección a la inversa es la correcta aun no puedo.... =(

Pero bueno les deseo mucha suerte a los demás en la segunda etapa, espero tener mas suerte el próximo fin de semana que este ya se me acaba...

Saludos

RoMaNSoFt dijo...

@Pedrín: Yo me tuve que currar un "apaño" en Java (sin haber programado Java en la vida), engancharlo con el Webscarab y éste a su vez con la única herramienta que hay publicada sobre el tema.

Lo mismo le paso el invento a Kachakil para que lo inserte en su solucionario y entiendas (o si prefieres lo publico en mi web mañana, sin problemas, eh?) :-)))))

Macho, el asador es baratillo, los hay más caros, a tu jefe tienes que mimarlo un poco más y de paso no subestimar al gran kachakil jejeje !! :-*

-r

backtracker dijo...

El problema es Donde Inyectar, eso de la peticion lo deja inconcluso, ya lei sobre el tema del Asegur@IT, ahora el tema es el input para poder probar. Ya no se que mas hacer. ¿ (CR&...) ?

Unam1 dijo...

@Backtracker:

En esa duda existencial andamos todos, compañero. Me voy a dar un descanso, por ver si se me enciende la bombilla...

En fin, habrá que seguir intentando...hasta ver a Barnie con su cervecita y todo...

RoMaNSoFt dijo...

Ummm, ¿alguien ha probado a utilizar un navegador "extranjero"? :)

-r

Anónimo dijo...

¿Qué gana el que peor pista da?

Anónimo dijo...

Jajaja creo que si RoMaNSoFt da otro pista tiene que dar el código del script para sacarlo, porque ha ayudado un montón ya. Gracias :)

Anónimo dijo...

Yo hablaba de la primera fase ...

Bob9316 dijo...

Ya tengo la booleanización de la camiseta xD

Arán dijo...

no tengo manera de sacar la primera fase del lvl2, ni camiseta ni na, como mucho veo desaparecer a homer xD
os habeis comio un carton pa este nivel o que?XDD

Arán dijo...
Este comentario ha sido eliminado por el autor.
Unam1 dijo...

@Arán:

Las pistas de Kachakil y Romansoft son buenísimas. Léelas atentamente, que dan resultado, de verdad.

Yo estoy pillado ahora con la booleanización, porque

a) no es evidente

or

b) soy un torpe sin remedio

or

c) ''=' ;-)

Mi frustración es que he programado una herramienta que se autentica en aspx e inyecta que da gusto, pero hasta que no booleanice no me sirve para nada, excepto (de momento) para ver cuántas vestimentas puede tener Homer.

Bueno, toca seguir intentándolo. Ánimo, compañeros.

Anónimo dijo...

@Unam1: No eres torpe, o yo también soy muy torpe. Creo que unos cuantos estamos así, con las herramientas casi programadas pero sin saber la booleanización no se puede sacar nada en claro. Salvo que el Homer negro es un puntazo xD

Esperemos que salga a base de insistir, pero vamos que entran ganas de meterle fuerza bruta a casco-porro hasta que salga xDDD

Mucho animo a todos :)

Dani Kachakil dijo...

Más vale maña que fuerza (bruta), así que tirad de metodología: siempre hay que ponerse en la piel del programador y pensar en cómo puede estar construida esa parte de la aplicación. Así daréis con la booleanización correcta fácilmente. En el fondo no hay tantas formas de hacer las cosas, así que si lo hacéis bien os debería salir con pocas pruebas...

Suerte!

RoMaNSoFt dijo...

Yo os doy hasta mañana para que "me quitéis" el segundo puesto! Creo que es justo :))) Y así tiene más aliciente.

Pedidle pistas a Chema, que con tal de no regalarme los 3 libros de seguridad de Amazon es capaz de todo! }:-)

-r

Pedro Laguna dijo...

@romansoft

Y por una cena ni te cuento ;-)

tayoken dijo...

Enga va, que me vi a poner con el reto ya!

Dani Kachakil dijo...

@Pedro: Lo que no me explico es cómo aceptas una apuesta así... ¿no ves que a Chema le bastaba con soltar un par de pistas para asegurarse de que alguien lo terminara antes de las 24 horas? Aunque no digo que haya sido el caso (¿o tal vez sí?), esa apuesta la tenías perdida sí o sí...

El caso es que te despejaría esa duda con mucho gusto, pero como no dispongo de un canal seguro (típico de las películas), tendrá que ser en persona, así que ves pensando en invitarme a esa cena y te lo cuento todo (sí, la del asador... ni se te ocurra escatimar en gastos, jeje). Y tranquilo, que los gastos del viaje a Madrid corren por mi cuenta ;-)

Unam1 dijo...

Yo me conformo con terminar el reto. Es el primero en el que participo, así que ya sería un buen comienzo.

Eso sí: me temo que voy acabar odiando a Homer y sus camisetas :-)))

Anónimo dijo...

Ya he pasado lo de la booleanización y he obtenido ciertos archivos, pero no sé por donde / cómo meterles mano...
Alguna pista??

Anónimo dijo...

XDD, vaya no he cumplido mis deberes en el curro, pero eso si ando trasteando en este wargame XD fabulosas pistas que han posteado...

cheers :-)
/alt3kx.

Unam1 dijo...

Je,je...Ya booleanizo. ¡Me siento casi realizado! :-D

@Kachakil: gracias por el consejo de ponerse en la piel del programador.

Unam1 dijo...

Ja,ja. Mi gozo en un pozo. El programador filtra algunos caracteres. Por tanto, ciertas funciones (bastantes) no pueden utilizarse en la inyección. Seguramente, no harán falta, pero es otro obstáculo más en la carrera.

Qué poco duran las alegrías en este reto...Y Chema no suelta prenda (cosa que se agradecería) ;-)

Anónimo dijo...

No puedo pasar la fase uno..Será que no interpreto bien las pistas..
Pero los zurdos no escriben al revés, no? Usan otra mano, pero escriben igual... Alguna orientacion please...

Bob9316 dijo...

No le deis más pistas a unam1 que apenas le saco unos metros de diferencia y me pilla xDDD

RoMaNSoFt dijo...

@unam&bob: pensad en qué momento se realiza el filtrado, lo mismo os podéis aprovechar de ello para saltároslo...

@anonimo_atrancado_en_fase_1: Chema se pasó con el nivel 1, es de total idea feliz... Las pistas se entienden cuando ya sabes la solución pero claro, a buenas horas... Bueno, quizás se salve una que dió Chema ayer:
“si tres es igual a 3, ¿es igual 3 a tres?”. Pensad en esto, ahí está la clave.

@anonimo_que_ya_tiene_el_xml: estás en la subfase bautizada como "happy idea". Consejo: hay un "dato" que está tanto en el xml como en el doc en cuestión. Lo mismo te vale para localizar más cosas...

¡Ánimo! (que lo vais a necesitar xD)

PD: Yo os prometí que esperaba hasta hoy y se ha pasado el tiempo... así que ya he "firmado" :) No es fácil esperar habiendo superado el reto... y si no que se lo pregunten a kachakil que no se resistió ni 1 segundo xDD
PD2: Chema, me debes el libro de forense más "un lote de 3 libros de seguridad" que confío sean los de mi wish-list!!!!! (o "cantaré" al son de tu 0day!! }:-)).

Dani Kachakil dijo...

@RoMaNSoft: Sí que aguanté algo más de un segundo (creo que llegaron a ser más de 60 y todo, jeje), pero bueno, ya sabes que tenía prisa y estaba también la presión adicional de que este reto estaba preparado para que yo no lo sacara ;-)

Y deja de dar pistas, que luego Pedro se nos enfadará y no nos pagará esa cena que nos debe (por cierto, ¿tú y yo cuándo aceptamos entrar en esa apuesta?...) ;-)

¡Ánimo y suerte! que por lo visto algunos estáis muy cerca del final.

Unam1 dijo...

No sé si estamos cerca del final porque vamos a acabar el reto, o porque el reto va a acabar con nosotros. :-))))))

Pedro Laguna dijo...

@kachakil

Pues yo no lo se, pero yo solo pienso pagar lo de chema... :P Ahora en serio, empezamos a mover correos en breve para organizarlo ;-)

A mi lo de las pistas me da igual (bueno, no mucho) pero es que solo llevamos 5 dias de reto!!! Dejad que la gente se estrelle un poco que me los teneis mimados :P

Anónimo dijo...

Y completamente de acuerdo con Unam1... este reto va a acabar con nosotros. No volveré a ver los Simpson de la misma manera xD

Llevo casi 24h mirando una frase sin saber donde anda el doc, cuenta como estrello? xD

Suerte a todos!!

Anónimo dijo...

@RoMaNSoFt
cuando dices "el doc en cuestión" te refieres al archivo original o a esos otros dos archivos que son iguales?
porque el original todavía no lo he encontrado... si es que existe...

RoMaNSoFt dijo...

@anonimo_último: me refería efectivamente a esos 2 ficheritos que tan poca cosa tienen... pero que algo útil tendrán, no iban a estar ahí para nada... Tienes que tirar del hilo. Piensa qué puedes hacer con esa información que obtienes, no se puede hacer gran cosa con ella...

nax dijo...

omg... con la pista de RoMaNSoFt e podido pasar el nivel 1 :p

habia entendido de otra forma lo de una 'inyeccion para zurdos'

salu2
nax

Bob9316 dijo...

Bah, he sido ri*********o, he encontrado los dos mini ficheros, se cual es ese dato que está en los dos sitios pero no se por donde tirar...he probado ha buscar todas las combinaciones que se me han ocurrido de ese dato como dirs y fichs, pero nada. Tb he probado a usar ese form que hay por ahí...pero tp...

Anónimo dijo...

Acabo de llegar a la fase "happy idea", pero no veo ficheros por ningún lado.
Alguna idea?

AliceG dijo...

Ya he pasado la fase de idea feliz del segundo nivel! Ya estoy donde creo que tengo que estar pero sigo sin encontrar la información real...

Unam1 dijo...

A los que han vencido el filtro de caracteres que no deja usar todas las funciones: enhorabuena, compañeros!!!!! A mí me tiene loco y creo que ya he probado todo...menos la solución correcta :-))))

Hasta me he hecho una pequeña aplicación en c# para hacer simulaciones, probar secuencias de escape...Nada. Al menos nada de cara al reto, que didácticos mis intentos sí que están siendo.

Vaya el dolor de cabeza por lo que se aprende. :-D

En fin, voy a ver si alejándome del problema encuentro la solución...flotando en unas cervecitas. (Tampoco voy a ahogar mi frustración en alcohol, no vayais a creer.)

Anónimo dijo...

@Unam1 no desesperes y piensa como un navegador. Al menos, como escaparía esos caracteres un navegador.
Y las cervezas resérvalas para celebrarlo cuando acabes :P

@AliceG Felicidades, a ver si a mi también se me ocurre la idea feliz, porque sólo me salen ideas tristes :)))

Unam1 dijo...

@Anónimo:

Gracias, compañero!!! Qué razón tienes!!! El caso es que ya había probado por ahí, pero no sé como hice la prueba, porque me pareció que no funcionaba. Ahora, después de leer tu post, he insistido y ¡bingo! (por cierto, que me he tirado de los pelos y me he llamado cien veces B6432DCD6DE8E4F4805DC9A2B1BDAF2B).

Muchas gracias por la ayuda, y ánimo con esas ideas felices.

ramandi dijo...

Oh my god!! Hoy voy a dormir!! :D

Los que estáis con las camisetas de las pelotas (de petanca), no desesperéis!! Con las pistas que hay se puede hacer de sobra, aunque no es ni mucho menos trivial, pero una vez superado ese escollo (totalmente maligno) todo es cuesta abajo. El resto es jugar, no hacking avanzado.

Por si le sirve a alguien, mi primer intento de saltarme los filtros falló porque no tuve en cuenta un carácter que ya se notaba que era especial desde el principio, ya que el programador lo usa para marcar el límite de lo que quiere leer.

Que no os desanime lo de las ideas felices de después, porque esa parte es muchísimo más fácil para los seres humanos normales ;-)... los supercracks que se pasean por aquí tienen ciertas cosas tan superadas que ya no ven lo que supone para los que estamos a otro nivel :p.

Para los que buscan ideas felices, yo cuando busco algo mío lo busco en mi casa. Si busco algo de mi madre empiezo buscando en su casa.

Tengo una propuesta para el próximo reto... separarlo en un reto de exhibición y uno de mortales, y para el primero juntar en el SOCtano a RoMaNSoFt, Kachakil y otros figuras similares y dejarlos encerrados hasta que resuelvan el reto, pero emitiendo todo online las 24 horas (o lo que dure)... ver cómo se enfrentan a los retos, sus estrategias, su análisis de la situación, ver si copian al de la mesa de enfrente (como en el pictionary)... todo un éxito. Yo lo llamaría el "reALIto".

Y como estoy que se me va la pinza, quiero aprovechar la oportunidad que se me brinda para agradecer a...(despliego lista) xD

Román, Dani, muchas gracias por las pistas!

Gracias al equipazo de I64 por el reto!! sois todos una panda de %&/#$!!! sí, sobre todo tú, enano cabrón!! XDDDDD

Gracias al canario_HacKeR_Team por su apoyo!! ;-p

Gracias a Chema por hacer que el reto coincida con la defcon, dejándonos la oportunidad de estar ahí arriba!! (mi chavala me ha pedido que te estrangule en la próxima charla, que por tu culpa no le hago caso ;-))

Y con esto, ya dejo de dar la vara ;-).

Unam1 dijo...

Enhorabuena, Ramandi. Ya puedes dormir tranquilo,ya.

Qué suerte tienes de que tu chavala se conforme con que estrangules a Chema. La mía me está estrangulando a mí, directamente ;-))))

Anónimo dijo...

Felicidades ramandi!!! A ver si yo puedo dormir... mañana, porque hoy me da que me voy a ir a Springfield a inspeccionar casa a casa. xDD

ramandi dijo...

Gracias!

Ánimo, que no os queda nada.

Por cierto, picana, sheldon y yo jugábamos juntos, así que nos repartiremos un premio, por lo que aún queda premio para el siguiente!!

Ya sabéis, para ayudaros con ese último esfuerzo ;-).

Anónimo dijo...

Pues yo lo de la idea feliz no lo entiendo. Decís que ya es cuesta abajo, pero a mi me parece lo que más cuesta, ya he probado todas las combinaciones de rutas con el dato común y nada.

sheldon dijo...

Aprovecho las pocas fuerzas que me quedan (gracias a vosotros, chicos del SOCtano ;D ), primeramente para dar ánimos a todos los que siguen dándole caña al reto, Unam1, AliceG, Bob9316, anónimos... ¡¡fuerza!!

Analizad las pistas, que son muy buenas. A veces tenemos las cosas delante de nuestras narices, y por no pararnos a pensar, no las vemos.

Por supuesto, quiero agradecer a kachakil y RoMaNSoFt las pistas y palabras de aliento. ¡Es un lujo teneros por aquí!

Y por último, un recuerdo especial para el Maligno, que estará ahora en Las Vegas, "viendo cosas que el dab no creería, más allá de la puerta de Tannhaüser.." :P

¡Ánimo a todos!


P.D.:Msg para ramandi:
R3JhY2lhcyBhIHRpIHJhbWFuZGksIKFt4XF1aW5hISA7RA==
(Lo entiende mejor así que en ASCII XDD)

Anónimo dijo...

¿A alguien le devuelve 408 (TimeOut) el servidor, o es a mi solo?
Cachis yo que me levantaba con ganas de probar cosas...

Unam1 dijo...

@Sheldom: muchas gracias, compañero. Ahí seguiremos dándole al tema, hasta que salga.

@Anónimo: efectivamente, el servidor del reto parece tener algún problemilla. Habrá que esperar a que lo arreglen.

ramandi dijo...

@Anónimo_buscador_de_todas_las_rutas_posibles

Pa' mí que tú estás buscando en tu madre, no en su hogar ;-)... y hasta aquí puedo leer.

Anónimo dijo...

¿Alguna luz sobre cómo encontrar donde se ha de inyectar?

Unam1 dijo...

@Anónimo_Donde_Inyectar:

Lee bien las pistas de Romansoft...Kachakil también señala que es necesario "modificar algo en la petición". Normalmente se inyecta con un POST. ¿Y si no podemos con el POST? ¿Con qué hacemos que la aplicación reaccione?

Ánimo.

Anónimo dijo...

@Unam1
Antes que nada, gracias por contestar.
Que modificar la petición es obvio. El problema está en localizar get debo modificar. No lo encuentro o no lo veo.

Otro anonimo dijo...

"Pa' mí que tú estás buscando en tu madre, no en su hogar ;-)... y hasta aquí puedo leer."

Pues yo ya he buscado en ella, en su hogar, en su oficina, dentro de su cartera, en su portafolio, en el baño (que si, por si se habia comido los documentos), debajo de su cama, en su ropero, entre su documentos, en la cocina, en su cuarto, en el jardin de la casa, en fin, llevo casi tres dias persiguiendola y nada...

Una de dos o ya habra sospechado que algo estaba pasando ha corrido de lugar la informacion y ha destruido todas las evidencias, o se ha mudado y no me ha dicho nada.

Joder, quien hubiese pensado que en un reto hacking terminaria haciendo espionaje a mi madre...

Unam1 dijo...

@Anónimo_Dónde_Inyectar:

Hakuna matata. Just take a look at all the clues here, parce que tu n'as que lire les posts de Romansoft. Qui non é sempre lo stesso qui? Son más los titulares en inglés que te revelarán la verdad desnuda.

Anónimo_buscador_de_todas_las_rutas_posibles dijo...

@ramandi xDDDDDDDDDDDDDDDDD creo que me falta eso, coger el teléfono y llamar a mi madre a ver si ha visto algo por su casa. xDDD

@Otro_Anónimo Estoy contigo, el gobierno está detrás de esto, seguro que los datos han sido destruidos :))))

Al final me animo más leyendo comentarios que con el reto xD

Un saludo

Anónimo dijo...

entonces hay que encontrar una ruta o no?

Pedro Laguna dijo...

A ver... para @todos :P

1ª fase: se han dicho pistas de sobra
2ª fase:
- 1ª parte: Pensad como yo (como el programador xD) y pensad en todos los valores que enviais al servidor
- 2ª parte: Microsoft acaba de liberar un puñado de lineas para el kernel de Linux... ¿Y si hubiese reciprodidad?
- 3ª parte: Creo que de esta nadie tiene dudas, asi que ya xD

Y bueno, me alegra ver la expectacion que ha generado este reto, aprovechaos que para el proximo vuelvo yo a participar ;-)

Anónimo dijo...

Alguien puede responder a si hay que encontrar una ruta o no?

Unam1 dijo...

@Pedro:

Entonces, para el próximo reto ya tengo mi quiniela particular sobre los tres primeros puestos. ;-)))

Gracias por las pistas. :-D

Dani Kachakil dijo...

@ramandi, picana y sheldon:
Enhorabuena por haber finalizado el reto y gracias por vuestros comentarios. Cuento con que nos comentéis algunos detalles de vuestras soluciones (no concreto más para no dar posibles pistas) cuando se publique el solucionario. Por cierto, os adelanto que esta vez habrá sorpresa...

A los que seguís dándole caña al reto, ánimo y aprovechad el fin de semana. El que la sigue (a veces) la consigue. ;-)

RoMaNSoFt dijo...

@anonimo: sí, algo de rutas hay por ahí...

@el_resto: enhorabuena a los que lo han conseguido y los demás, a seguir intentándolo :)

@pedro: no nos das miedo!!! }:-)

Unam1 dijo...

Y, llegado a la fase de idea feliz (AKA la de la madre y su casa), veo que la dificultad está a la altura del resto del reto.

Me han dicho que esta noche hablaba en sueños: "...el XML...brrr...los ficheritos...la madre...la casa de la madre..." :-D

Y eso con las buenas y abundantes pistas que tan amablemente nos han dejado Kachakil, Romansoft, Ramandi y compañía (sin olvidar a Chema y a Pedro Laguna).

Creo que sin ellas, a estas alturas me encontraría en una institución psiquiátrica, luciendo una camisa de fuerza y repitiendo sin parar: "Reto Hacking X...Zurdorium...Reto Hacking X...inyectar...Reto Hacking X...el Maligno..." ;-)))

En fin, que, una vez descargada adrenalina, voy a seguir dándole caña, a ver qué encuentro...¿Habéis visto el anuncio ese en que hay dos peces intentando encontrar la salida de una pecera (si ayer estaba, hoy está)? Pues eso.

El de siempre dijo...

@unam1 felicidades por el avance y suerte a ver si tu lo sacas, porque yo estoy completamente bloqueado. Y eso que las pistas me parecen cojonudas e incluso todas apuntan a lo mismo, pero por más que lo pruebo no va... :)))

Unam1 dijo...

@El de siempre:

Ánimo. La sensación de bloqueo es agobiante, pero queda recompensada cuando ves la luz. Y eso te lo dice uno que, más de una vez durante el reto, ha pensado en dejarlo y dedicarse al cante flamenco, que también se echan horas por la noche, pero hay más juerga y te dan palmas. :-D

Anónimo dijo...

Creo que he encontrado la casa de mi madre... El problema es que no sé abrir la puerta...

Anónimo dijo...

necesaria "ingeniería social" de los simpson?

Desesperado dijo...

@Anonimo ¿Algún consejo para los que no encontramos ni la casa?

Unam1 dijo...

@Anónimo en la puerta de la casa:

Hmmmmm...No sé si estamos hablando de la misma casa y la misma puerta. Si pide nombre de usuario y contraseña, seguramente estamos ante la misma, y el caso es que tengo mis dudas de que tenga algo que ver con el reto.

Yo he hecho alguna prueba, pero el caso es que no me atrevo a seguir por si estoy atacando lo que no debo...

Chema Alonso dijo...

Hi friends!

I see you are searching for the home of the user, but it´s too simple in a web server, so you don´t need any extra help.

Once you got the original file, you only have to be and not to be blined to get the last data.....

Cheers from Las Vegas.

Pues eso, que si ya tienes el armario completo es buscar todos los papeles citados en él...

suerte!

En casa de mami ^^ dijo...

OMFG! Llevo con la misma pista 3 dias, y viene Chema, la dice en ingles y se me ocurre... Awesome xD

Good luck in Vegas ^^

Unam1 dijo...

Bueno, bueno. Efectivamente, como decía Chema, "too simple". Lo que pasa es que hay que pensar en clave india (esa supongo que es la reciprocidad de la que hablaba Pedro Laguna).

Ahora ya tengo el doc en cuestión y veremos por dónde sigo. Por cierto, muy graciosa la bromita del png de color Obama. Lástima no haberme hecho una foto cuando ví el contenido, porque seguro que se me puso cara de Z2lsaXBvbGxhcw== :-))))

Enjoy Vegas, Chema.

Anónimo dijo...

Alguna pista para la parte 3 del nivel 2?

Chema Alonso dijo...

Pues.... sólo hay que sacar lo que hay dentro, pero sacarlo bien... y si lo sacas bien no se ve negro...

Saludos!

Bob9316 dijo...

Bueno,
por aquí, después de bastante sufrimiento, hemos llegado al final...Bob9316 y AliceG lo hemos acabado juntos. Ha estado genial el reto, especialmente la búsqueda en el baúl xD. Los Simpsons no volverán a ser lo que eran, sobretodo después de las primeras pesadillas con el reto. Ya estamos esperando el próximo!

Unam1 dijo...

@Bob and AliceG: enhorabuena, compañeros!!!! :-D

@Maligno: Ya me estaba pegando con ello. Tu pista me da ánimos. Gracias!!! :-)

Por cierto, ¡go Pandas, go!

Busca_Rutas dijo...

@Bob y AliceG: Felicidades! Os lo merecéis por no desistir :)

@Unam1 venga que tu eres el siguiente... si no me sale a mi antes :P (no creo, ando bastante perdido, no se que hacer con el dato del original xD)

Animo a los que seguís con ello :)

Unam1 dijo...

Misión cumplida, compañeros!!!! :-D

El balance global es que ha sido una experiencia estupenda. Me lo he pasado bien esta última semana, haciendo halgo que me gusta.

Es larga la lista de agradecimientos: a los que han ayudado con sus buenas pistas (RoMaNSoFt, Kachakil, Pedro Laguna, Chema, Ramandi, a los anónimos...), a los que han ido dado ánimos y a los que han ido dando vidilla a esta entrada del blog (que se está pareciendo por momentos a un chat).

Gracias especiales a Chema, a Pedro Laguna AKA el malvado programador ;-) y a Informática64 por organizar estos retos.

Y, por último (y acabo, que me estoy poniendo pesadito), mil gracias a Miguel Gesteiro, cuya charla en Salamanca me animó a participar en este reto, y me hizo ver que, en el fondo, yo también soy un poquito hacker. ¡Gracias, Miguel!

Ánimo a los que todavía estáis dándole caña.

Nos vemos en el reto XI.

Unam1 dijo...

Donde escribí "halgo" quería escribir "algo" (ha sido un typo, no penséis mal).

Anónimo dijo...

Chema gracias por tu pista, pero leo y releo el documento una y otra vez y no se me ocurre nada... :((

Felicidades a los que lo sacaron.

Unam1 dijo...

@Anónimo:

Lee bien mis últimos posts y lo que me contesta Chema, que ahí está la clave. ¿Sabes qué son las matriuskas?

Ánimo!!!

Anónimo dijo...

Yo saco lo que hay dentro, pero lo debo sacar mal, porque se ve negro...

Otro anónimo dijo...

Pues yo corto desde inicio hasta fin (según lo que dice wikipedia que es inicio y fin en ese formato) y luego no puede abrirlo...

Anónimo dijo...

Tengo varias preguntas:
El formato del archivo final (el que no se ve negro) is Not Gif?
Es necesario algún programa "especial" para obtener dicho archivo?
Es necesario conocer el programa con el que se realizó la operación, si es que se usó alguno...?
Agradezco de antemano las respuestas...

Anónimo dijo...

Vale, ya encontré el archivo, pero ahora tengo un problema en cierta zona del mismo... (caracteres inexistentes?)

Anónimo dijo...

Yo lo veo todo muy negro (En todos los sentidos xD)

Anónimo dijo...

Puede alguien contestar, ya no se que hacer para no verlo negro

Maligno (desde una red insegura) dijo...

@anónimo, no es un PNG, busca bien las extensiones....

sheldon dijo...

@Dani Kachakil:
Gracias! cuenta con nosotros para lo que sea. Aportaremos lo que humildemente podamos, que no será nada que no sepáis ya RoMaNSoFt y tu ;)
Hmmm, me pregunto cual será esa sorpresa...

@Unam1:
Enhorabuena compañero! Parece que el curso de Salamanca fué especialmente inspirador. Que yo sepa, 4 de los 8 primeros en resolver el reto estuvimos allí ;)

¡Ánimo a los que siguen con el reto!

Dani Kachakil dijo...

@sheldon: Pues tengo curiosidad por saber qué herramienta habéis usado para la primera parte de la segunda fase y también cómo os las habéis apañado para decodificar cierto trozo del último paso (creo que son las únicas partes que admiten soluciones algo diferentes). Bueno, cuando llegue el momento, ya nos contaréis... Y sobre la sorpresa aún no digo nada (más que nada porque dejaría de serlo) ;-)

De paso, aprovecho para dar la enhorabuena al resto de ganadores.

Saludos!

Unam1 dijo...

@Sheldon:

¡Qué grata sorpresa saber que ha habido tantos compañeros del curso de Salamanca! Fue inspirador, sin duda, y también existió muy buen rollo: un ambiente muy agradable, en definitiva. Creo que también lo ha habido y está habiendo en este reto hacking.

@Kachakil:

Yo también tengo curiosidad por saber qué herramientas han utilizado otros participantes, especifícamente en las fases del reto que mencionas. En mi caso, quizá me dejé llevar demasiado por mi afición al C#, cuando seguramente habrá medios más directos y rápidos.

Saludos, y ánimo a los que todavía están en ello.

Anónimo dijo...

¿Alguna pistica extra para la boleanización?, por más que me pongo en la piel del programador no me sale :-(

Anónimo dijo...

Buenas,

El tema de booleanización es un pelín "tricky". Intenta descubrir cómo podría estar realizada la consulta: puede que sea una consulta más compleja de lo que pensabas (no es la tipica consulta básica, a lo mejor tiene más de una condición).

Te diré algo que me ayudó...Clasifica las consultas que realices en 2 tipos:
- Consultas que dan error de ejecución

- Consultas sin error, que devuelven otra camiseta diferente (o ninguna) a la que querías => Indican consulta sintácticamente correcta, pero algún predicado de esa consulta modifica la camiseta que vestirá Homer

Las primeras consultas te mostrarán la estructura de consulta , las otras te ayudarán en tu peregrinaje a la booleanización :).

Espero no haberte liado más. Suerte.

s3ntin3l dijo...

Por cierto,

Alcancé el top-ten :). Lástima que sólo haya podido ponerme tras la vuelta de vacaciones :(, si no, a lo mejor tendría una posición mejor entre los mortales (excluyendo a los dioses romansoft y kachakil, por supuesto).

Agradecimientos a todos los que han creado este reto (ya tengo ganas de otro ;p) y a los participantes, cuyos comentarios me han ayudado a ver la luz más rapidamente.

Animo al resto de participantes!!! Miraré este post de vez en cuando por si os puedo echar un cable.

Un abrazo,

Anónimo dijo...

@s3ntin3l algún consejo para los que sacamos una y otra vez una imagen negra?

Chema Alonso dijo...

@anónimo, eso es que no ves bien, ponte las gifas.

Saludos!

yuhuu dijo...

Por Fin!!!!

Dios que gustazo da acabar el reto, aunque he de reconocer que me quedo con ganas de más.

Como todos han dicho, mil gracias a RoMaNSoFt, Kachakil, Pedro, ... y tanta gente que ha ayudado. Y en especial, gracias a Chema por el reto, que es un trabajo coj***do. :)

A la gente que aún lo está intentando, que no desistan, que al final sale.

Un saludo

PD: TWkgdmlzb3IgZGUgaW3hZ2VuZXMgbm8gcmVwcm9kdWPtYS4uLg

Anónimo dijo...

@anonimo

Los que esteis atrancados con la imagen, primero os recomiendo identificar su formato real y luego releer por Internet las características de ese formato, porque algo se os está escapando.

Slds

Juan Carlos Montes dijo...

Arrgg!!!!

Lo de tener las imagenes es sencillo, pero... ahora que hago yo con ellas?????

necesito un poco de luz o acabare por procesar las imagenes bit a bit...

Chema Alonso dijo...

Pues ir al Asegúr@IT 6....

Saludos!

Anónimo dijo...

A la gente que sigue atascada con "la imagen negra" (despues de tener la booleanización y eXtraido el archivo).

Una pista para la gente con edad :( => Pensad en el logo de inicio de Win95: cómo la barra inferior se movía en modo animación.

http://www.alegsa.com.ar/Notas/Notas/windows/windows95logo.jpg

Yo recuerdo cómo cosegui cambiar esa pantalla de inicio por cualquier ótra cosa (animado o no), modificando un solo archivo de Windows.

Suerte,

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares