viernes, septiembre 07, 2007

Registro de Retos

El ser el que plantea las reglas del juego siempre tiene ventaja. Te permite jugar como los dioses del Olimpo conociendo las respuestas. Así, después de 4 retos hacking tengo un montón de logs. Desde IPS hasta intentos. Esto te permite aprender muchas cosas, como no, echarte unas risas y a veces flipar con las maravillas que se le ocurre a la gente. En todos los retos siempre hay un camino técnico que seguir, pero no hay una única zancada.

Primer Reto

El primer reto es un ataque Blind SQL Injection para sacar el hash de la contraseña que está en MD5 y después crackearla. La dificultad era “adivinar” el nombre de la tabla, ya que teníamos un Access.

- I Reto Hacking
- Solucionario al I Reto Hacking
- Blind SQL Injection

Segundo Reto

El segundo reto era un cucharón, había que descargar la sam del sistema y entrar. Fácil ¿no? ;).

- II Reto Hacking
- Solucionario
- El Cucharón

Tercer Reto

El tercer reto tenía XML injection para entrar en la zona interna ya que autenticabamos con un fichero XML, después había que romper una tarjeta de coordenadas y por último crackear un ejecutable.

- III Reto
- Solucionario

Cuarto Reto

Este reto no tiene base de datos, ni SQL Injection, ni XML Injection, ni un cucharón, ni hay nada que crackear y ni tan siquiera se te tiene que ocurrir una idea feliz. Hay que estudiar y revisar un poco como puede estar montado esto. Una vez descubierta la arquitectura tendréis que pensar "¿qué puede fallar?", luego os aprendéis una RFC y lo sacáis. La información que hay en Internet sobre esto no os va a dar la solución a la primera, deberéis sacarla vosotros, porque sobre esto, lo que se ha publicado es poco y malo. Ningún escáner os va a pasar el reto.

Pistas: El usuario no es el nombre de ningún personaje ni actor, así que no paséis diccionarios, no se pasa el reto con ataques de diccionario. Un ataque de fuerza bruta, ejecutado durante 2 o 3 lustros con todos los caracteres ASCII tal vez os diera el nombre del usuario, pero el nombre del usuario hay que sacarlo.

- IV Reto Hacking

Solucionarios al IV Reto

A partir del día 1 de Octubre se harán publicos los solucionarios. Y digo “los” porque serán varios: El de Mandingo, el de Pedro Laguna, el de Dani Kachakil y alguna cosa mía. El día 1 de Octubre saldará un artículo sobre esto en una revista y poco después os publicaré el artículo aquí. Vamos, que estaremos 1 semanita dedicándosela ampliamente a este tema, mientras tanto… ¿no quieres descubrirlo tú solito?

Además, si vives por Madrid, el día 3 por la noche y el día 4 por la mañana habrá algo más...

¡Suerte!

11 comentarios:

Anónimo dijo...

Uhm, ¿Qué habrá?

Chema Alonso dijo...

Habemus 5º ganador. ¿Quién es? En este reto al 2º y al 5º no los tengo "fichaos". ¿Alguna pista?

Anónimo dijo...

Es lo que tiene el haberse ahorrado el formulario para rellenar los datos de los ganadores... Eso sí, la pijada que sale cuando vas a introducir tu nombre está muy chula ;-)

Anónimo dijo...

Bien he leido todos los retos así como sus soluciones y demas. (Los descargare para estudiarlos) pero ahora me surgen unas cuantas preguntas y reflesiones::

1-Debo de ser más tonto que capirote, pues reto a reto solo sabía flipar con las resoluciones expuestas.

2-Si en realidad soy panfilo perdido porque coño me han dejado terminar una carrera cuando me tenian que haber echado a freir puerros. ((De verdad esta tan mal la Uvigo???))

3-Bien es verdad y el Sr.Maligno lo sabe pues le he pedido consejo que llevo muy poco tiempo preocupado por aprender temas de seguridad (repito fui tan panfilo que crei que en la carrera me iluminarían con sabiduría y conocimientos); donde coño saca esta gente tiempo para aprender todo eso, y de donde lo aprende???

4-Visto lo visto, cuando presente mi PFC lo tirare a la puta basura pues será un coladero eso sí los memos del tribunal lo valorarán positivamente. (Pero que pasa no saben o tratan a los alumnos de imbeciles).

5-Alguien me puede explicar para que sirve estudiar en una universidad??

//Si sé que puedo parecer un poco drástico pero tengo la moral por los suelos :-(

//Procurare curarla con unos lingotazos a la noche y un par de cigarritos que me pongan sonriente

Saludos y mi enhorabuena a todos los figuras que resolvieron los distintos retos :-D

Pd:: me puesto de tan mala ostia que he dejado este mismo comentario en la solucion al III reto, solucionado por RomanSoft.

Chema Alonso dijo...

@dani, se me pasó totalmente!

@tonio, je. Paciencia, yo tb estudié informática en la uni. ;)

summun dijo...

Ya somos dos, estoy a puntito de entregar proyecto y no me entero de mucho de lo que leí de los solucionarios. La universidad... mucho sobre todo y nada de lo importante. Por eso y porque me gusta me voy a hacer el máster de Comercio electrónico de la Universidad de Salamanca, a ver si así el tiempo que tengo en vez de perderlo en asignaturas chorras lo empleo en cosas "bonitas".
Un abrazo y no desistas!!!

Anónimo dijo...

Vaya, otro caso de ingeniero informático frustrado con la carrera, jeje... Tonio, te aseguro que no eres el único que no ha quedado del todo satisfecho con la carrera de informática (conozco a muchos así y me incluyo).

Para mí, la estructura de la carrera está planteada para formar a universitarios y no a profesionales.

De todas formas, algo de "cultura general" habrás aprendido, tal vez cierta metodología de trabajo o de pensamiento, así que tampoco es que la acabes como la empezaste.

La universidad te habrá iluminado con ciertos conocimientos, pero a veces esa luz hace que aparezcan sombras, así que busca otras luces que las complementen y no trates de apagar la que ya tengas.

En cuanto a de dónde sacamos el tiempo, la respuesta es fácil. Duerme poco, abandona tu vida social, no te despegues de tu ordenador (con Internet, por supuesto), lee mucho. Eso sí, piénsatelo dos veces antes de hacerlo... Yo no te lo recomiendo, de verdad que no vale la pena ;-)

Saludos y ánimo!

Anónimo dijo...

Quizás algún día me pique yo a uno de los reto hacking, pero habría que tener tiempo... que es la clave.

En fin, echaré un vistazo a la soluciones para cada uno de ellos a ver si aprendo algo. :)

Chema Alonso dijo...

Yo estudie X.25 así que de TCP/IP no tenía ni flauguers.

Bueno de X.25 tampoco tenía ni idea. ;)

Anónimo dijo...

Chicos!, el reto al completo se trata de conseguir el usuario/password o tambien conseguir los planos de la bomba como dice en el comentario de la web?, porque creo que almenos, la primera parte estoy rozandola con la punta de... los dedos =D

Chema Alonso dijo...

thesur, creo que lo tienes casi casi, pero aún no has sacado la primera parte. Esta bien que descubras "el terminal", pero necesitas un usuarios, ¿no? estás con el palito cerca pero no en el sitio justo.

sigue así.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares