tag:blogger.com,1999:blog-21555208.post102495077183689904..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: Solución al 1er Reto Hacking Web por Daniel KachakilChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger20125tag:blogger.com,1999:blog-21555208.post-9348498758958100792011-08-18T04:12:35.168+02:002011-08-18T04:12:35.168+02:00al parecer 5 años despues me atrevo a resolver el ...al parecer 5 años despues me atrevo a resolver el reto =) no soy tan bueno para programarme un tool pero e usado sqlmap con algunas variaciones y valla que lo e logrado, pero sin duda Daniel kachakil a dado las fijas =) en hora buena e inicio el reto 2Jose Ramirezhttps://www.blogger.com/profile/01529181745677017867noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-61393647294588293372011-01-10T20:49:56.960+01:002011-01-10T20:49:56.960+01:00Alguien me puede confirmar, creo que el reto ya no...Alguien me puede confirmar, creo que el reto ya no esta activo, lo digo por que al probar la sentencia:<br />http://www.informatica64.com/retohacking/pista.aspx?id_pista=2 AND (SELECT count (*) FROM contrasena WHERE contrasena like '0%') >= 0 el resultado es acces denied, lo que no corresponde a verdadero y podria yo darle seguimiento al reto.<br /><br />Gracias por la respuesta.<br /><br />SaludosAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-87182753950957513222011-01-08T01:37:30.754+01:002011-01-08T01:37:30.754+01:00La verdad no me ha funcionado ami...no sean malos ...La verdad no me ha funcionado ami...no sean malos denos una guia...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-61133400425928211122009-09-14T16:40:23.737+02:002009-09-14T16:40:23.737+02:00Hola de nuevo. Reto conseguido. Al final, me he he...Hola de nuevo. Reto conseguido. Al final, me he hecho yo mismo los shellscripts.<br /><br />¿Ya no se puede enviar un mensaje, no?Alberaanhttps://www.blogger.com/profile/12960678533548870252noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-41453680567774328332009-09-07T19:20:13.406+02:002009-09-07T19:20:13.406+02:00@Maligno gracias por tu pronta respuesta! He estad...@Maligno gracias por tu pronta respuesta! He estado mirando los programas que me has recomendado, aunque no los he encontrado para linux :( Sin embargo, he probado el sqlcheck y el sqldata, aunque no he sido capaz de resolver el reto por mis propios medios, ni siquiera modificando esos scripts :(<br /><br />Seguiré intentándoloAlberaanhttps://www.blogger.com/profile/12960678533548870252noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-38007023666307850502009-09-07T14:56:59.483+02:002009-09-07T14:56:59.483+02:00@Alberaan, antes de hacerte una tool de esto deber...@Alberaan, antes de hacerte una tool de esto deberías probar:+<br /><br />-Absinthee<br />-BSQL Hacker<br />-Marathon Tool<br /><br />Además dispones del código fuente para ayuarte.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-18175923696417620752009-09-07T14:14:27.738+02:002009-09-07T14:14:27.738+02:00Hola buenas! Muy bueno el reto, y muy bien explica...Hola buenas! Muy bueno el reto, y muy bien explicada la solución. Me gustaría programar un programilla parecido al vuestro, pero en C o tal vez shellscript, lo que pasa, es que no conozco funciones que lo hagan en estos lenguajes. ¿Podría alguien decirme como seguir tirando del hilo?<br /><br />Muchas gracias.Alberaanhttps://www.blogger.com/profile/12960678533548870252noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-22261054346261207192008-02-11T21:17:00.000+01:002008-02-11T21:17:00.000+01:00paseando por la red me di con la grat sorpresa de ...paseando por la red me di con la grat sorpresa de encontrar este muy interesante blog, muchachos sinceramente trate, aunque mis conocimientos son muy basicos, veo que ahi hasta videotutoriales que ya han realizado, de evrdad que son muy buenos, haber cuando se dan un paseito por latinoamerica, saludos desde Perú voy a probar lo del primer reto :)onesoulhttps://www.blogger.com/profile/16575341358715272007noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-91637358817945447712007-12-29T18:08:00.000+01:002007-12-29T18:08:00.000+01:00hola..la verdad esta intersante sus retos...y si q...hola..la verdad esta intersante sus retos...y si que dan algo de batalla...los felicito pues son unas de las pocas paginas que valen la pena visitar....son muy buenos....espero en que pueda unirme a su equipo de trabajo,,,,o ayudar en algo...confieso que tuve que leer la solucion pues me trabe en el reto..y pues si que estaba algo facil....jejeje<BR/><BR/>cuidense...<BR/>atte: MarlocHack<BR/>!El matematico indiscreto!<BR/>desde mexico<BR/>marlochack@hotmail.comAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-73699482738237742292007-12-27T08:12:00.000+01:002007-12-27T08:12:00.000+01:00@firewall, enhorabuena!@anónimo, en ese caso tendr...@firewall, enhorabuena!<BR/><BR/>@anónimo, en ese caso tendras que utilizar una estructura como esta:<BR/><BR/>Sacar el valor de la primera fila<BR/><BR/>Select campo from tabla order by desc.<BR/><BR/>Y obtienes el valor campo de la primera fila que llamaremos fila1.<BR/><BR/>Ahora, para sacar la segunda sería.<BR/><BR/>Select campo from tabla where campo>fila1 order by desc.<BR/><BR/>Y sacas fila2...Y luego para sacar el tercero..<BR/><BR/>Select campo from tabla where campo>fila2 order by desc.<BR/><BR/>...Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-21508381176638592702007-12-24T20:08:00.000+01:002007-12-24T20:08:00.000+01:00Hola!. Y como sería para ir haciendo la comprobaci...Hola!. Y como sería para ir haciendo la comprobación de letras para obtener las password (por ejemplo), si envez de haber 1 fila (como en el reto), hay 2 o más filas. Como sería la estructura de la injeccion??Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-33507030660184322122007-10-06T20:36:00.000+02:002007-10-06T20:36:00.000+02:00Hace unos dias resolvi el reto y se me ocurrio hac...Hace unos dias resolvi el reto y se me ocurrio hacer un script en Perl como practicando porque aun no domino el perl, Entonces despues de unas horas hice el script aqui lo dejo por si a alguien le interesa verlo<BR/>http://www.firextrike.com/wp-content/2007/10/ret64.txtAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-31751327672715619842007-08-31T09:00:00.000+02:002007-08-31T09:00:00.000+02:00Hola firewall,el reto sigue activo, y se sacan tal...Hola firewall,<BR/><BR/>el reto sigue activo, y se sacan tal y como dice Dani. Nunca vas a verlo, así que tienes que intuirlos en función de la pista que te salga. Leete el solucionario y luego busca en este blog el artículo sobre Protección contra técnicas de Blind SQL Injeciton que explica como hacerlo.<BR/><BR/>Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-55622215893732383552007-08-30T20:56:00.000+02:002007-08-30T20:56:00.000+02:00Hola que tal disculpoa el reto siogue aun vigente ...Hola que tal disculpoa el reto siogue aun vigente porque no se mucho sobre esto pero al intentar sacar los caracteres probe pero no logre sacar el primero no se si podrias darme una mano en esto te dejo mi msn:<BR/>Firewall1954@hotmail.com<BR/>Aver pues man si puedes me das una manito gracias.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-48038344668052440062007-01-27T13:29:00.000+01:002007-01-27T13:29:00.000+01:00Ah, ok, pues yo también voy a ello :)Ah, ok, pues yo también voy a ello :)Gangrolfhttps://www.blogger.com/profile/12535866881698443787noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-26658032053627344922007-01-27T09:20:00.000+01:002007-01-27T09:20:00.000+01:00Hola Gangolf, cuando lo superó puso lo siguiente:
...Hola Gangolf, cuando lo superó puso lo siguiente:<br /><br />"Pero sin mérito alguno ... :( "<br /><br />Voy a cambiar eso en el reto, para dejar los que lo pasaron a tiempo, y el resto, solo para que firmen, porque registrar quien ha aprendido también mola!.<br /><br />Gracias!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-16435292813023864622007-01-26T11:25:00.000+01:002007-01-26T11:25:00.000+01:00Ejem... como es que habiendo salido esto resuelto ...Ejem... como es que habiendo salido esto resuelto el dia 23 hay un ganador del dia 24? Hummm...<br />Mira que cuando saqué la contraseña me dieron ganas de mandar el formulario pero vaya, no era meritoso....Gangrolfhttps://www.blogger.com/profile/12535866881698443787noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-55906461933898262422007-01-25T10:24:00.000+01:002007-01-25T10:24:00.000+01:00El segundo sale esta semana, así que nada, a jugar...El segundo sale esta semana, así que nada, a jugar otro rato ;)Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-64091787591638538242007-01-24T19:19:00.000+01:002007-01-24T19:19:00.000+01:00Bueno, llegué un poco tarde...
Llegue a este blog...Bueno, llegué un poco tarde...<br /><br />Llegue a este blog por la noticia del deface del zone-h.org, luego me enteré del reto que ya llevaba un par de meses arriba... y veo que los que lo han logrado han sido "personajes" ya conocidos en retos anteriores en los que participé (RomanSoft y Mandingo)... asi que me puse a estar probando lo mio... sin mucha suerte, hoy que me disponía a seguir probando (ya que lei en un post que la solucion la darían hasta en Febrero, me encuentro este post que no me resistí a leerlo... muy bien explicado por cierto.<br /><br />Felicitaciones por tan excelente prueba, a los que la curraron y a los que la resolvieron.<br /><br />Ahora tengo un blog mas agregado a mi blogosfera... :-) asi que saludos desde el otro lado del charco.ciskosvhttps://www.blogger.com/profile/09792933379349690973noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-47372853951037602592007-01-23T14:41:00.000+01:002007-01-23T14:41:00.000+01:00Vaya, yo me quedé probando sentencias SQL, pero en...Vaya, yo me quedé probando sentencias SQL, pero en los scripts que hay por ahi perdidos vi alguna función que trabataba con carácteres (!"·$%&... de modo que pensé que había que ir por otro lado ya que si metías algo fuera de a..z 0..9 siempre daba error. Creo que la pista del hashing me despistó del todo, ya que me ofusqué en buscar contenidos cifrados en las comunicaciones, que me sonaba raro, pero como : A)No podia hacer BLINDQL y B)Había hashing por algún lado...<br />¿Cual era el jugetito del que hablabas en la intro? AL menos gracias a esto he aprendido un huevo y he aprendido a manejar a Cain (y mirá que ni Dios pudo :P) y alguna otra herramienta de inyeción sql, que por otra parte me han defraudado basante.<br />Espero ansioso el siguiente. Ya te saludaré en Getafe! <br />Por cierto, todo esto se evita simplemente haciendo lo que suponía no? vamos, una miserable función que analice el la consulta antes de hacerla verdad?Gangrolfhttps://www.blogger.com/profile/12535866881698443787noreply@blogger.com