[HaBo]

17.11.06, 13:07

Hi, vor kurzem bin ich auf http://quiz.ngsec.com gestoßen, das ist das beste und authentichste Game was mir bis jetzt unter gekommen ist, von erraten über refer spoofen zu dummen fehlern, sql-inj., buffer overflows,...

es gibt 2 games mit jeweils 10 level, ich bin im erstem game bei level 9.

Also das ist ne richtige übung, da man in der realität sehr selten auf die 0815 javascrip logins stößt die man bei jedem anderen hackit/hackit-serie findet.

vie spass dabei ;>

mfg

gmw · 17.11.06, 18:31

Hm, habs mir mal kurz angeschaut. Ist echt ganz nett "realistisch" gemacht, allerdings finde ich ist es etwas langweilig wenn von Anfang an klar ist was getan werden muss. So lernt man dann zwar das, was die Übung erfordert, jedoch nichts anderes.

Hier ist meine liebste Challenge: http://sered.cyberarmy.net

Die Aufgaben sind nicht ALLE realistisch, aber zumindest die höheren Lvl sind "echte" Hacks. Und sie sind sehr schwer. Und frustrierend. Wo ist meine Kettensäge?

Anzeige

- Anzeige -

17.11.06, 19:37

man weiss nicht von anfang an, was man machen soll... am anfang bekommt man tipps (Hints) später, gibts keine hilfe,manchmal nen pseudo code oder ne binary zum reversen,...

Edit: hab mich dort jetzt mal angemeldet, wo startet man da denn die hackits?

mfg

elite-noob · 17.11.06, 22:26

<offtopic>
Momentan versuche ich mich gerade an der ersten Aufgabe, irgendwie habe ich den hinweis den die mir geben nicht ganz verstanden. Dort heißt es ja sinngemäß das das Passwort etwas mit der Firma zu tun hat. Aber irgendwie raffe ich das net ganz, habe die PWD liste (die mit dem schwarzen hintergrund) gesucht was von ngsecure gefunden, aber leider funzt das net, momentan komme ich net weiter. Kann mir einer den Hinweis etwas deutlicher sagen? Bzw. mir nen leichten Stupf in die Richtige Richtung geben? Wäre super, aber bitte auf keinen fall eine art tutorial anleitung oder direkte beschreibung senden, NUR einen kleinen Hinweis.
</offtopic>

Danke für den Link, gefällt mir gut auch wenn ich net weiter komme ^^

Pyrokar · 18.11.06, 01:02

Zitat:

Original von elite-noob
<offtopic>
Momentan versuche ich mich gerade an der ersten Aufgabe, irgendwie habe ich den hinweis den die mir geben nicht ganz verstanden. Dort heißt es ja sinngemäß das das Passwort etwas mit der Firma zu tun hat. Aber irgendwie raffe ich das net ganz, habe die PWD liste (die mit dem schwarzen hintergrund) gesucht was von ngsecure gefunden, aber leider funzt das net, momentan komme ich net weiter. Kann mir einer den Hinweis etwas deutlicher sagen? Bzw. mir nen leichten Stupf in die Richtige Richtung geben? Wäre super, aber bitte auf keinen fall eine art tutorial anleitung oder direkte beschreibung senden, NUR einen kleinen Hinweis.
</offtopic>

Tipp1: Du brauchst beide Listen eigentlich garnicht, daran soll man nur das Chema der simplen Passworteinfälle verstehen.
Tipp2: Das Simpelste, was sich ein Admin eben ausdenken könnte wenn er ein Passwort für den Adminbereich seiner Seite braucht.

Find die Seite auch ganz gut, bin gerade bei Level 6.

elite-noob · 18.11.06, 01:26

Zitat:

Original von Pyrokar

Zitat:

Original von elite-noob
<offtopic>
Momentan versuche ich mich gerade an der ersten Aufgabe, irgendwie habe ich den hinweis den die mir geben nicht ganz verstanden. Dort heißt es ja sinngemäß das das Passwort etwas mit der Firma zu tun hat. Aber irgendwie raffe ich das net ganz, habe die PWD liste (die mit dem schwarzen hintergrund) gesucht was von ngsecure gefunden, aber leider funzt das net, momentan komme ich net weiter. Kann mir einer den Hinweis etwas deutlicher sagen? Bzw. mir nen leichten Stupf in die Richtige Richtung geben? Wäre super, aber bitte auf keinen fall eine art tutorial anleitung oder direkte beschreibung senden, NUR einen kleinen Hinweis.
</offtopic>

Tipp1: Du brauchst beide Listen eigentlich garnicht, daran soll man nur das Chema der simplen Passworteinfälle verstehen.
Tipp2: Das Simpelste, was sich ein Admin eben ausdenken könnte wenn er ein Passwort für den Adminbereich seiner Seite braucht.

Find die Seite auch ganz gut, bin gerade bei Level 6.

Boh bin ich BLÖD ^^
das ist ja so offensichtlich das es schon wieder gut ist *lol* durch den zweiten Tip nur ein versuch und drinne war ich *lach* man sollte halt nicht kompliziertet denken als nötig.

@pyrokar danke für den tip

christian

Heinzelotto · 18.11.06, 03:44

argh ich komm net drauf, ich denk wahrscheinlich viel zu kompliziert -.-

18.11.06, 04:10

kleiner tipp meiner seits, wie heisst denn die firma? (man beachte die url)

hm hab level 9 mitm linux debugger gescahft, und level 10 hab ich einem tutorial entnommen, weil ich darauf nie gekommen wäre, jetzt hab ich wenigstens eine neue möglichkeit gefunden unter linux zu reversen :>

@ level 6: die lösung ist saehr einfach, bei overflows denkt man immer an shellcode und asm, ist aber hier vieeeeeeeeeel einfacher! man beachte die arrays bei dem namen ;>

mfg

Heinzelotto · 18.11.06, 19:33

argh!!!
ich hatte das Passwort sschonmal ausprobiert, da allerdings mit großbuchstaben. Mann, bin ich blöd^^

EDIT: So, ich bin jetzt auch bei Level 9, aber hab so auf die Schnelle keinen Disassembler für Linux gefunden. Welchen hast denn du benutzt?

19.11.06, 03:42

ltrace habe ich benutzt, unter debian systemen ist der glaube shcon dabei,ansonsten

apt-get install ltrace in der ubuntu 6.0.6 depper drake source list ist ne quelle da konnte ich es updaten...

dann @ google sich ltrace tut/manual suchen

nochn tipp: die datei mal mitm text editor anschauen, da gibts son textstring, der ist wichtig so muss man die datei starten, bzw muss man das programm per ltrace starten und dem string als parameter:

"login=&password=" < nur angucken wenn ihr es wollt, dass ist der string, ist aber weder pc, noch der name nur nen wichtiger anhaltspunkt...

mfg

Poseidon8 · 19.11.06, 11:52

Ich bin langsam echt am verzweifeln: Ich bin irgendwie zu dumm mich einzuloggen. Ich hab mich jetzt 4 mal mit 4 unterschiedlichen e-mail adressen und 4 unterschiedlichen nick names und 4 unterschiedlichen passwörtern, die ich vorher mit dem "password Evaluator" 4mal überprüft hatte angemeldet, doch wenn ich auf den link in der e-mail klicke und meine benutzerdaten KORREKT und mit KORREKTER gros und kleinschreibung eingebe und auf "Submit" klicke kommt JEDESMAL die Meldung:

Authentication ERROR!

Either your username or password are incorrect. Please go back and try again.

Weis jemand was ich falsch gemacht habe? Mein Englisch ist ausserdem nicht gerade dass beste! Mfg, Poseidon.

19.11.06, 13:32

LOL, dsa sind Hackme's, du sollst die hacken, bzw bypassen. meinste du kriegst jetzt 10 Level hinter einenander, wo du dich mit dienem login zeugs anmeldest?

mfg

Poseidon8 · 19.11.06, 13:55

AHH, BIN ICH DOOOOF!!!! Ich hab noch nie so ein HackIT oder ähnliches gemacht, dass ist das erste... nach dem posting war ich beim 2. versuch drin...
Tausend Dank. Mfg, Poseidon.

20.11.06, 13:48

Bin bei Level 2. und hab ein Problem:

Man muss sich also wieder mit dem Passwort aus level 1. anmelden aber zudem noch als Referer von was-weis-ich.

Wie funktioniert das genau... ja ich weis, da hats n Link mit nem HowTo... aber was genau passiert dabei?

Wikipedia informiert auch nur sehr spärlich...

Scheint aber ein interesantes Hackit zu sein und nicht nur JavaScript...

MfG
IsNull

20.11.06, 14:29

Das Skript funktioniert so:

Als erstes werden die von dir eingegeben Logindaten auf richtigkeit überprüft.
Sollten die Daten richtig sein, so wird überprüft, woher du kommst ( = Referer ).
Wenn der Referer nicht die richtige Seite ist, dann ist der Loginversuch ungültig und du erhälst eine Fehlermeldung.
Bei falschen Daten erhälst du einfach eine Fehlermeldung, dass deine Daten falsch sind.

Als Code sähe das ganze so aus:

Code:

if(user == "user" AND pass == "pass") {
  if(referer == "......") {
    LOGIN_SUCCESS
  }else REFERER_WRONG
}else LOGIN_WRONG

Bei der Aufgabe hast du ja die Logindaten gegeben ( die aus Aufgabe 1 ), nur musst du diesmal noch die Überprüfung des Referers umgehen, indem du den Referer einfach fälscht. Wie du das machst, wird in dem Tutorial beschrieben. Am besten das ganze einfach mal mit der Console durchmachen, sodass du die Ergebnisseite im Command-Fenster angezeigt bekommst. Jetzt kannst du das ganze natürlich noch mit Post machen und so deine Ergebnisse auch per Console updaten, jedoch finde ich die Möglichkeit, das ganze mit einem Firefox/Mozilla Addon ( refspoof ) (<-- bitte erst lesen, wenn du es per CMD geschafft hast, sonst bringts dir garnicht

) um längen einfacher.

Anzeige

- Anzeige -

17.11.06, 13:07	#1 (permalink)
SkiN-X Guest Likes:	Hackit: Das beste, was ich kenne! Anzeige Hi, vor kurzem bin ich auf http://quiz.ngsec.com gestoßen, das ist das beste und authentichste Game was mir bis jetzt unter gekommen ist, von erraten über refer spoofen zu dummen fehlern, sql-inj., buffer overflows,... es gibt 2 games mit jeweils 10 level, ich bin im erstem game bei level 9. Also das ist ne richtige übung, da man in der realität sehr selten auf die 0815 javascrip logins stößt die man bei jedem anderen hackit/hackit-serie findet. vie spass dabei ;> mfg

20.11.06, 14:29	#15 (permalink)
fetzer Guest Likes:	Das Skript funktioniert so: Als erstes werden die von dir eingegeben Logindaten auf richtigkeit überprüft. Sollten die Daten richtig sein, so wird überprüft, woher du kommst ( = Referer ). Wenn der Referer nicht die richtige Seite ist, dann ist der Loginversuch ungültig und du erhälst eine Fehlermeldung. Bei falschen Daten erhälst du einfach eine Fehlermeldung, dass deine Daten falsch sind. Als Code sähe das ganze so aus: Code: if(user == "user" AND pass == "pass") { if(referer == "......") { LOGIN_SUCCESS }else REFERER_WRONG }else LOGIN_WRONG Bei der Aufgabe hast du ja die Logindaten gegeben ( die aus Aufgabe 1 ), nur musst du diesmal noch die Überprüfung des Referers umgehen, indem du den Referer einfach fälscht. Wie du das machst, wird in dem Tutorial beschrieben. Am besten das ganze einfach mal mit der Console durchmachen, sodass du die Ergebnisseite im Command-Fenster angezeigt bekommst. Jetzt kannst du das ganze natürlich noch mit Post machen und so deine Ergebnisse auch per Console updaten, jedoch finde ich die Möglichkeit, das ganze mit einem Firefox/Mozilla Addon ( refspoof ) (<-- bitte erst lesen, wenn du es per CMD geschafft hast, sonst bringts dir garnicht ) um längen einfacher.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Bestes Board das ich kenne	julack91	Hackerboard.de-Feedback	10	19.05.07 00:00
Hackit	Minimilk	Hacks & Crackmes	12	13.07.06 17:53
Hackit	Black	(In)security allgemein	5	16.07.05 15:26
HackIT	Sniffer	Code Kitchen	16	09.05.05 15:53
Hackit 12	mullrich	Off topic-Zone	5	06.04.05 21:29

17.11.06, 18:31	#2 (permalink)
gmw Registriert seit: 06.06.04 Likes: 0	Hm, habs mir mal kurz angeschaut. Ist echt ganz nett "realistisch" gemacht, allerdings finde ich ist es etwas langweilig wenn von Anfang an klar ist was getan werden muss. So lernt man dann zwar das, was die Übung erfordert, jedoch nichts anderes. Hier ist meine liebste Challenge: http://sered.cyberarmy.net Die Aufgaben sind nicht ALLE realistisch, aber zumindest die höheren Lvl sind "echte" Hacks. Und sie sind sehr schwer. Und frustrierend. Wo ist meine Kettensäge?

17.11.06, 19:37	#3 (permalink)
SkiN-X Guest Likes:	man weiss nicht von anfang an, was man machen soll... am anfang bekommt man tipps (Hints) später, gibts keine hilfe,manchmal nen pseudo code oder ne binary zum reversen,... Edit: hab mich dort jetzt mal angemeldet, wo startet man da denn die hackits? mfg

17.11.06, 22:26	#4 (permalink)
elite-noob Registriert seit: 25.09.05 Likes: 2	<offtopic> Momentan versuche ich mich gerade an der ersten Aufgabe, irgendwie habe ich den hinweis den die mir geben nicht ganz verstanden. Dort heißt es ja sinngemäß das das Passwort etwas mit der Firma zu tun hat. Aber irgendwie raffe ich das net ganz, habe die PWD liste (die mit dem schwarzen hintergrund) gesucht was von ngsecure gefunden, aber leider funzt das net, momentan komme ich net weiter. Kann mir einer den Hinweis etwas deutlicher sagen? Bzw. mir nen leichten Stupf in die Richtige Richtung geben? Wäre super, aber bitte auf keinen fall eine art tutorial anleitung oder direkte beschreibung senden, NUR einen kleinen Hinweis. </offtopic> Danke für den Link, gefällt mir gut auch wenn ich net weiter komme ^^

18.11.06, 03:44	#7 (permalink)
Heinzelotto Senior Member Registriert seit: 29.07.05 Likes: 0	argh ich komm net drauf, ich denk wahrscheinlich viel zu kompliziert -.-

18.11.06, 04:10	#8 (permalink)
SkiN-X Guest Likes:	kleiner tipp meiner seits, wie heisst denn die firma? (man beachte die url) hm hab level 9 mitm linux debugger gescahft, und level 10 hab ich einem tutorial entnommen, weil ich darauf nie gekommen wäre, jetzt hab ich wenigstens eine neue möglichkeit gefunden unter linux zu reversen :> @ level 6: die lösung ist saehr einfach, bei overflows denkt man immer an shellcode und asm, ist aber hier vieeeeeeeeeel einfacher! man beachte die arrays bei dem namen ;> mfg

18.11.06, 19:33	#9 (permalink)
Heinzelotto Senior Member Registriert seit: 29.07.05 Likes: 0	argh!!! ich hatte das Passwort sschonmal ausprobiert, da allerdings mit großbuchstaben. Mann, bin ich blöd^^ EDIT: So, ich bin jetzt auch bei Level 9, aber hab so auf die Schnelle keinen Disassembler für Linux gefunden. Welchen hast denn du benutzt?

19.11.06, 03:42	#10 (permalink)
SkiN-X Guest Likes:	ltrace habe ich benutzt, unter debian systemen ist der glaube shcon dabei,ansonsten apt-get install ltrace in der ubuntu 6.0.6 depper drake source list ist ne quelle da konnte ich es updaten... dann @ google sich ltrace tut/manual suchen nochn tipp: die datei mal mitm text editor anschauen, da gibts son textstring, der ist wichtig so muss man die datei starten, bzw muss man das programm per ltrace starten und dem string als parameter: "login=&password=" < nur angucken wenn ihr es wollt, dass ist der string, ist aber weder pc, noch der name nur nen wichtiger anhaltspunkt... mfg

19.11.06, 11:52	#11 (permalink)
Poseidon8 Registriert seit: 12.10.06 Likes: 0	Ich bin langsam echt am verzweifeln: Ich bin irgendwie zu dumm mich einzuloggen. Ich hab mich jetzt 4 mal mit 4 unterschiedlichen e-mail adressen und 4 unterschiedlichen nick names und 4 unterschiedlichen passwörtern, die ich vorher mit dem "password Evaluator" 4mal überprüft hatte angemeldet, doch wenn ich auf den link in der e-mail klicke und meine benutzerdaten KORREKT und mit KORREKTER gros und kleinschreibung eingebe und auf "Submit" klicke kommt JEDESMAL die Meldung: Authentication ERROR! Either your username or password are incorrect. Please go back and try again. Weis jemand was ich falsch gemacht habe? Mein Englisch ist ausserdem nicht gerade dass beste! Mfg, Poseidon.

19.11.06, 13:32	#12 (permalink)
SkiN-X Guest Likes:	LOL, dsa sind Hackme's, du sollst die hacken, bzw bypassen. meinste du kriegst jetzt 10 Level hinter einenander, wo du dich mit dienem login zeugs anmeldest? mfg

19.11.06, 13:55	#13 (permalink)
Poseidon8 Registriert seit: 12.10.06 Likes: 0	AHH, BIN ICH DOOOOF!!!! Ich hab noch nie so ein HackIT oder ähnliches gemacht, dass ist das erste... nach dem posting war ich beim 2. versuch drin... Tausend Dank. Mfg, Poseidon.

20.11.06, 13:48	#14 (permalink)
IsNull Guest Likes:	Bin bei Level 2. und hab ein Problem: Man muss sich also wieder mit dem Passwort aus level 1. anmelden aber zudem noch als Referer von was-weis-ich. Wie funktioniert das genau... ja ich weis, da hats n Link mit nem HowTo... aber was genau passiert dabei? Wikipedia informiert auch nur sehr spärlich... Scheint aber ein interesantes Hackit zu sein und nicht nur JavaScript... MfG IsNull

[HaBo]

Hackit: Das beste, was ich kenne!