Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 17

Temat: [zabawa] hack it

  1. #1
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie [zabawa] hack it

    Mam pewien pomysl na zabawe. Reguly sa proste, osoba ktora ma w danej chwili najwiecej punktow prowadzi.

    A teraz szczegoly techniczne:
    Ktos wrzuca 1 stronke, a reszta ma 24h na jej zhackowanie. Przez ten czas nie wolno podawac innych linkow, punkty sie nie dolicza.
    Jesli nikomu sie nieuda, po uplywie doby mozna wrzucic nastepny link. (stary(e) jest nadal aktualny)

    Punktacja:
    root na serwerze - 50pkt
    shell na serwerze - 15pkt
    podmiana indexu - 5pkt
    wyciagnieta baza (wystarczy byle co, nawet same loginy) - 4pkt
    dopisanie js do indexu (xss widoczny dla wszsytkich) - 3pkt
    panel admina, podmiana podstrony, w kazdym razie nic z powyzszych - 2pkt
    csrf, xss, zle tokeny i wszelkiej masci mniejsze bledy - 1pkt

    BONUS: hack calego serwera (czyli np. blad na hostingu) - +20pkt
    BONUS2: brak opisu hacku - pkt/2 (zdobywasz tylko polowe punktow przewidzianych za kategorie)

    Dowodem hacku jest szczegolowy opis w poscie. Jesli nawet komus udalo sie to zrobic wczesniej, a ty to opiszesz jako pierwszy - zdobywasz punkty. A zadanie jest 'zaliczone'. Wtedy autor postu z linkiem powinien umiescic w nim stosowna informacje. Dobrze by jeszcze bylo jakby zamiescic swoj nick na zaliczonej stronce, zeby nie bylo watpliwosci.

    Jedna osoba moze zglosic JEDEN blad, czyli jak znalazles rfi, zdobyles powloke a potem jakims cudem roota, masz do wyboru tylko 1 blad.
    Kolejna osoba moze zglosic rfi, a jeszcze inna shell.
    Jesli znalazles csrf, zmieniles maila adminowi i 'przypomniales' sobie jego haslo, a dopiero z jego poziomu podmieniles index - liczy sie tylko csrf. W zabawie wykluczamy czynnik ludzki.

    Kazdy blad moze zostac zgloszony JEDEN raz, to chyba oczywiste. Tzn blad = skrypt/plik/ - wiecie o co chodzi. Mysle ze rola sedziego tu bedzie decydujaca, bo nie da sie okreslic czy ktos 'zerznal' z ostu wyzej sposob i go skopiowal, czy znalazl to wlasna droga.

    Jesli zdobedziecie jakies cenne informacje, nie musicie ich zostawiac na serwerze ani sie z nikim dzielic. Wystarcza loginy, information_schema, czy cokolwiek. Sedzia zadecyduje czy to nie fake. Rownierz jesli zdobedziecie shell na serwerze mozecie zalatac dziure, ale odpowiednio udowodnic ze to nie fake (np otwierajac jakis port udp wysylajacy 'hack.pl').


    Mysle ze takie cos napewno pomoze poczatkujacym w zrozumieniu zagadnienia, i nie bedzie pytan 'jak shaxowac stronke XYZ?!?!'.
    Newbie wrzuca stronke, a ktos mu tlumaczy jak do tego podszedl.


    Przed rozpoczeciem czegokolwiek, proponuje wybrac sedzie. Nie moze on brac udzialu w zabawie ale bedzie roztrzygal wszelkie watpliwosci. Proponuje ktoregos administratora.
    Ostatnio edytowane przez rip : 06-10-2008 - 22:37

  2. #2
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    ok, ale jak z losowaniem wybrancow,
    moze na tydzien wybieramy jakis TLD, np. nl, => site:.nl
    i random z wynikow

    ogolnie pomysl miodzio
    Ostatnio edytowane przez gogulas : 06-10-2008 - 23:10
    http://gogulas.yoyo.pl/h.gif

  3. #3
    Zarejestrowany
    Dec 2007
    Postów
    56

    Domyślnie

    hehe jestem za

    @edit
    wszystkie chwyty dozwolone? tzn. np. socjotechnika
    Ostatnio edytowane przez d3q : 06-10-2008 - 23:15

  4. #4
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    wiesz, to nawet dobry pomysl

    poczekajmy az wiecej osob sie wypowie

  5. #5
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    qrcze ale ciezko jest tak wszystkie bledy zkatalogowac

    np. wczoraj jednej stronce dalem takiego geta, ze sie zapetlala i przy 4 jednoczensych wywolaniach (na tych moich skromnych 50mbitach) fundowala sobie dosa, to by sie liczylo? :P

    czy w ogole dosy odpuszczamy sobie bo to lamerstwo ;P
    Ostatnio edytowane przez gogulas : 06-10-2008 - 23:32
    http://gogulas.yoyo.pl/h.gif

  6. #6
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    np. wczoraj jednej stronce dalem takiego geta, ze sie zapetlala i przy 4 jednoczensych wywolaniach (na tych moich skromnych 50mbitach) fundowala sobie dosa, to by sie liczylo? :P
    jesli opiszesz dosa (jak, gdzie, jaka funkcja), to 1 pkt.
    Jesli zadosujesz stronke tak, ze automat wywali ja z hostingu i postawisz wlasny index - 5 pkt.

    czy w ogole dosy odpuszczamy sobie bo to lamerstwo ;P
    wiesz, wyobraz sobie taka sytuacje:
    ktos pisze keyloggera ktory wysyla dane getem do skryptu. Ja dosuje ten skrypt tak, ze konto wylatuje, i stawiam wlasny skrypt =]
    DoS ma sens

    tzn. np. socjotechnika
    do uzgodnienia, ja tylko rzucilem pomysl.
    Ale wolalbym nie, bo to jednak nie prawdziwy hacking.
    Ostatnio edytowane przez rip : 06-10-2008 - 23:42

  7. #7
    Avatar javaman
    javaman jest offline www.javainside.pl
    Zarejestrowany
    Mar 2008
    Skąd
    no przed monitorem przecież...
    Postów
    474

    Domyślnie

    Wiecie, byłbym za wzajemnym wystawianiem sobie własnych stronek. Bo na takie zabawy prędzej czy później psie mordy trafią na pewno, albo przynajmniej ktoś "życzliwy". To jest tak jakbyście obrobili bank, stanęli na srodku i krzyczeli - hej to ja obrobiłem bank - zastosowałem ROTFL na kasjerce - ile za to punktów?

  8. #8
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    Cytat Napisał javaman Zobacz post
    To jest tak jakbyście obrobili bank, stanęli na srodku i krzyczeli - hej to ja obrobiłem bank - zastosowałem ROTFL na kasjerce - ile za to punktów?
    Premia +30 punktow i 50 zlotych do 'zelaznej kasy' ;P
    z wyrokiem za hacking mozna lepszy etat dorwac.

    oczywiscie w przypadku znalezienia jakichkolwiek bledow bedziemy je zglaszac administracji... kiedy juz sie pobawimy.
    tzn ja bede swoje na pewno.

    zreszta, to i tak zagraniczne wiec komu sie bedzie chcialo ganiac cross country.
    Ostatnio edytowane przez gogulas : 06-11-2008 - 00:59
    http://gogulas.yoyo.pl/h.gif

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Z wyrokiem za hacking albo w ogole z rekordem o karalnosci jesli chcesz pozniej robic cos legal w security to mozesz juz zapomniec. Jesli informacja wyjdzie na jaw ze byles karany (za cokolwiek) Twoja wiarygodnosc znika i nie dostaniesz zadnego zlecenia... no chyba ze bedziesz chodzaca legenda - cos jak Mitnick i spolka :P

    EDIT:
    O tym ze hackowanie bez pozwolenia wlasciciela strony jest przestepstwem to chyba pisac po raz kolejny nie trzeba
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  10. #10
    Zarejestrowany
    Dec 2007
    Postów
    56

    Domyślnie

    to postawic kilka stronek na roznych cms i po problemie

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. Zabawa "brute-force"
    By TQM in forum Przez WAS dla WAS
    Odpowiedzi: 56
    Autor: 06-22-2011, 11:44
  2. hack.pl - historia XD
    By Sardihan in forum Off Topic
    Odpowiedzi: 5
    Autor: 08-19-2007, 21:45
  3. Ip - hack
    By northdakota in forum Hacking
    Odpowiedzi: 13
    Autor: 03-02-2007, 17:39
  4. GG Hack
    By ELukasz in forum Hacking
    Odpowiedzi: 12
    Autor: 01-03-2007, 21:16

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj