[zabawa] hack it

[rip]

Mam pewien pomysl na zabawe. Reguly sa proste, osoba ktora ma w danej chwili najwiecej punktow prowadzi.

A teraz szczegoly techniczne:
Ktos wrzuca 1 stronke, a reszta ma 24h na jej zhackowanie. Przez ten czas nie wolno podawac innych linkow, punkty sie nie dolicza.
Jesli nikomu sie nieuda, po uplywie doby mozna wrzucic nastepny link. (stary(e) jest nadal aktualny)

Punktacja:
root na serwerze - 50pkt
shell na serwerze - 15pkt
podmiana indexu - 5pkt
wyciagnieta baza (wystarczy byle co, nawet same loginy) - 4pkt
dopisanie js do indexu (xss widoczny dla wszsytkich) - 3pkt
panel admina, podmiana podstrony, w kazdym razie nic z powyzszych - 2pkt
csrf, xss, zle tokeny i wszelkiej masci mniejsze bledy - 1pkt

BONUS: hack calego serwera (czyli np. blad na hostingu) - +20pkt
BONUS2: brak opisu hacku - pkt/2 (zdobywasz tylko polowe punktow przewidzianych za kategorie)

Dowodem hacku jest szczegolowy opis w poscie. Jesli nawet komus udalo sie to zrobic wczesniej, a ty to opiszesz jako pierwszy - zdobywasz punkty. A zadanie jest 'zaliczone'. Wtedy autor postu z linkiem powinien umiescic w nim stosowna informacje. Dobrze by jeszcze bylo jakby zamiescic swoj nick na zaliczonej stronce, zeby nie bylo watpliwosci.

Jedna osoba moze zglosic JEDEN blad, czyli jak znalazles rfi, zdobyles powloke a potem jakims cudem roota, masz do wyboru tylko 1 blad.
Kolejna osoba moze zglosic rfi, a jeszcze inna shell.
Jesli znalazles csrf, zmieniles maila adminowi i 'przypomniales' sobie jego haslo, a dopiero z jego poziomu podmieniles index - liczy sie tylko csrf. W zabawie wykluczamy czynnik ludzki.

Kazdy blad moze zostac zgloszony JEDEN raz, to chyba oczywiste. Tzn blad = skrypt/plik/ - wiecie o co chodzi. Mysle ze rola sedziego tu bedzie decydujaca, bo nie da sie okreslic czy ktos 'zerznal' z ostu wyzej sposob i go skopiowal, czy znalazl to wlasna droga.

Jesli zdobedziecie jakies cenne informacje, nie musicie ich zostawiac na serwerze ani sie z nikim dzielic. Wystarcza loginy, information_schema, czy cokolwiek. Sedzia zadecyduje czy to nie fake. Rownierz jesli zdobedziecie shell na serwerze mozecie zalatac dziure, ale odpowiednio udowodnic ze to nie fake (np otwierajac jakis port udp wysylajacy 'hack.pl').


Mysle ze takie cos napewno pomoze poczatkujacym w zrozumieniu zagadnienia, i nie bedzie pytan 'jak shaxowac stronke XYZ?!?!'.
Newbie wrzuca stronke, a ktos mu tlumaczy jak do tego podszedl.


Przed rozpoczeciem czegokolwiek, proponuje wybrac sedzie. Nie moze on brac udzialu w zabawie ale bedzie roztrzygal wszelkie watpliwosci. Proponuje ktoregos administratora.

[gogulas]

ok, ale jak z losowaniem wybrancow,
moze na tydzien wybieramy jakis TLD, np. nl, => site:.nl
i random z wynikow

ogolnie pomysl miodzio

[d3q]

hehe jestem za

@edit
wszystkie chwyty dozwolone? tzn. np. socjotechnika

[rip]

wiesz, to nawet dobry pomysl

poczekajmy az wiecej osob sie wypowie

[gogulas]

qrcze ale ciezko jest tak wszystkie bledy zkatalogowac

np. wczoraj jednej stronce dalem takiego geta, ze sie zapetlala i przy 4 jednoczensych wywolaniach (na tych moich skromnych 50mbitach) fundowala sobie dosa, to by sie liczylo? :P

czy w ogole dosy odpuszczamy sobie bo to lamerstwo ;P

[rip]

np. wczoraj jednej stronce dalem takiego geta, ze sie zapetlala i przy 4 jednoczensych wywolaniach (na tych moich skromnych 50mbitach) fundowala sobie dosa, to by sie liczylo? :P

jesli opiszesz dosa (jak, gdzie, jaka funkcja), to 1 pkt.
Jesli zadosujesz stronke tak, ze automat wywali ja z hostingu i postawisz wlasny index - 5 pkt.

czy w ogole dosy odpuszczamy sobie bo to lamerstwo ;P

wiesz, wyobraz sobie taka sytuacje:
ktos pisze keyloggera ktory wysyla dane getem do skryptu. Ja dosuje ten skrypt tak, ze konto wylatuje, i stawiam wlasny skrypt =]
DoS ma sens

tzn. np. socjotechnika

do uzgodnienia, ja tylko rzucilem pomysl.
Ale wolalbym nie, bo to jednak nie prawdziwy hacking.

[javaman]

Wiecie, byłbym za wzajemnym wystawianiem sobie własnych stronek. Bo na takie zabawy prędzej czy później psie mordy trafią na pewno, albo przynajmniej ktoś "życzliwy". To jest tak jakbyście obrobili bank, stanęli na srodku i krzyczeli - hej to ja obrobiłem bank - zastosowałem ROTFL na kasjerce - ile za to punktów?