Zenk - Security ndh2k12_public:web

ndh2k12_public:web:injectme

2012-07-01T22:19:20+02:00

Overview On trouve une page avec un RPG. Il est possible de se déplacer et de lire des informations grâce au différents items de la map. Lorsque l'on clique sur la map, un popup s'affiche pour se connecter. Utilisation des items En utilisant différents items (appuyer sur espace) on obtient plusieurs informations, que l'on peut récupérer par exemple dans la Console de Firebug :

ndh2k12_public:web:pastag_auth

2017-04-09T15:33:57+02:00

Overview On trouve une page d'authentification classique, rien de bien méchant. Exploitation La première chose qui passe par la tête c'est une Injection SQL blind qui permettrait de se connecter sans mot de passe. C'est évidemment la bonne solution. On a juste galéré à comprendre qu'il fallait en fait fermer une parenthèse pour exploiter correctement la faille.

ndh2k12_public:web:personal_blog

2017-04-09T15:33:57+02:00

Overview L'épreuve se déroule sur un CMS simple avec un seul article et deux commentaires associés. La source de la page nous révèle la version utilisée : Un tour sur les cve de Spip 2.1.12 ne donne rien d'intéressant.

ndh2k12_public:web:workerz

2013-08-21T17:05:32+02:00

Lors du lancement de l'épreuve, on se confronte à une page nous demandant d'entrer un mot de passe de 16 caractères. Solution 1 Après étude de la source, l'épreuve se décompose en 3 parties : En effet, 3 Web Workers travaillent en parallèle à la vérification du mot de passe.

ndh2k12_public:web:zomg

2012-07-01T19:32:33+02:00

Overview On se retrouve avec une page web qui présente une page d'authentification. De plus, l'énoncé nous donne une capture tcp. Zombie Online Massive Game :: Admin