המשימה השנייה - פריצת אתר - עמוד 2

[_Avi_]

גם אני פתרתי...
אבל בגלל שאני מנהל איתך ן אז לא שווה שאני אקח נקודות באתגר..

גמלי ?

[PHASE]

עברתי תשלב הראשון האם אתם יכולים להסביר מה לעשות בשלב השני
אני חדש באבטחת מידע
(לומד java)

[.EffecT]

עברתי תשלב הראשון האם אתם יכולים להסביר מה לעשות בשלב השני
אני חדש באבטחת מידע
(לומד java)

תעשה XSS בתיבת חיפוש...
JAVA לא קשור, JS קשור..

[PHASE]

תעשה XSS בתיבת חיפוש...
JAVA לא קשור, JS קשור..

XSS???

מצטער אין לי מושג מה זה אומר
זאת דרך פריצה או פשוט לכתוב שם XSS

[Zer0Day]

XSS???

מצטער אין לי מושג מה זה אומר
זאת דרך פריצה או פשוט לכתוב שם XSS

אתה צריך להזריק את הטקסט <script> לתיבת חיפוש
אבל יש מנוע הגנה שמחליף את הערך script בקלט שהוא מקבל
איך תעקוף אותו ?

[PHASE]

אתה צריך להזריק את הטקסט <script> לתיבת חיפוש
אבל יש מנוע הגנה שמחליף את הערך script בקלט שהוא מקבל
איך תעקוף אותו ?

צריך לבטל תמנוע הגנה
או שאפשר לכתוב את המילה סקריפט בדרך אחרת \

תלוי מה המנוע הגנה עושה? הוא מחליף רק את המילה סקריפט או כל מילה?
כי אם הוא מחליף כל אות כאילו מצפין
אפשר לגלות איך הוא מצפין ולכתוב תוכנה שמצפינה באותה דרך
וככה לכתוב את הקוד להצפין ואז הוא יפענח את מה שאני שם בחיפוש כקוד הסקריפט


הלכתי רחוק מידי מה?


נראלי הבנתי
צריך כאילו להזריק את המילה סקריפט לתוך הקוד של האתר ולא לכתוב אותה בחיפוש נכון?

[Crazy_Style]

וואי זה אתגר כל-כך חמוד!!
לא רציני,לקח לי 47 שניות בערך.
אופסי,שחכתי.

[USER1233]

וואי זה אתגר כל-כך חמוד!!
לא רציני,לקח לי 47 שניות בערך.
אופסי,שחכתי.

אני מאמין שאתה מ*** זה שתופס שם תחת מעל כולם?

[Crazy_Style]

אם כולם זה פישרים קטנים שפורצים סטימים ונתקעים על בעיות בJS ובXSS,אז כן.
אם כולם זה מתכנתים ברמה,שיודעים מה הם עושים ומגיבים בצורה נורמלית,אז לא
ד"א אתה רומז שלא הצלחת לעבור את זה?..

[CSS]

השלב הראשון היה ממש קל.
השלב השני טיפה יותר קשה.
למי ששובר את הראש,תרשמו בחיפוש:
';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

עריכה: הצלחתי את השלב השלישי!
הכי קל!

[Crazy_Style]

השלב הראשון היה ממש קל.
השלב השני טיפה יותר קשה.
למי ששובר את הראש,תרשמו בחיפוש:
';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

עריכה: הצלחתי את השלב השלישי!
הכי קל!

אלוהים אדירים מה לעזאזל יצרת
פשוט תרשום את האות script ותגביה את הP,ככה scriPt חחחח

[_vi7ut_]

אלוהים אדירים מה לעזאזל יצרת
פשוט תרשום את האות script ותגביה את הP,ככה scriPt חחחח

חמוד אני ממליץ לך להרגיע רק באת וכבר אתה תופס פה תחת על חצי פורום,
אתה מנהל פורום מתחרה בלי להבין באבטחת מידע, אל תדבר יותר מדי תפעל.
בקשר ל"הגבה" קוראים לזה case sensitive, באותה מידה שאתה יכול לעשות את הפונקציה לאות P אתה יכול לעשות אותה לאות S או לכול אות במילה SCRIPT.

[USER1233]

חמוד אני ממליץ לך להרגיע רק באת וכבר אתה תופס פה תחת על חצי פורום,
אתה מנהל פורום מתחרה בלי להבין באבטחת מידע, אל תדבר יותר מדי תפעל.
בקשר ל"הגבה" קוראים לזה case sensitive, באותה מידה שאתה יכול לעשות את הפונקציה לאות P אתה יכול לעשות אותה לאות S או לכול אות במילה SCRIPT.

יאללה יא מבין תעשה כבוד לפורום

[Zer0Day]

יאללה כולם יודעים תתשובה האתגר נסגר.. :]
אתם מוזמנים לפרסם את תשובותיכם .

[CSS]

תשובות:
שלב ראשון -
קליק ימיני,הצג מקור דף.
שם רשומה הסיסמא (12332).
--------------------
שלב שני -
רושמים את זה בחיפוש

';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
-------------------
שלב שלישי -
לוחצים על Login,ומשנים בכתובת של האתר מ iatraf.php?level=inj3ct&msg=0 ל iatraf.php?level=inj3ct&msg=1



בהצלחה!