HackThisSite: Basic Challenge Level 3 & 4 & 5

Se nos presenta el nuevo nivel y ahora sí con el archivo de contraseñas subido. Veamos que nos dice.

1

Bastante fácil. Se sube el archivo y la validación se hace contra un archivo disponible en el código fuente, marcado en la imagen.

2

Solo queda acceder a ese archivo y ver la contraseña.3


Vamos con el nivel 4.

4

En este caso, se agrega una nueva forma de obtener la contraseña: mediante un correo electrónico. Básicamente, apretando el botón de Send password to Sam se obtiene lo siguiente.

5

Inspeccionando el botón, podemos ver que hay un campo oculto con la siguiente información:

6

<input type=”hidden” name=”to” value=”sam@hackthissite.org“>

Tratemos de cambiar esa dirección por una nuestra:

7

Nos aseguramos que quede plasmada en el código fuente dando Enter y revisamos nuestra casilla.

9


En el nivel 5 hay que hacer exactamente lo mismo que en el anterior.

0x1Gab.

Web Hacking CTF: Infosec Institute Level 13

Último ejercicio del desafío de Web Hacking de Infosec Institute. De los más divertidos que he podido resolver. Así que bien, arranquemos.

1

Debemos saber como se está haciendo la redirección. Una forma fácil, es pararnos encima de Level 13 (desde la pestaña izquierda superior) y ver como trabaja el sitio.

2

http://ctf.infosecinstitute.com/ctf2/exercises/ex13.php?redirect=ex13-task.php

Continue reading

Web Hacking CTF: Infosec Institute Level 10

Bien, un ejercicio por lo que veo bastante difícil. Y como dice la temática de este nivel, tendremos que tocar el código fuente: Source Code Tampering.

1Nuestra tarea (la cual no salió en la foto), es de ganar el juego en dificultad extrema y con un record de wins de 9999. Debe haber alguna función en el código fuente que maneje las partidas ganadas, ¿no?. La mejor forma de saberlo, es jugando …

2

Continue reading

Web Hacking CTF: Infosec Institute Level 1

¡ Buenas !

Me pude sacar la facultad de encima y juro que tenía muchas ganas de retomar con el blog, ESTA VEZ para no dejarlo tirado más. Antes de que finalice el año voy a contar un poco como me fue este año en lo personal y profesional, fue muy satisfactorio. Así que bueno, arranquemos con la entrada como corresponde.

En una serie de 13 desafios, vamos a realizar el CTF de Infosec (nuevamente), pero en este caso nos ofrece un hacking challenge algo (en lo personal) mas divertido: hacking web apps.

Continue reading