domingo, 16 de junio de 2019

Php817-wechall

Seguimos con los retos de la pagina wechall, esta vez con php817, una continuacion de LFI vulnerability; 


Observar el código php, y la dirección de la pagina en la barra de direcciones del explorador; 

 Es mas, ir probando con cada uno, ya que no es tanto codigo, ahi encontramos la solucion; 


y walaaa; 
Publicadas por a la/s No hay comentarios.:
Etiquetas: ,

jueves, 13 de junio de 2019

LFI Vulnerability- Wechall

Seguimos con los retos, esta vez de la pagina wechall, el reto se llamaba LFI vulnerability; tambien nos dan el codigo, y una reseña de la vulnerabilidad web; 



Testeando varias veces con Burp-suite en la pestaña repeater; 
al final encontramos el bypass para explotar esta web; y nos den la respuesta; 



y walaaa, reto pasado; 


Publicadas por a la/s No hay comentarios.:
Etiquetas: , , ,

miércoles, 12 de junio de 2019

Training Coding-Wechall

Seguimos con los retos, esta vez vamos a entrenar programación, un reto llamado training coding, de la pagina wechall; 

El reto era el siguiente; 


Se debia concatenar la llamada pagina 1 + pagina 2  y nos daban un tiempo limite de 1,3 segundos mas o menos; entonces, no se podia hacer manual, asique debia programar un pequeño script, en python 3, mas usando la libreria requests de python, a todo esto es importante saber usar los requests de un lenguaje de programacion que quieras; 

Paso 1 instalar la libreria requests de python 3; pip install requests.

Paso 2 importar el modulo ; import requests.

Paso 3 investigar  y recopilar informacion del  funcionamiento de esta libreria añadida a python.

Paso 4 Probar codigo; 


PD: la cookie la deberas buscar en tu navegador; 
y walaaaa pasamos el reto; 


Publicadas por a la/s No hay comentarios.:
Etiquetas: , , ,

sábado, 8 de junio de 2019

Polyalphabetic substitution - Vigenère-Rootme

Seguimos en la pestaña de criptografia de la pagina rootme, esta vez nos desafia el siguiente cifrado llamado, Polyalphabetic substitution - Vigenère;

Veamos quien es Vigenere, en wiki; 



Bueno el cifrado era bastante largo de vigenere, asique me puse a buscar una herramienta online en nuestro mejor amigo que tenemos, Google, encontre el siguiente; 



Esta herramienta me dijo que que la probable password era thementor; asique inserte la password y la lleve a texto plano, pero no habia respuesta; 

Asique empeze a probar, busque en google the mentor, me salieron peliculas, series, grupos musicales, hasta que se me ocurrio que tenia que ser algo de hacking jajaj; 


Y bueno le pusimos el nombre del autor y pasamos la prueba, y walaaaaa; otra menos; 




Publicadas por a la/s No hay comentarios.:
Etiquetas: , , , , ,

jueves, 6 de junio de 2019

Fingerprinting the Database-Parte 6- SQL Injection

Seguimos con la sexta parte de sql injection(sqli), esta vez, con fingerprinting database; 

El lenguaje SQL es estandar, pero cada vez mas DBMS(sistema de gestion de base de datos) tienen su diferencia, como, comandos especiales, funciones para recuperar datos como nombres de usuario y base de datos, linea de comentarios, etc.

Cuando los testeadores se mueven para una injeccion sql mas avanzada, necesitan saber que gestor de base de datos se usa; 


La primera manera de averiguar que gestor de base de datos se utiliza es observando el error devuelto por la aplicacion. Los ssiguientes son algunos ejemplos de mensajes de error; 

Usando UNION SELECT con VERSION () tambien puede ayudar  a conocer el gestor de base de datos; 


2- si no hay un mensaje de error, el testeador puede intentar inyectar en los campos utilizando diversas tecnicas de concatenacion;


PD: Parte numero 7, Exploitation Techniques
Publicadas por a la/s No hay comentarios.:
Etiquetas: , , ,

martes, 4 de junio de 2019

Monoalphabetic substitution - Caesar-Rootme

Seguimos en nuestra pagina amiga, rootme, esta vez en la sección de criptografia, vamos a ver este desafió llamado, Monoalphabetic substitution - Caesar, vamos a por el; 


Bueno es un cifrado Caesar, vamos a buscar una herramienta online para obtener el texto plano; 


Pero no era tan simple, como llegar y poner el texto para obtener el texto plano, había un problema de lenguaje que la respuesta esta en francés, me di cuenta por la palabra elles-ellas; ademas, había que estar atento a las frases o oraciones que se estaban dando y al final di con un poema francés; 

Despues de esto, tenia ya completado una parte de mi texto plano, ahora falta la otra parte para pasar el reto, osea la primera letra de cada frase y la  final de cada frase, se adjuntan y se pasa el reto; 


y walaaa pasado el reto; 

Publicadas por a la/s 1 comentario:
Etiquetas: , , , , , , ,

sábado, 1 de junio de 2019

Transposition - Rail Fence-Rootme

Seguimos con los retos criptograficos de la pagina rootme, vamos a resolver el siguiente cifrado; 



Bueno sabemos que el nombre del cifrado es Rail Fence y su forma es de transposicion; busquemos mas en Wiki; 


Rail fence, tambien llamado zigzag, este cifrado usa diferentes metodos de cifrados, la mas usada usando diagonales.


Busquemos en google un decoder rail fence online y lo encontramos; 



y walaaaa; 

Publicadas por a la/s No hay comentarios.:
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)