sábado, marzo 08, 2008

¿Tienes tiempo este finde?

El año pasado me pasé por la Alcolea Party y me lo pasé genial. Allí nos juntamos un cerro de gente y conocí a Sirw2p, un chaval de 16 años entonces, apasionado de la informática y la seguridad informática que me enamoró. Tanto que me lo traje un mes en verano a "la guarida". "El niño", como cariñosamente le bautizamos por allí, nos había preparado el Reto en la primera edición de la Party.

En la segunda edición, Sorian, uno de los organizadores del fiestorro, que está en su versión 2.0 me invitó a participar este año otra vez. La fiesta se está realizando ahora mismo, así que ya deben haberse fundido más de la mitad, varios records en varios juegos y seguro que ya se han realizado muchas de las conferencias.

Cómo no pude asistir les mandé algunas cosas para que regalaran a la gente que saque el Reto Hacking que han puesto allí. El reto lo ha vuelto ha desarrollar nuestro amigo Sirw2p y está disponible en esta URL: http://xfsproject.com/alcolea/?lang=alcolea

Alcolea Party Reto Hacking II

No tengo mucha información sobre que habrá preparado Sirw2p pero él dice así:

"Al igual que en la edición pasada, pondremos en marcha un servidor y en él, una aplicación con distintos niveles que tendrás que pasar mediante técnicas "hacker" (XSS,ROBO DE SESIONES,MODIFICACIÓN DE PARAMETROS,SQL INJENCTION..) es decir, poner a volar tu imaginación con tus conocimientos. Es simple, el primero que acceda al texto que se encuentra en el último nivel, resultara ganador.

Técnicas fraudulentas como fuerza bruta o de denegación de servicio (DoS) hacia la aplicación están absolutamente prohibida y habra ID´S (Detectores tempranos de intrusión) y listas de control de acceso monotorizando 24 horas para evitar posibles irregularidades."


Como el Reto está online, y es fin de semana... ¿por qué no jugar un ratito en remoto mientras ellos juegan allí? Divertios un rato que ya se publicará el solucionario. ¿qué tal lo estarán pasando por allí?

Saludos Malignos!

15 comentarios:

  1. Bueno.. un par de correciones, a las 5 de la mañana se daban cuenta de que me habia equivocado y que la pass del 2 no era la que habia puesto.. me pasa eso por acabar las cosas un par de horas antes.

    La pass del dos es holaalcolea y por si no os habais fijado tiene el sistema de encriptaccion mas viejo del mundo (cesar) resumiendo que en el dos la pass es holaalcolea y no la que dice al descifrar la clave.

    PD: Si.. llevo todo el dia intentando cambiarlo pero no me deja loggearme por ftp me dice el proveedor que hay problemas.

    ResponderEliminar
  2. sirw2p un CHAR(75) es hacer trampas? ;)

    Enhorabuena por el reto

    ResponderEliminar
  3. me estaba volviendo loco con el password descifrado XD

    ResponderEliminar
  4. Estoy en el nivel 4 y creo que he hecho todo lo inimaginable con la foto, pero no sé por donde seguir tirando ;D Aquí no hay pistas como las de chemita??

    Divertido reto ;)

    ResponderEliminar
  5. @xota: Si si que las hay, "recuerda lo bueno del jamon esta en interior" :)

    ResponderEliminar
  6. @xota: Bueno pues ya somos dos los que estamos trabados con el jamoncito, por que no se me ocurre que hacer con el.

    ResponderEliminar
  7. @maligno: ¿qué es eso de irrumpir en la jornada de reflexión (aunque sea con un reto)? ¡Ni que fueras socialista! xD

    Veo a gente conocida de izhal... (e incluso al "virtual" ganador del Boinas Negras) !!! :)))) Qué tal, chicos!

    -r

    ResponderEliminar
  8. Me estoy volviendo loco, hay que adivinarla? o esa pista vale para algo? interior=integer? pffff

    Que cabrones! Tengo un examen el martes xD

    ResponderEliminar
  9. otro que se keda en el 4 aun teniendo el original, es k los compare y hay solo una linea de diferencia clara y tmp es mucho, y ya probe con cosas chorras dl jamon xD, a no ser k sea con una tool especifica me perdi

    ResponderEliminar
  10. @xotaOR@trancet: el reto es muy, muy básico ya que esta destinado a gente que va allí a jugar a juegos y frikear un poco, no les voy a poner que juegen con peticiones vulnerables a CSRF obviamente.

    Por eso una pista pensar en la técnica que se usa y buscar por el gran gúru (aka Google) mirar los primeros resultados y a buscar.. :)

    ResponderEliminar
  11. Ya estoy usando steghide (y no te cuento todo lo que había probado antes ;D) pero la contaseña... por fuerza bruta? Es como lo estoy intentando, pero supuestamente no se puede usar, o no se puede usar contra el servidor?

    ResponderEliminar
  12. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  13. @xota: alguien dijo alguna vez "el árbol no te deja ver el bosque".

    Busca bien :)

    ResponderEliminar
  14. Yo ya dejo por imposible lo del maldito jamon, he echo todo lo inimaginable...y resulta que luego sera una tonteria, pero se ve que no estoy inspirado.

    ResponderEliminar
  15. las comillas tienen la culpa en la fase del jamon

    ResponderEliminar