jueves, julio 17, 2008

La lista de los empollones

Hola amigos,

ya ha pasado el ecuador del año y también el ecuador de la campaña de Retos Hacking del 2008 (la del 2007 ya sabéis que acabó y cómo acabó). En este periodo de tiempo los jugadores han pasado por el Reto Hacking VI [en el que había que jugar con las inyecciones con funciones aritméticas], que contó con 2 puntos extras de velocidad de fases, el Juego de XSS [en el que había que forzar acciones en un correo web] que quedó publicado en el artículo de "Correos en la Web", el Reto Hacking VII [con la inyección en llamadas a procedimientos PL/SQL en bases de datos Oracle], el jueguecito de Criptografía que nos propuso el gran Jorge Ramió [solucionario por NitRic] y el actual Reto Hacking VIII (aún abierto para que podáis puntuar). Los puntos se han repartido de la siguiente forma:

Clasificación a día 16/07/08

Como se puede apreciar, parece que Dani Kachakil quiere revalidar su título a todas todas y salvo un desfallecimiento total o que le mandemos un matón que le corte las manos y le mande al hospital durante un tiempo, lo tiene muy enfilado. Sólo 20 de los más de 300 que se han registrado a uno u otro reto han conseguido puntuar, pero no debéis desfallecer, no son tan dificiles.

Si te has atascado en la fase 1 del Reto Hacking VIII te recomiendo que repases este artículo publicado tiempo ha y si te has quedado atascado en la fase 2 te recomiendo que repases las presentaciones de cierta conferencia publicados tiempo ha.

Mi enhorabuena y mis respetos a los afortunados: Dani Kachakil, Mandingo, Bambú, Palako, RoMaNSoFt, Samsa, SealTeam, Tayoken, g30rg3_x, patoruzo, Thesur, Kabracity, evilteq, NitRic, penyaskito, aprens, chaval, dgvikuna , juan_chanc... y estrauberri.

Saludos Malignos!

15 comentarios:

  1. Yo pa mí que te has colao :D a no ser que Ori (samsa) sea la misma persona que Bambú... pero yo diría que a Bambú le has escatimado algún puntillo en el reto 8.

    ResponderEliminar
  2. Anda, estoy entre los menos malos xD

    PedroLagunaaaaaaaa!!!

    ResponderEliminar
  3. Yeah en la cola del top 10 al menos xDDDD

    Saludos
    PD: Gracias por el apunte para la parte 2 del rh8.

    ResponderEliminar
  4. @anonimillo, camibado los putos, que se me va la almendra.

    @penyaskito, Pedro Laguna este año está entre los que curran a mi lado y no entre los que pueden jugar. Le tengo castigado. ;)

    @g30rg3_x, de ná, vamos que es fácil!.

    Saludos!

    ResponderEliminar
  5. pos yo no pienso participar....ea...

    ResponderEliminar
  6. En el reto 8 hay que registrarse no? si es que si, no me deja, me dice no se que de: Sys.WebForms.PageRequestManagerServerErrorException: An unknown error occurred while processing the request on the server. The status code returned from the server was: 500
    y de ahí no paso ;-)
    Lo he intentado 2 veces con distinto navegador y no me rula, pa un día que puedo jugar... :-{
    Saludos.

    ResponderEliminar
  7. Hola a tod@s

    Estoy a trastos con los parámetros y SQL Injection. He probado varias herramientas, pero creo que son una mierda. Me podríais recomendar un par de ellas.

    Gracias.

    ResponderEliminar
  8. @Anónimo: El Sql injection es y debe ser, algo "artesanal", no creo que haya buenas herramientas para tal efecto, a menos que se desee automatizar un blind... o algún tipo de sistema de detección de bbdd y versiones... vamos, que yo no recomendaría ninguno....

    ResponderEliminar
  9. Gracias anonimillo.

    Había escuchado que había alguna herramienta útil por ahí, y estoy probando . Y me parecen malas, vamos, que no ayudan mucho, y lo que creo es que tienes razón, yo a mano soy mucho más efectivo. Así que ninguna que facilite un poco el trabajo...

    ResponderEliminar
  10. Yo tengo un cabreo con la parte dos del reto 8...tengo lo que tengo que tener, pero no se como sacarle provecho :P

    ResponderEliminar
  11. @anónimo, para SQL Injection yo uso Priamos, Absinthe y poco más.

    @Sealteam. De la forma más sencilla. ;)

    ResponderEliminar
  12. @Maligno: ¿Absinthe y Priamos? si hablamos de auditoría vale... pero si hablamos de... bueno, de que no cante mucho, es como meter un elefante en una cacharrería, no crees?

    ResponderEliminar
  13. @anonimillo, of course, pero cualquier sql injection saltará las alertas de sitios bien administrados y en sitios mal administrados ni notarán las herramientas. Pero sí, hablamos de auditoría ;)

    ResponderEliminar
  14. Aquí sólo se habla siempre de auditorías y de técnicas que se aplican en nuestras propias webs, ¿no?

    ResponderEliminar
  15. Ya no manda el mail de registro el Reto hacking¡¡¡ creo que anoche agoté todas mis cuentas de mail y no me o mandó a ninguna...
    Anda si puedes hacer que las que se registraron anoche, alguna de ellas la mande el pass a su mail estaría bien :P

    ResponderEliminar