Конкурс SQL-injection challenge

Всем привет!

В продолжение серии статей 1 2 3 4 5 6 я решил приготовить вам сюрприз в виде таска. По моей оценке сложность задачи 8 из 10 баллов. Предлагаю всем желающим пошевелить мозгами, и испытать свои навыки по внедрению произвольного кода в базы данных.

Условия конкурса

1. Взломать базу данных, и вытащить оттуда secret_key
2. Прислать своё решение мне в л.с. (подробное прохождение)
3. Дать свою оценку сложности таска по 10 балльной шкале

Конкурс продлится 10 дней, окончание конкурса 8 сентября в 23 ч по МСК.

Ответы от зарегистрированных на форуме после старта конкурса НЕ принимаются.

Администрация форума предоставила призы для конкурса:

1. Место - Alfa AWUS036H
2. Место - 500 рублей
3. Место - 500 рублей

Места победителей распределяются по очерёдности решения - кто первый выполнит задание, тот и первый, и т.д.
Запрещается писать до окончания конкурса в теме прохождение и подсказки. После окончания конкурса, будут опубликованы имена победителей и write up.

GO!!!

Ссылка скрыта от гостей

 

[Hiccstrid2019]

А если раньше три человека проведут успешную иньекцию? Конкурс завершится досрочно?

 

[ZaCo]

товарищ автор, надеюсь код выложишь? чего ты там накодил))

 

[j3tix]

SQL запросы как раз таки находятся в коде страницы, а то что их не видно, так и должно быть. Ознакомьтесь с матчастью PHP )

Хотелось бы видеть исходники уязвимого скрипта после завершения таска, для саморазвития)

 

[explorer]

А если раньше три человека проведут успешную иньекцию? Конкурс завершится досрочно?

Тогда да, но как я выше писал, сайт будет работать, и будет выложено подробное прохождение

товарищ автор, надеюсь код выложишь? чего ты там накодил))

Хотелось бы видеть исходники уязвимого скрипта после завершения таска, для саморазвития)

Да, код выложу с комментариями.

 

[GregFisher]

Не выкладывайте пока ничего )) попробую тоже

 

[explorer]

Не выкладывайте пока ничего )) попробую тоже

До окончания конкурса не выложу. Довольно подробно рассматриваю логи, хотя они весьма большие. На сегодняшний день, а он уже 4-й, всё печально - всего один человек нашёл количество столбцов и дальше застрял на ровном месте.

 

[explorer]

Видя, что пока дела с решением не очень, кинул клич присоединиться к решению задачи опытных пентестеров, и завсегдатаев CTF. Несколько способных человек на днях получили от меня личное приглашение.

Сервер затрещал как подводная лодка на максимальной глубине ))) За неполный день более 400 000 строк лог-файла. Полтора часа просматривал.
Пока ситуация мало изменилась - только софт стал более разнообразным и хоть немного больше запросов ручками появилось.

Очередной раз повторю - скрытых файлов, бэкапов и тому подобного нету. Не нужно тратить на это усилия. Начать раскручивать таск настолько просто, что когда узнаете просто ахнете.

Забудьте о прогах, решайте руками. Я уже комментировал это. Самое сложное это начать раскручивать, и одновременно это самое простое, потому что в самом начале нужны знания начального уровня. В одной из моих статей уже есть то, что нужно для первого шага. Честно говоря удивлён, что за четверо суток НИ ОДИН человек не смог сделать первый правильный шаг.

Очень жду того красавца, что разберётся с таском. Если на 7-е сутки никто не решит, то возможно будет подсказка, но не бесплатная - первый приз будет снят с конкурса. Впрочем решать подсказывать или нет, будут сами участники конкурса.

Времени ещё более чем достаточно, таск реально решить за 2-3 часа совсем не торопясь. Помните этот мультик?

Очень помогает с собой поговорить, как мистер Фикс. Типа, если это не работает, что ещё может сработать? А если этот запрос удался, а другие нет, то чем он отличается от других?

Начало раскрутки таска лежит прямо на поверхности. Жду победителей, парни вы можете, кто застрял начинайте сначала, ибо что-то совсем простое упущено из виду.

 

[GregFisher]

Сайт спецом умер?

 

[ZIZa]

Сайт спецом умер?

У меня сейчас всё нормально, пару минут назад лиса жаловалась на не достоверный сертификат, но он вроде всё равно принадлежал хостингу. К слову я когда плясал вокруг этой задачки с burp, один из плагинов выдал детект на несколько возможных cve, доступ к ним вроде получить можно только локально и угроза небольшая, да и может быть тот же ложный детект, но забавно.

 

[explorer]

Сайт спецом умер?

Прекрасно работает. Меньше прогами пользоваться нужно. Максимум для чего можно применить софт, так это для поиска точки входа в инъекцию, если самому вдруг не догадаться. Хотя я взял самый ходовой параметр, угадать который должны были с первой же попытки.

Очень большая нагрузка, слишком много запросов в секунду одновременно, поэтому сайт встречает такие запросы тайм-аутом.

 

[https]

choco install nugetpackageexplorer

 

[HebiNeco]

Да, я логи достаточно плотно просматриваю. Не нужно изобретать синхрофазатрон, всё гораздо проще. Всё дело в том, что все начинают раскрутку не с того места. Уже писал - начинать нужно с самого простого, прямо как совсем новичок, и тогда всё пройдёт как надо.
Вот малюсенькая подсказка для всех - СНАЧАЛА определите что фильтруется, и только потом исходя из этого, стройте запросы. Сделать нужно простейшие тесты, и потом двигаться дальше шаг за шагом.

Какие символы фильтруются уже понял. Но как это обойти не понимаю. Разными кодировками пробовал. Либо сам браузер восстанавливает символы, попадая в фильтр, либо сам интерпретатор не ведется на кодировки. Может не все символы нашел, которые фильтруюутся

 

[HebiNeco]

Какие символы фильтруются уже понял. Но как это обойти не понимаю. Разными кодировками пробовал. Либо сам браузер восстанавливает символы, попадая в фильтр, либо сам интерпретатор не ведется на кодировки. Может не все символы нашел, которые фильтруюутся

Вроде нашел точку входа. Невнимательно перебирал

 

[explorer]

Вести с полей )
На сегодняшний день (а пошли уже 7-е сутки), нашлось 2 человека, которые смогли найти правильные запросы для начала раскрутки инъекции. Один вчера, другой сегодня отправляли правильные запросы. Один из них пока не справился с фильтрацией, другой всё обошёл, но не понял что дальше нужно сделать.

ВНИМАНИЕ!!!
Я ранее писал про подсказку - могу написать реальную конкретную подсказку, по которой решение придёт быстро. Подсказка платная - первый приз будет снят с конкурса, то есть первое место не займёт никто в таком случае. Зато появится реальный шанс решить за 2-3 часа.

Писать подсказку или не писать решать вам - участникам конкурса. Для этого оставьте свой комментарий ниже, нужна/не нужна подсказка.

Если желающих получить подсказку будет больше, тогда она появится завтра в 12 ч дня по МСК. Пока есть почти сутки чтобы решить без подсказки.
Бесплатный хинт для внимательных - подсказка уже есть в моей статье. Там более простой пример, но содержит то что нужно для удачного старта. Читаем, вникаем, думаем что вы упустили.

 

[Urfin--Juice]

Пока не надо подсказок....

 

[explorer]

Уже 4 человека правильно начали решать. Это радует. Так что скорее всего подсказку дам только в последние сутки(и только если никто не решит конечно раньше), а не завтра, чтобы не обламывать тех у кого получается.
Некоторые участники мне в тг также отписали, чтобы подсказку пока не давал. Я буду очень рад любому решившему.

 

[bullzip]

аспид, верни мне работу, жену...)))

 

[Vladislav VB]

Не в призе дело. Но предлагаю после нахождения победителей только давать подсказки. При этом скрыть их от тех кто просто читает форум.

 

[explorer]

Сегодня реальный аншлаг, 500 000+ запросов. Чуть глаза не вывалились логи рассматривать, 1,5 часа внимательно изучал. Уже около 10 человек хотя бы пытались строить запросы похожие на правду. Один попал в яблочко на 100%, решил 1/3 таска, но дальше не туда двинулся. Ещё один юзер просто измождённый (даже прямо жалко его титанических усилий), достиг большего - вытащил несколько колонок и 1 значение из них, правда метод его я назвал адский ад ))) Ну очень сложный путь нашёл, долгая история будет.

Уже хоть тепло стало, и ручных запросов просто в разы стало больше. Всё равно ещё долбят прогами, проку от этого не будет 100 пудов.

Такие новости.

 

[explorer]

Ура!!!
Утро задалось! Один человек решил задачу! Респект, радость моя не знает границ )))
Решивший сказал что НЕ участвует в конкурсе, он это сделал для себя. Три ночи решал. Имя не разглашаю. Трудитесь, и всё получится!