¿ Quieres hackear sin meterte en problemas ?
El desafío de Last Dragon Test Your Might Nov 2015 ya está disponible, concluyendo la próxima semana después de publicado.
El usuario es testyourmight y la clave es testyourmight El servidor es testyourmight.lastdragon.net
Visita el sitio del desafío http://testyourmight.lastdragon.net
Escribe tu nombre en el sitio WEB para lograrlo deberás escalar a root y después de eso aun tendrás que esforzarte un poco más. Todos están invitados siempre. Las reglas siguen siendo las mismas, no se toma como valido los ataques DoS pues son considerados de lamos, si logras escribir tu nombre en el sitio web significa que has logrado llegar a la meta y si has logrado llegar a la meta te has hecho con el control total del servidor, si logras esto no destruyas el servidor, permite que otros intenten llegar a la meta después de ti.
Off Topic. Lo que pasa es que me banearon mi IP y mi proveedor de correo me dejo solo, aunado a muchas otras fallas… ¡Necesito un proveedor de correo confiable en México! (lo digo por las otras fallas y la atencion, se que el baneo pudo ser mi culpa)
¿Alguna vez respondieron esta pregunta de “Ivan” June 6, 2013 at 9:48 am
Entonces, a todo esto, que proveedor de host ing me recomiendan para alojar mi página web y que tenga servidores propios.
Es reto o torneo? osea tiene respuesta o tengo que quemar 0-days?
Tienes que escribir tu nombre en el sitio web. ¿ como lo hagas ? solo tu lo sabes
Mario, no tengo idea de que hablas … Saludos
Muy fácil este reto! Acá una ayuda para los newbies…
http://farlight.org/index.html?file=platforms/linux/remote/32277.txt&name=nginx—1.4.0—64-bit——-Remote—Exploit—for—Linux—(Generic)&credit=sorbo&id=61778&isAdvisory=0
No es tan facil, como lo que dice el URL que por cierto es un rewrite, pueden jugar con el cambiando cosas como
http://farlight.org/index.html?file=platforms/linux/remote/32277.txt&name=nginx—1.4.0—64-bit——-Remote—Hola—sor—German—(LastDragon)&credit=sorbo&id=61778&isAdvisory=0
Sin ver y conociéndote desde ya tiempo…
Seguro es un servidor CentOS/RHEL probablemente ultima versión con particiones montadas sin suid (donde tengamos escritura) y selinux parcial o totalmente configurado, inclusive sin los servicios por defecto que trae (osea versión reducida) y las ultimas actualizaciones de este.
Donde atacar?
No se si aun este /dev/shm o alguno similar con suid y que tengamos escritura pero aun así nos falta aprovecharnos de algún bug o exploit en el sistema (la ultima vez fue un bug en una herramienta que ahora no recuerdo el nombre) o bien intentando atacar estilo xiam (aunque dudo mucho que vuelvas a cometer el mismo error 2 veces).
Así que sera interesante ver la resolución que quede si es que existe, probablemente no tiene solución como siempre.
Saludos