[Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014
- Bắt đầu BkavCR
- Ngày bắt đầu
Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014
Mình dùng một số tool scan không ra, và bạn bảo không phải đánh đố? Bạn là người ra đề thì bạn biết cần tìm folder admin, chứ mình có ra đề đâu mà chăm chăm đi tìm admin? Xài tool với cái dict hơn 10MB mà không ra thì thôi chứ chẳng lẽ lại cứ lo đi tìm tool khác (trong khi chẳng biết đó có phải mục đích của bài thi hay không).
Giả sử nếu mình dùng cái dict mà bạn không biết, và cái Web Admin Finder v2.0 của bạn search không ra thì bạn sẽ cảm thấy thế nào. Bài 400 điểm thì 399 điểm nằm ở phần tìm link, bạn thấy có đáng không? Hay lại như ASIS CTF bắt người ta mò domain asis.io?
Mà thôi, mình nghĩ đúng là các bạn thấy mọi thứ bình thường thật. Đến re300 các bạn còn không cho username thì mình cũng hết cách giải thích, username đó dễ tìm quá mà
/! triệu hồi ebfe!
Nói như bạn nếu đã biết về bảo mật thì cũng chả ai đặt tên mà nằm trong dict cả.hawking;15968 đã viết:Mình dùng tool Web Admin Finder v2.0, mình thấy tool này cũng khá là nhiều người dùng. Hơn nữa thì adminwww cũng không phải là quá đánh đố. Ở đây mình mong muốn đề nó mang tính thực tế 1 chút, trong thực tế thì những người biết về bảo mật một chút chả ai đặt trang admin panel là admin hay administrator,... cả.
Bạn cũng có thể dùng cái List trong "http://www.hackforums.net/printthread.php?tid=195128" để tìm ra link adminwww.
Btw, @REBD : nice writeup!
Mình dùng một số tool scan không ra, và bạn bảo không phải đánh đố? Bạn là người ra đề thì bạn biết cần tìm folder admin, chứ mình có ra đề đâu mà chăm chăm đi tìm admin? Xài tool với cái dict hơn 10MB mà không ra thì thôi chứ chẳng lẽ lại cứ lo đi tìm tool khác (trong khi chẳng biết đó có phải mục đích của bài thi hay không).
Giả sử nếu mình dùng cái dict mà bạn không biết, và cái Web Admin Finder v2.0 của bạn search không ra thì bạn sẽ cảm thấy thế nào. Bài 400 điểm thì 399 điểm nằm ở phần tìm link, bạn thấy có đáng không? Hay lại như ASIS CTF bắt người ta mò domain asis.io?
Mà thôi, mình nghĩ đúng là các bạn thấy mọi thứ bình thường thật. Đến re300 các bạn còn không cho username thì mình cũng hết cách giải thích, username đó dễ tìm quá mà
/! triệu hồi ebfe!
Comment
Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014
Uhm, công nhận là đề bài Web của mình có thiếu sót ở chỗ này. Chắc là mình thiếu 1 cái hint kiểu find admin panel tới người chơi. Nhưng mà cái 399/400 của bạn thì có hơi quá không
Đồ Nhỏ;15864 đã viết:Đồng quan điểm với bạn, mình dùng dirbuster cũng tìm ra được file images/love (Mime trả về là script), không biết dụng ý của tác giả là gì?, thêm nữa có cái aa trong phần note chắc cũng dùng để troll :3
Còn về phần tìm thư muc kia (mình cũng ko tìm ra) nhưng mình đoán dùng tool "Web Admin Finder v2.0"
À, bài khác là của người khác ra mà, mình không liên quan nha.yeuchimse;15976 đã viết:Nói như bạn nếu đã biết về bảo mật thì cũng chả ai đặt tên mà nằm trong dict cả.
Mình dùng một số tool scan không ra, và bạn bảo không phải đánh đố? Bạn là người ra đề thì bạn biết cần tìm folder admin, chứ mình có ra đề đâu mà chăm chăm đi tìm admin? Xài tool với cái dict hơn 10MB mà không ra thì thôi chứ chẳng lẽ lại cứ lo đi tìm tool khác (trong khi chẳng biết đó có phải mục đích của bài thi hay không).
Giả sử nếu mình dùng cái dict mà bạn không biết, và cái Web Admin Finder v2.0 của bạn search không ra thì bạn sẽ cảm thấy thế nào. Bài 400 điểm thì 399 điểm nằm ở phần tìm link, bạn thấy có đáng không? Hay lại như ASIS CTF bắt người ta mò domain asis.io?
Mà thôi, mình nghĩ đúng là các bạn thấy mọi thứ bình thường thật. Đến re300 các bạn còn không cho username thì mình cũng hết cách giải thích, username đó dễ tìm quá mà
/! triệu hồi ebfe!
Uhm, công nhận là đề bài Web của mình có thiếu sót ở chỗ này. Chắc là mình thiếu 1 cái hint kiểu find admin panel tới người chơi. Nhưng mà cái 399/400 của bạn thì có hơi quá không
Comment
Re: [Writeup] Chủ đề WebVuln - Vòng loại WhiteHat Grand Prix 2014
Các lần ctf wh.vn tuần, lần nào chú cũng chơi mà chưa thông /ass/ được style ctf này thì kém.
Chú cứ thích so sánh, thì chú có chơi CSAW 2014 ko? đến 1cái ctf cả thập kỷ rồi lúc đề (chal) ra còn sửa lên sửa xuống, bài web400 đánh đố đeo team nào giải. Hay ASIS CTF như chú nói. Cần thêm ví dụ nữa ko?
Đấy để chú biết sống trên đời là phải biết chấp nhận , trong cuộc chơi cũng thế!
yeuchimse;15976 đã viết:Nói như bạn nếu đã biết về bảo mật thì cũng chả ai đặt tên mà nằm trong dict cả.
Mình dùng một số tool scan không ra, và bạn bảo không phải đánh đố? Bạn là người ra đề thì bạn biết cần tìm folder admin, chứ mình có ra đề đâu mà chăm chăm đi tìm admin? Xài tool với cái dict hơn 10MB mà không ra thì thôi chứ chẳng lẽ lại cứ lo đi tìm tool khác (trong khi chẳng biết đó có phải mục đích của bài thi hay không).
Giả sử nếu mình dùng cái dict mà bạn không biết, và cái Web Admin Finder v2.0 của bạn search không ra thì bạn sẽ cảm thấy thế nào. Bài 400 điểm thì 399 điểm nằm ở phần tìm link, bạn thấy có đáng không? Hay lại như ASIS CTF bắt người ta mò domain asis.io?
Mà thôi, mình nghĩ đúng là các bạn thấy mọi thứ bình thường thật. Đến re300 các bạn còn không cho username thì mình cũng hết cách giải thích, username đó dễ tìm quá mà
/! triệu hồi ebfe!
Các lần ctf wh.vn tuần, lần nào chú cũng chơi mà chưa thông /ass/ được style ctf này thì kém.
Chú cứ thích so sánh, thì chú có chơi CSAW 2014 ko? đến 1cái ctf cả thập kỷ rồi lúc đề (chal) ra còn sửa lên sửa xuống, bài web400 đánh đố đeo team nào giải. Hay ASIS CTF như chú nói. Cần thêm ví dụ nữa ko?
Đấy để chú biết sống trên đời là phải biết chấp nhận , trong cuộc chơi cũng thế!
Comment