Enunciado:
I heard you were good with computers, so I
was wondering if you could help me out.
I have come across a website that claims to
make children's dreams come true, and i've done a little research and found out
its just a scam. The idea is that you submit your letter to Santa. The top
three letters will then win everything on there list. But in fact the ranking
is fixed and there is no way to win.
Can you please somehow change their homepage
to the one supplied?
[Básicamente
lo que nos dice el enunciado es que la pagina es una estafa y lo que quieren es
que una vez ingrese cualquier otra persona a dicha pagina, lo primero que
muestre sea una advertencia para que no participen en la misma.]
En la página
se dan dos Links:
Se
describen los pasos para superar el reto a continuación:
En
la pagina se observan en la parte superior 3 menus (About Santa, Write to
Santa, Top Letters), se se ingresa a cada uno de ellos fácilmente se detecta
que dos de ellos son estáticos y solo muestran datos mas no tienen interacción
con el servidor; mientras que el segundo menú Write to Santa nos permite enviar un mensaje a santa y nos da entrada a los datos de almacenamiento en la pagina.
3 Sin copiar nada se presiona el botón send y la URL
varia: https://www.hackthis.co.uk/levels/extras/real/xmas/submit.php a
https://www.hackthis.co.uk/levels/extras/real/xmas/mod.php?submit,
se borra el Submit en la última URL y se nos direcciona a un login.
Estando ya en el login como no se
encuentran evidencias de usuario o contraseña en el código fuente o en la
pagina principal se intenta ingresar con SQLI
Injection (dar clic si no se tiene el concepto claro) en
Usuario y Password por lo que se escribe la sentencia 'Or 1=1 --';. El
ingreso es Exitoso y la pagina es un path donde se puede abrir un archivo y
modificar el contenido para guardarlo de nuevo.
5.
El planteamiento inicial del problema nos pide que
para el próximo ingreso se muestre un index o inicio que indique que el sitio
es una farsa, para esto se ingresa a el primer link dado en el enunciado: AlternativeHomepage, se inspecciona y copia el código fuente de la pagina propuesta.
6. Luego en la página donde ingresamos anteriormente y se encuentra
el path, se abre una de las cartas, un ejemplo la primera (letter1.txt):
El contenido puede ser modificado, pero se nos indica desde un
comienzo del reto que se debe modificar es el índex o inicio de la pagina, el
cual es esta programado en php ya que todas las extensiones de la pagina terminan en “.php”.
Realizamos la modificación abriendo Index.php en el campo “Open file” que nos muestra la programación
de la página de inicio, la borramos y pegamos el código HTML de la pagina
propuesta de advertencia, guardar y esta echo.
0 comentarios:
Publicar un comentario