Nieuws

5 min leestijd

Hackme resultaten!

Onze wedstrijd is afgelopen, met dank aan allen voor hun deelname. Jullie waren allemaal geweldig en met veel :-)

Gabriel en Bruno zijn uit de loterij geplukt en zijn gecontacteerd. Zij zullen binnenkort hun SSD Disk ontvangen!

Hoe u de website had kunnen hacken:

De broncode van de pagina's bevat het boek Moby Dick. Aan het einde van de pagina's staat de regel: 'Dat was leuk ..... Als we maar wat opmaak aan het boek konden toevoegen'.

De regel hierboven wijst op de bijgeleverde CSS stylesheet stylesheet stylesheet styles.css. Als je de geminificeerde CSS opnieuw formatteert, kun je een link vinden naar de github repository: 'https://github.com/phpro/security-workshop'.

In de github repository kun je zien dat de afbeelding uit de database wordt geladen, maar er zijn geen database referenties beschikbaar. De volgende stap is dus om uit te vinden waar de database gegevens worden opgeslagen.

In de vastleggeschiedenis kun je een vastlegging vinden met de titel 'Verwijderde DB-verbinding uit indexbestand'. De wijzigingenset bevat de database referenties van de server, maar je kunt geen verbinding maken op poort 9999.

Omdat je geen verbinding kunt maken op poort 9999, zul je moeten uitzoeken welke poort geopend is. Dit kan bijvoorbeeld met het commando 'nmap hackme.phpro.be'. Dit zal poort 9998 terugsturen.

Op dit punt kun je verbinding maken met de database. U kunt de tabel met afbeeldingen niet lezen, maar er is wel een view imagesColumns beschikbaar.

Op basis van de imagesColumns view kunt u een INSERT statement aanmaken en dus de afbeelding op de hackme website wijzigen.

Gefeliciteerd!