Desafios de recrutamento ao Mossad 2020

Na foto acima você pode ver o cronômetro para o início do desafio não oficial, a princípio pensei que estava vindo para resolver apenas algo que sei que não era oficial, então provavelmente não haverá nada aqui, mas imediatamente tornou-se algo completamente diferente e nem mesmo relacionado à resolução do desafio (Que Roman anexou abaixo)

Se você olhar abaixo do cronômetro, verá ״Contador de entradas no site״ que conta quantas entradas havia (Supostamente, provavelmente foi retirado de outro site apenas para comercializar o exercício não oficial) E no início pensei que estava relacionado, então é claro que verifiquei e peguei o endereço do cronômetro :

https://hitwebcounter.com/counter/counter.php?page=7188916&style=0038&nbdigits=9&type=page&initCount=0

O endereço leva a hitwebcounter.com, um site que conheço há anos. Provavelmente o usei alguns anos atrás para algum pequeno projeto, mas o que me interessou é que existem muitos parâmetros e quando existem muitos parâmetros, a chance de um dos parâmetros ser vulnerável é alta. Comecei a fazer um teste muito básico e é colocar ׳ Nos parâmetros, nada aconteceu em todos, exceto o parâmetro ״style״ Para economizar tempo, enviei a seguinte mensagem paraSQLMAP

E depois de uma breve varredura, obtive os bancos de dados:

E claro Tables

Como eu disse no início, este é um site que milhares, senão milhões de sites utilizam/Atualmente é usado em muitos sites como um contador de visitantes incorporado. Quando algo com falhas de segurança incorporado em muitos sites não é uma boa coisa, é claro, se você usar esse serviço ou semelhante, tome cuidado para que quem acessar o site principal possa obter acesso ao seu site, especialmente nesse serviço..

É claro que relatei as descobertas ao proprietário do site,

Maor Dayan


Resolvendo o desafio do Mossad – Roman Zaikin

E para o desafio aos interessados, o desafio começa com o seguinte link:

Usaremos o mesmo método do desafio do Mossad de 2018 e extrairemos o texto da imagem usando OCR, você pode ler sobre isso aqui https://www.itscyber.com.br/blog/mossad2018-1

Até usaremos o mesmo site https://www.onlineocr.net/, E obteremos o seguinte código:

Se classificarmos o arquivo e excluirmos palavras repetitivas, como 34534, obteremos:

Observe que o OCR não é perfeito e sempre há erros na decodificação, por exemplo aqui se compararmos a imagem o início é AO e não A0 e também no final da chave é escrito kod21 em vez de kpd21 e o número 1 no final e parte de 801 é uma letra. l.

Claro que se você olhar para a imagem é muito fácil organizá-la e foi exatamente o que fizemos, agora vamos instalar o aws cli tool daqui https://aws.amazon.com/cli/
E vamos executar o comando:
aws configure
que será assim:

Vamos agora executar o comando:
aws s3 ls

E vamos baixar o conteúdo do bucket 2020 para a área de trabalho com o comando:

E vamos pegar os arquivos:

Outros artigos que você pode ter interesse: