Beiträge von Spirit

    Hallo an alle die dies lesen,


    um den Bildungsauftrag zu erfüllen hier einmal die Logik dafür:


    Wenn man beim Login den Hacken bei "Dauerhaft angemeldet bleiben" setzt, wird ein Cookie gesetzt an dem euch das Forum identifizieren kann.

    Wenn jemand nun den Cookie stiehlt (Session Hijacking). Kann er mit eurem Account im Grunde mehr oder weniger alles machen. Durch die Abfrage nach eurem bestehenden Passwort, wird allerdings verhindert, dass man einfach das Passwort ändert und Ihr keinen Zugriff mehr zu eurem Account habt.


    Aus diesem Grund, trifft die Erklärung von Eike , dass dies ein Feature ist relativ genau zu.


    Gruß Spirit


    Edit: Ich gehe davon aus, dass die Passwort Änderungsfunktion hier gemeint ist: https://forum.goldenhope.de/index.php?account-management/

    Hallo,


    da ich komplett vergessen hatte, dass ich euch noch eine Auflösung schuldig bin. Hier (etwas verspätet die Auflösung):


    Aus meinem früheren Post (der GIT Screenshot) konnte man lesen, dass ich etwas an der GoldenHope Website geändert habe. Es steht ebenfalls da, was ich geändert habe (Page Paramter funserver_server).


    one.png

    Im Quelltext der Seite findet man dann dies.


    Wenn man den Komplex aussehenden String in einen Hash Analyzer wirft, kommt dies dabei raus:


    two.png

    Man beachte den Character type: base64


    Base64 kann man ganz simple mit einer JavaScript Funktion zurück verwandeln. Also die DEV-Tools von Chrome/Firefox aufgemacht und den String konvertiert:

    three.png

    Hier sieht man nun, dass ein Binär Code rausfällt.


    Nun noch den erst besten BinaryToASCII oder BinaryToText Converter nehmen und es konvertieren:

    four.png

    Und schon hat man das Endergebnis.


    Es gab leider nur 2 Leute die das Rätsel gelöst haben:

    Finn

    Jin


    und da ich von Finn die Idee mit dem Binary habe und er damit einen Vorteil (wenn auch einen kleinen) hatte.


    Gewinnt Jin


    -------------------------------------


    Um den Preis darf sich wie immer Florian kümmern.


    Mit freundlichen Grüßen

    Spirit

    Hi,


    da ich vergessen habe, dass ich die Forenname Spalte "UNIQUE" also einzigartig gemacht habe. Und somit alle die Bereits in der Tabelle standen nicht den neuen Key reinschicken konnten, bitte ich alle die es bisher schon versucht hatten es noch mal zu versuchen.


    Ich entschuldige mich für den Fehler.


    Mit freundlichen Grüßen

    Spirit

    Hallo,


    es gibt wieder ein neues Rätsel.


    Hier ein paar Informationen:


    Der Token ist im Frontend also auf der Hompage/Website versteckt.

    Er hat nicht das normale Format, welches ihr gewöhnt sein. Allerdings muss er wieder in das ursprüngliche Format zurück gewandelt werden.


    Jetzt nochmal der Aufruf, wenn jemand große Probleme damit hat, den Token zu finden, fragt doch einfach im Forum nach Tipps oder besser noch meldet euch bei mir, dann werde ich noch mehr Hinweise geben.


    Ich wünsche viel Spaß beim suchen.


    Mit freundlichen Grüßen

    Spirit

    Hallo,


    da ich momentan leider keine Zeit mehr finde um neue Rätsel zu bauen.

    Lade ich euch dazu ein, wenn ihr eigene Idee für Rätsel habt, meldet euch doch einfach bei mir.

    Entweder über eine Foren-Konversation oder über den TS.

    Ich helfe euch auch gerne bei der Umsetzung.


    Mit freundlichen Grüßen

    Spirit

    Hallo,


    diesmal hab ich einen Hinweis für den Ort mit angeben, der Tipp hat eigentlich den Ort schon verraten.



    Die Lösung:


    Der Token lag in der Datei "robots.txt" Hier ein kleiner Abriss: https://wiki.selfhtml.org/wiki/Grundlagen/Robots.txt

    Diese ist über diesen Link erreichbar: https://goldenhope.de/robots.txt


    Wenn man allerdings meinen Hinweis bei Google eingibt ist das Rätsel so gut wie gelöst:

    Screenshot_1.png


    Der Rest war nur noch Copy und Paste.


    Gewinner:


    Finn


    ~> Florian darf sich wie immer um die Belohnung kümmern :D



    Mit freundlichen Grüßen

    Spirit

    Hallo,


    ich hoffe dieses Rätsel ist nicht allzu schwer, da der Ort wo der Token diesmal versteckt ist nicht ganz so offensichtlich ist wie beim ersten Rätsel, habe ich mich dazu entschlossen euch einen Hinweis mit anzugeben. Der Hinweis für den Ort des Tokens ist:


    Zitat

    Fast jede Website hat mich, kein User besucht mich, doch die Robots brauchen mich.

    Ich hoffe der Hinweis hilft euch.


    viel Spaß beim suchen.


    Mit freundlichen Grüßen

    Spirit

    Hallo,


    da ich jetzt von ein paar Leuten gehört habe, dass sie den Token nicht gefunden haben und auch keine Idee mehr, löse ich das ganze hier mal auf.




    Die Lösung:


    Der Token war im "Response Header" der Webservers versteckt. Wie kann ich diesen einsehen?

    (Beispiel mit Chrome, funktioniert aber auch mit Firefox auf die selbe Weise)


    Screenshot_1.png

    Rechtsklick auf die Seite und Inspect oder Untersuchen auswählen.

    Alternativ funktioniert auch "F12" oder wie im Bild zu sehen "Strg+Shift+I"


    Nun öffnen sich die DevTools





    Screenshot_2.png


    In den DevTools auf den Reiter Network bzw. Netzwerk klicken.


    Falls man eine Leere Seite vorfindet mit "F5" noch einmal die Seite neu laden.






    Screenshot_3.png

    Nun ein Dokument auswählen. Am besten das Root Document (in diesem Fall goldenhope.de).

    Dieses nun mit einem Links Klick anklicken.

    Nun öffnet sich eine Sidebar, in der noch mehr Informationen stehen.






    Screenshot_4.png


    Dort den Reiter "Header" wählen und unter "Response Header" sind alle Header zu sehen, welche der Webserver mit schickt.

    Dort findet man auch unseren versteckten Token.





    Gewinner:

    Fluffy Unicorn





    Ich hoffe ich konnte euch was neues mit dieser Erklärung beibringen. Natürlich gibt es auch noch andere Möglichkeiten an die Header zu kommen, aber diese hier ist die einfachste.


    Zum Schluss würde ich nun gerne von euch wissen, ob wir uns in Zukunft in einem einfacheren Rahmen bewegen sollen bzw. wie schwer wir die Rätsel bauen sollen. Ich freue mich über jedes Feedback.


    Mit freundlichen Grüßen

    Spirit

    Hi,


    ich wollte mal Nachfragen wer noch nach dem Token sucht.

    Wenn keiner mehr sucht, werden ich es heute Abend auflösen.


    Bitte um Rückmeldung.


    Mit freundlichen Grüßen

    Spirit

    Hi,


    wenn Tipps oder Hilfe von einem Großteil der Leute gefordert werden, werden auch Tipps gegeben.

    Wir überlegen auch wie man Tipps in Form von Wortspielen mit einbauen kann.


    Was ich aber persönlich überhaupt nicht leiden kann. Deswegen wurden auch 2 Posts gelöscht, dass man das man die Lösung oder eine Anleitung veröffnetlicht. Denn sonst brauchen wir das Ganze hier nicht zu machen.


    Wir wollen alle mit anspornen sich auch mit der Thematik Internet aueinsander zusetzen. Da bringt es nichts wenn eine Person es löst (evtl. auch mehrere als Team) und dann die Lösung veröffentlicht.


    Wenn ich sowas sowas nochmal sehe, schließe ich solche Leute aus den Rätseln aus. Da solche Aktionen den Sinn dieser Rätsel untergräbt.

    Wenn jemand anderer Meinung ist, kann man gerne sachlich und auf einer respektvollen Ebene mit mir darüber Reden bzw. Diskutieren.

    Schließlich sind wir eine Community.


    Ich hoffe alle Beteiligten können meinen Standpunkt erkennnen.


    Mit freundlichen Grüßen

    Spirit

    Hallo,


    also der erste, der den richtigen Token eingeschickt hat, war Max Schulz.


    Um die VIP-Sachen kümmert sich Florian .


    Es freut mich, dass die Idee so gut ankommt.


    Die Lösung:


    Das Passwort war im Value der Inputbox hinterlegt, allerdings war ein ' vor dem Passwort sodass nicht nur auf den Button geklickt werden konnte. Man konnte es im Source-Code nachlesen.


    Das nächste Rätsel geht entweder am Donnerstag oder am Freitag online.


    Mit freundlichen Grüßen

    Spirit


    P.S. Database Dump


    Der obere Eintrag war mein Test

    IMG_20180723_193505.jpg

    Hallo Community,


    Florian und ich haben uns überlegt, ein paar "Challenges" oder "Rätsel" für euch zu erstellen. Da wir uns hier im Internet befinden habe wir uns überlegt, dass ganze über die Komplette GoldenHope-Infrastruktur zu ziehen.


    Da wir nicht wissen wie sowas ankommt. Haben wir erstmal eines erstellt und auch offensichtlich mit einer eigenen Subdomain versehen: http://challenge.goldenhope.de/

    Wenn es bei euch gut ankommt, würden wir solche "Rätsel" auch auf das Forum, den TS3 oder den Arma-Server ausweiten.


    Natürlich gibt es auch etwas zu gewinnen. Wer das erste "Rätsel" am schnellst löst, bekommt einen Monat VIP.



    Wie funktioniert es?


    1. Das erste Rätsel ist wie oben schon erwähnt unter http://challenge.goldenhope.de/ zu finden.
    2. Dort findet man ein Passwort Feld, irgendwo (Auf der Seite) ist das Passwort hinterlegt und ihr müsst es finden.
    3. Wenn ihr das Passwort habt. Gebt ihr es in das Feld ein und bekommt einen Token der so ähnlich aussieht wie dieser hier: AAAA-BBBB-CCCC-DDDD
    4. Diesen Token müsst ihr dann auf http://validate.goldenhope.de/ in das vorgefertigten Feld einfügen und die restlichen Felder auch noch ausführen und dann absenden.
    5. Der erste der den Token abschickt hat gewonnen.


    Über Feedback freuen wir uns.


    Mit freundlichen Grüßen

    Spirit

    Hallo zusammen,


    wir nutzen nicht Random.org sondern ein eigenes Script.

    Da wir in dieser Sache sehr transparent seien wollen und euch zeigen wollen, dass alles mit rechten Dingen zugeht hier einmal der Source Code:


    Code
    1. #!/usr/bin/env python3
    2. import random
    3. def createResult(howmany):
    4. many = howmany
    5. output = random.randint(2,many)
    6. print(output)
    7. iput = int(input('Number of the last Post: '))
    8. createResult(iput)


    Mit freundlichen Grüßen

    Spirit