ハッキング

カメオです。とあるサイトのログインパスワードを忘れてしまいました。
幸いにもログイン履歴が残っていたので、現在はログインできている状態です。
しかし、このサイトは一定期間が経過すると自動的にログアウトしてしまうのです。
今なら、まだ何とかする方法が残っているのではないかと思います。
助けてください。
[seaza]

【亀夫問題】20年05月09日 22:21
亀夫君問題
No.1[おもち]05月09日 22:3105月09日 22:34

そのサイトでマイページとかに行ってパスワード変更とかはできませんか?

ちょっと試してみます。 [良い質問]

No.2[おもち]05月09日 22:3205月09日 22:34

なんのサイトですか?

プログラミングの勉強をするサイトです。

カメオはマイページを開きパスワードを変更しようとした。


メッセージ「現在のパスワードを入力してください。」
No.3[おもち]05月09日 22:3405月09日 22:36

パスワード変更はできましたか?

パスワードを変更するには現在のパスワードを入力する必要があるみたいです・・・

No.4[おもち]05月09日 22:3505月09日 22:36

どこかにパスワードのメモは残していませんか?

メモは残してないですね・・・

No.5[おもち]05月09日 22:3705月09日 22:39

「パスワードを忘れた場合はこちら」という文言はありませんか?

見当たらないですね。とてもシンプルな画面です。まとめもに画面の内容を載せておきます。 [良い質問]

No.6[あずまあい]05月09日 22:3705月09日 22:39

前にログインしたときは、覚えていたパスワードを自分で入力したんですか? [編集済]

はい、そうです。

No.7[おもち]05月09日 22:3905月09日 22:42

あなたのパスワードですか?そもそも別の人のログイン履歴をみようとしてるんじゃないですか?

確認しました。間違いなくカメオとしてログインしています。

No.8[おだんご]05月09日 22:4105月09日 22:45

ためしに0000とでもいれてみましょう、何回か間違えるとパスワードのヒントが出てくるかもしれません。

メッセージ「パスワードが間違っています!」 [編集済]

No.9[おもち]05月09日 22:4205月09日 22:45

プロフィールを変更するを押すとどんな画面になりますか?

カメオは「プロフィールを変更する」を押した。

メッセージ「プロフィールの内容を入力してください」
[編集済]
[良い質問]

No.10[あずまあい]05月09日 22:4405月09日 22:45

メールアドレスとアカウントは紐づけられていませんか?

紐づけられてはいないですね。

No.11[おもち]05月09日 22:4405月09日 22:45

パスワードを設定したときに忘れた時のための「秘密の質問」とか設定しましたか?

いいえ、設定していません。

No.12[おもち]05月09日 22:4605月09日 22:48

現在のプロフィールの「カメオです」は何かピンときませんか?

うーん、特にピンと来るものはありません。

No.13[ギー太]05月09日 22:5005月09日 22:52

ログイン履歴画面のパスワードをドラッグしてコピーできませんか?

「****************」がコピーされるだけでした。

No.14[ギー太]05月09日 22:5005月09日 22:54

9より 「カメオだにゃん。」にプロフィールを変更してみてください。できますか?

Execute 'profiel is カメオだにゃん。'
...Complete!
[編集済]
[良い質問]

No.15[あずまあい]05月09日 22:5005月09日 22:56

そのサイトは誰でもユーザー登録できますか?

はい、誰でも登録できます。

No.16[おもち]05月09日 22:5105月09日 22:56

誰かにパスワードを教えていたりしませんか?

パスワードは誰にも教えていません。

No.17[おだんご]05月09日 22:5205月09日 22:56

一定期間、というとどれくらいですか?

だいたい一週間くらいですね。

No.18[あずまあい]05月09日 22:5205月09日 22:58

そのアカウントには、名前とプロフィール以外にどんな情報が記録されていますか?

これまで学習してきた記録が紐づけられています。

No.19[おだんご]05月09日 22:5405月09日 22:58

ブラウザによってはパスワードを保管して閲覧出来るものもあるそうですが、どうでしょうか?

私が使っているブラウザでは、見られないようです。

No.20[おもち]05月09日 22:5405月09日 22:58

パスワードは他のサイトと同じだったり使いまわしてますか?

このサイト専用のパスワードを使っていたと思います。

No.21[おもち]05月09日 22:5505月09日 22:58

そのサイトに新しく登録しなおすのはだめなんですか

今までやってきた内容がすべて消えてしまうのはもったいないので、なんとかしたいんですよね・・・

No.22[おもち]05月09日 22:5805月09日 22:59

そのサイトで何をしようとしてますか

No.2のとおり、プログラムの勉強をしています。

カメオ「なにかやれるとしたら、マイページからだと思うんですよね。マイページでできることは『パスワードの変更』と『プロフィールの変更』です。このどちらかをうまくつかえないでしょうか?」[編集済]
No.23[おもち]05月09日 23:0205月09日 23:04

そのサイトのサポートセンターとかに連絡してパスワード変更について相談してみてください

連絡してみましたが、パスワードを忘れてしまったのであれば、どうしようもない、と言われてしまいました。本人であることが確認できないのでパスワードを教えることもできないそうです。

No.24[おだんご]05月09日 23:0205月09日 23:06

14 この文字列は...?なにか心当たりはありますか?

心当たりはありませんが、プロフィールを変更してるみたいですよね。 [良い質問]

No.25[おもち]05月09日 23:0305月09日 23:07

プロフィールを「パスワード忘れちゃったてへ」にしてみてください

Execute 'profile is パスワード忘れちゃったてへ'
...Complete!
[編集済]
[良い質問]

No.26[おもち]05月09日 23:0505月09日 23:10

プロフィールの変更とはプロフィール文を書く以外に何かできますか? [編集済]

できるのはプロフィール文を書くことだけです。ただ、どんな文字でも自由に入力できるみたいですよ。 [編集済] [良い質問]

No.27[ギー太]05月09日 23:1005月09日 23:11

パスワードの※は17文字のようですが、そんな長いパスワードを設定した記憶はありますか?

はい、それくらい長いパスワードだったと思います。

No.28[おもち]05月09日 23:1305月09日 23:15

パスワード変更の画面には「現在のパスワードを入力してください」以外に何か書いてありますか

「パスワードを変更する」をクリックすると、「現在のパスワードを入力してください」のメッセージが表示されます。それ以外に特に変わったものは見当たりません。

No.29[おだんご]05月09日 23:1405月09日 23:20

プロフィールを'password'に変更してみてください

Execute 'profile is 'password''
...Syntax Error! 'is' does not have predicate.
[編集済]
[良い質問]

No.30[おもち]05月09日 23:1405月09日 23:22

いつもどうやってパスワードを考えていましたか

適当な文字列に大文字、小文字、記号を混ぜて作っていました。

No.31[ギー太]05月09日 23:1405月09日 23:22

忘れた時のために、そのプロフィール画面を見れば思い出せるような内容のパスワードに設定した記憶はありますか? [編集済]

いいえ、いつも適当な文字列をパスワードにしています。

No.32[アルカディオ]05月09日 23:1605月09日 23:22

パスワードに使える文字種は覚えていますか?

アルファベットの大文字、小文字、記号、数字などです。

No.33[あずまあい]05月09日 23:1805月09日 23:24

そのサイトが何の言語で書かれているかわかりますか?

プログラミング言語の話でしょうか?私にはよくわからないです・・・

No.34[休み鶴]05月09日 23:2005月09日 23:25

コマンドプロンプトより、「Execute 'password is パスワード変更'」が実行できませんか?

プロフィールを変更するコマンドはブラウザ上で動いているみたいです。

No.35[おだんご]05月09日 23:2405月09日 23:27

プロフィールを"password"と変更してみてください

Execute 'profile is "password"'
...Complete!
[編集済]
[良い質問]

No.36[ギー太]05月09日 23:2605月09日 23:29

プロフィールを「パスワードを変更する」に変更してみてください

Execute 'profile is パスワードを変更する'
...Complete!
[編集済]

No.37[おだんご]05月09日 23:2605月09日 23:32

スルーしてください、すみません [編集済]

承知しました。「'」を入力する場合、編集すると別の文字に置き換えられてしまうようです。再度「'」と入力すれば正しく表示されます。

No.38[休み鶴]05月09日 23:2905月09日 23:30

プロフィールを「#」に変更してみてください。

Execute 'profile is #'
...Complete!
[編集済]

No.39[休み鶴]05月09日 23:3105月09日 23:35

プロフィールを「あ'」に変更してみてください。

Execute 'profile is あ'’
...Syntax Error! Unexpected "'"
[編集済]
[良い質問]

No.40[休み鶴]05月09日 23:3405月09日 23:37

プロフィールを「'あ」に変更してみてください。

Execute ’profile is ’あ’
...Syntax Error! ’is’ does not have predicate.
[編集済]

No.41[mato]05月09日 23:3705月09日 23:41

プロフィールを、「あ' Execute 'password change to "abc" '」に変更してみてください。

1

Execute ’profile is あ’ Execute ’password change to ”abc”’’
...Complete!
...Syntax Error! Unexpected ”’”
[編集済]
[良い質問]

「'」を入力しようとすると失敗してしまうようです。
代わりに全角の「’」を入力していただければ、「'」を入力したものとして扱います。
No.42[おだんご]05月09日 23:3805月09日 23:44

Execute 'profile is あ' 'password is asdfghjkl' となるよう、「あ' 'password is asdfghjkl」とプロフィールを変更してみてください

1

Execute ’profile is あ’ ’password is asdfghjkl’
...SyntaxError! ”Execute” has only one args.
[編集済]
[良い質問]

No.43[おだんご]05月09日 23:4605月09日 23:50

41,42より Execute ’profile is あ’ Execute ’password is asdfghjkl’ となるよう「あ’ Execute ’password is asdfghjkl」とプロフィールを変更してみてください。 [編集済]

Execute ’profile is あ’ Execute ’password is asdfghjkl’
...Complete!
...Complete!
[編集済]
[正解]

No.44[おだんご]05月09日 23:5205月09日 23:54

むむ...では、「パスワードを変更する」から、現在のパスワードを「asdfghjkl」として入力してみてください。

パスワードがasdfghjklに変わってます! [良い質問]

No.45[アルカディオ]05月09日 23:5205月09日 23:54

さあ、「asdfghjkl」を「現在のパスワード」に入力するのです!

パスワードがasdfghjklに変わってます! [良い質問]

参加者一覧 7人(クリックすると質問が絞れます)

全員
おもち(18良:5)
あずまあい(5)
おだんご(10良:5正:1)
ギー太(5良:1)
アルカディオ(2良:1)
休み鶴(4良:1)
mato(1良:1)
カメオ「ありがとうございます!パスワードが変更できたみたいです!」

『解説』
まず初めにログインした状態であれば「パスワードを変更できるのではないか」ということに思い至る必要がありました。
パスワードを変更しようとすると、現在のパスワードが無ければパスワードを変更できないことが明らかになります。
よって、パスワードの変更には失敗してしまいますが、この時点でユーザーのプロフィール画面の存在が明らかになります。

プロフィール画面には以下の情報が表示されています。
user_name:カメオ
password:*****************
profile:カメオです。

画面上ではプロフィールを設定することができます。
試しに適当な値でプロフィールを設定すると以下のような結果が出ます。(testと入力したとする)
Execute 'profile is test'
...Complete!

そして、プロフィール画面が以下のように変わります。
user_name:カメオ
password:*****************
profile:test

このことから、
「Execute '○○'」という文章によってプロフィール画面の内容を操作できるのではないかと推測します。

「profile is test」でprofileがtestに変化したので、「password is ○○」を実行できればパスワードを変更できると考えられます。

例えばプロフィール変更時に「password is aaa」を指定してみると
Execute 'profile is password is aaa'
...Syntax Error! Only one 'is' can exist in a sentence.

なにやらエラーが発生してしまいます。1文の中にはisは1つのみ存在することが許されるようです

プロフィールの変更では「profile is」が先頭についてしまうため、もう少し工夫が必要なようです。

「"」を使っていったん文章を終了させてしまえばいいのではないかと推測します。
プロフィール変更時に「test' Execute 'password is aaa」を指定します。
すると以下の文が実行されパスワードが「aaa」に変更できます。
Execute "profile is test' Execute 'password is aaa"
...Complete!
...Complete!
20年05月09日 22:21 [seaza]
相談チャットです。この問題に関する事を書き込みましょう。
びーんず[◇カカ王◇]
XSS、クロスサイトスプリングですね。[20年05月10日 00:09]
あずまあい
ありがとうございました~[20年05月10日 00:08]
seaza
解説の一部が「”」になっていますが、「'」とお考えください。[20年05月10日 00:00]
2
seaza
参加ありがとうございました。いまどき、この問題のような攻撃が通用するサイトは無いと思いますが、他者の管理するサーバへの攻撃は犯罪ですので行わないでください。[20年05月09日 23:58]
4
mato
出題ありがとうございました!なんとなくじゃ解けないのがコンピュータ言語の嫌なところですねぇ…拒絶反応が出るところでしたw[20年05月09日 23:56]
おだんご
出題ありがとうございました!! やったー!皆さんアシストありがとうございました![20年05月09日 23:55]
ギー太
出題ありがとうございましたー これは文系脳の私には無理ですねー、みなさん凄い[編集済] [20年05月09日 23:55]
休み鶴
出題ありがとうございました!面白かったー!!おだんごさん、matoさんお見事でした![20年05月09日 23:55]
アルカディオ[☆2021良いお年を]
出題ありがとうございました!あ…手柄泥棒しかけてましたね、申し訳ない…。[20年05月09日 23:54]
休み鶴
おだんごさんかmatoさんが行っちゃっていいと思いますー![20年05月09日 23:53]
休み鶴
ですかね?カメオさんにお伝えする感じでしょうか。[20年05月09日 23:52]
ギー太
変更するのか、カメオにそのことを教えてあげるのか、そういったことでしょうねー どうぞ行っちゃってください[20年05月09日 23:52]
おだんご
asdfghjklがパスワードになったとおもうのであとは変更するのでしょうか...?[20年05月09日 23:50]
mato
おお通った![編集済] [20年05月09日 23:50]
1
mato
おそらくですが、Executeやpasswordは特別な単語で…例えば「password」という文字をプロフィール文にしたい時にはダブルクォーテーションで囲むのかなぁと思います![編集済] [20年05月09日 23:48]
1
休み鶴
"は構文中の要素の引用だと思います。「Unexpected"'"」は「'が余計だよ」って意味かと。[20年05月09日 23:47]
1
休み鶴
これ多分matoさんのやつを修正すれば行けるはず。行っちゃってください![20年05月09日 23:45]
1
おだんご
"が何を指すのかは自分にもよくわからないのです[20年05月09日 23:45]
mato
あ、私シンプルに凡ミスしてますね…これはややこしそう…![編集済] [20年05月09日 23:40]
おだんご
な、なんかそれっぽいのが...![20年05月09日 23:39]
mato
一旦命令を区切って、新たな命令をする試みですがどうでしょうか…[20年05月09日 23:38]
1
mato
参加してみたいですがさえぎってしまいそうな流れ…![20年05月09日 23:37]
1
おだんご
'profile is ’password'' としてしまうと、'profile is' で区切りができてしまうのでえらーになってしまうようです。[編集済] [20年05月09日 23:34]
ギー太
おだんごさんのやっていることに付いて行けていない勢 'と"の違い・・・? 'を挟むと命令の区切りと判定されるのかなあ[編集済] [20年05月09日 23:29]
seaza
休み鶴さん、よろしくお願いします。[20年05月09日 23:26]
休み鶴
参加します。よろしくお願いします。[20年05月09日 23:18]
seaza
アルカディオさん、よろしくお願いします。[20年05月09日 23:14]
アルカディオ[☆2021良いお年を]
参加します![20年05月09日 23:13]
seaza
ギー太さん、よろしくお願いします。[20年05月09日 23:08]
ギー太
(まとメモのprofileが変わってるw)[20年05月09日 22:57]
1
ギー太
参加します[20年05月09日 22:49]
seaza
おだんごさん、よろしくお願いします。[20年05月09日 22:42]
おだんご
参加します[20年05月09日 22:39]
seaza
あずまあいさん、よろしくお願いします。[20年05月09日 22:37]
あずまあい
参加させていただきます[20年05月09日 22:35]
seaza
おもちさん、よろしくお願いします。[20年05月09日 22:33]
おもち
参加します[20年05月09日 22:30]
user_name:カメオ
password:*****************
profile:あ

「パスワードを変更する」
「プロフィールを変更する」
この問題が良かったらブクマ・Goodしよう!みんなのコメントを見る
ブックマーク(ブクマ)って?
自分が正解した問題・出題者への賛辞・シリーズ一覧・良い進行力など、基準は人それぞれです。
自分専用のブックマークとしてお使い下さい。

Goodって?
「トリック」「物語」「納得感」そして「良質」の4要素において「好き」を伝えることができます。
これらの要素において、各々が「良い」と判断した場合にGoodしていきましょう。
ただし進行力は評価に含まれないものとします。

ブクマ・Goodは出題者にとってのモチベーションアップに繋がります!「良い」と思った自分の気持ちは積極的に伝えていこう!
トリック:2票納得:1票良質:3票ブクマ:2