[envy44]

Bonjour, juste une petite question, le .htaccess est placé dans le dossier qu'il est censé protéger c'est bien ça? Par exemple ici admin est protégé donc logiquement le .htaccess est placé dans ~/.../admin/.htaccess ?

Pour ce qui est de la faille include, je vois pas trop l'intérêt, on doit include un fichier à nous qui met en clair le .htaccess?

[anakins]

Bonjour,

C'est mon premier post alors un peu d'indulgence  .
Je suis un peu perdu sur cette épreuve. Je vois la faille /* modération : censuré */. Quand je veux essayer /* modération : censuré */ il me dit que c'est bien tenté....
J'ai essayer également l'épreuve du .htaccess numéro 2 (reloaded)

Pouvez-vous me dire si je me trompe.
Pour celle là je vois bien /* modération : censuré */. Par contre j'ai tenté /* modération : censuré */ mais il me jette à chaque fois.
Pour l'autre épreuve je sens plus le coup du /* modération : censuré */.
Déjà si je suis dans le vrai cela serait déjà pas mal lol.

Après pour les outils HEADERS j'utilise "En-tête HTTP en direct" (il ne marche que pour la capture...) et altérer données (pour l'écriture mais c'est pas l'idéal à configurer). Y'en a-til encore un meilleur ? (Si oui pas besoin de nom, la recherche est de rigeur).

Par contre un indice pour /* modération : censuré */ serait pas de trop. J'ai tenté tous /* modération : censuré */ et je ne trouve rien.

J'essaye de faire les épreuves dans l'ordre d'où mes interrogations.
Dernière chose je pense avoir compris le fonctionnement du htaccess (j'ai fait pas mal de recherche) et ne post pas ce message à la va vite  . Bon je sais vous aller me dire que si j'avais vraiment tout compris j'aurais réussi l'épreuve. lol

Merci.

[mathgl24]

Premièrement, ne met pas toute ta démarche : qu'elle soit fausse ou vraie. Pose seulement ta question!
Ensuite, il y a 10 pages dans ce forum d'aide qui répondent à peu près à tes questions / raisonnements. Avec ça, tu devrais être en mesure de trouver la bonne piste à suivre

[Tortuga]

Bonjour, j'ai un petit soucis sur cette épreuve: je pense avoir trouvé le fichier à trouver, j'ai donc un nom qui commence par a et un pass qui commence par u. Mais quand je les rentre dans l'authentification, je me fais jeter ! Normal ou ne suis je pas sur la bonne piste ?

[Asteriksme]

Salut,

Tu es sur la bonne piste (et t'as même fait le plus chiant dur).
Il te reste une dernière petite étape, le mieux pour la résoudre est de se renseigner (pour changer :þ)

Bonne chance !

[Tortuga]

Merci !

Je vais pousser mes investigations alors!

edit : trouvé ! Merci

[i2skiller]

ya quelqu'un qui peut m'aider à cette épreuve, par ou commencer?

[mathgl24]

Tout d'abord, il y a le forum d'aide dans lequel tu as posté. Ensuite, tu fais comme les autres épreuves d'avant : tu trouves la faille et tu l'exploites. Si tu ne sais pas comment, Google t'aidera c'est certain

[Harry41]

Bonjour a tous, 2eme post de la journée, nuit blanche sur NC, déprime.

Dans l'idée, je vois très bien la faille, je sais comment l'exploiter, mais le vrai problème est l'emplacement du fichier.
J'ai beau tenter depuis environ 1 semaine tout ce qui est logiquement possible pour le petit webmaster que je suis,
mais je me heurte a des messages d'a(i)moniac !

Le problème avec cette faille, c'est que l'on n'est pas amené a chercher comment la résoudre mais comment se prendre la tête je trouve. On peut penser que le simple fait de ne pas la réussir obscurcisse mon jugement, mais je pense sincèrement qu'il faudrait revoir cette faille et remettre en avant le cote résolution de la faille et non le cote recherche d'un nom de dossier...

Mettant inscrit il y a apparemment 2 ans, je viens cependant juste de commencer (cette semaine) a résoudre les challenges de ce site. Dans le parcours que j'ai effectue, je pense qu'il y a tout de même quelques problèmes au niveau réalisme... Je comprends très bien la difficulté, mais je suis certain qu'on pourrait améliorer certains challenges.

voila, je ne voulais pas terminer cette faille avec l'autre manière de faire, je voulais voir ce que l'auteur nous proposait, mais je dois abandonner car je ne trouve pas le nom du dossier après plus de 300 tentatives d'après mon script (pas d'erreur de script, c'est juste que je manque de logique a priori).

C'est vraiment dommage, j'aurai voulu apprendre a faire ce genre de chose.

PS : dsl pour les accents manquant, clavier QWERTY
PS` : idée d'amélioration (bah oui, critiquer pour critiquer serait idiot...) : améliorer la gestion du feedback, je pense notamment a une regex plus apte a re-diriger l'utilisateur ou a rendre un feedback cohérent
PS`` : Si jamais je pouvais me rendre utile a l'amélioration de certains challenge, je serais ravi de participer. Pour rappel, le nombre de points sur un site ne peut en aucun cas présumer des compétences
PS``` : J'aime bcp ce site. j'étais sur HackBBS avant (qui est très intéressant aussi) et je dois dire bravo a tous pour la patience et le dévouement de certains modos, et bravo notamment aux dev qui nous procure ces moments de bonheurs

[Barti]

je pense sincèrement qu'il faudrait revoir cette faille et remettre en avant le cote résolution de la faille et non le cote recherche d'un nom de dossier...

Mais si on enlève la recherche du nom de dossier, cela devient beaucoup moins réaliste non et pourtant un peu plus bas tu dit ca :

il y a tout de même quelques problèmes au niveau réalisme...

Je trouve ca légèrement contradictoire enfin bon !

Et puis avec 10 pages de topic d'aide je pense que ca devrait amplement suffire...

[Harry41]

Je comprend ce que tu veux dire, mais j'ai vraiment tente de trouver le répertoire.
Je pense connaître relativement bien quels types d'endroits peuvent contenir ce genre de fichier,
aussi j'ai essaye avec mes humbles connaissances de trouver par le relatif et l'absolu.

Apres si tu me dis que le répertoire est vraiment réaliste, je me tais

Edit : Bon, bah j'abandonne en silence... (les hommes devraient savoir lorsqu'ils sont vaincus... Le saurais-tu Barti, le saurais-je ?)

[Barti]

Oui assez réaliste en tout cas suffisament pour qu'un bon nombre de personnes aient trouvé...

[NE$$]

Moi j'ai troué le pass hashé, mais quand je télécharge john the ripper sur le site officiel, mon antivirus supprime le .exe donc je peux pas l'installer, donc pour l'épreuve... 

[Mat3910]

J'ai trouvé le pass haché, malheureusement je ne sais pas le  décrypter. J'ai entendu parler de john the ripper, malheureusement je ne sais pas m'en servir. Mes tentatives étaient vaines. Pourriez vous m'aider à le décrypter.
En attendant je vais aller lire de la doc sur .htaccess. A ma connaissance le hash d'un pass ne fais pas 13 caractères, est ce qu'il y a plusieurs méthodes de hachage pour un htpasswd ?

[Stacker]

Je sais pas méthode tu as utilisé , mais moi , /* modéré : désolé, ça fait partie du jeu. */