[celementnoob]

j'avait mit que sa venait du sdz

[Plug]

Bon, j'étais venu sur ce Topic à cause de la petite phrase assassine (obtenue simplement en faisant "page précédente" ).
Mais les réponses de Zours et Folcan sur le PHP me dérrangent un peu. En effet, il y a des tas de choses qui "théroriquement" ne sont pas possibles.
Mais néanmoins, certaines failles permettent de mettre à mal la théorie.
Ainsi, il existe une faille permettant de lire le php... et pas en étant sur le serveur

@+
Plug

[zours]

/me remue l'oreille droite

[offw0rld]

Mais oui zours, comment ny a tu pas pensé, la faille show_source.

[zours]

Ah bon sang, la célébrissime faille dite du CTRL+U, comment n'y ai-je pas pensé plus tôt ?
Mais bon, j'suis une merde en hacking, c'est normal que je pense pas à ce genre de choses. Faut que j'apprenne de nouvelles choses,là...

[Plug]

Bonjour,

Dois-je prendre les 3 post précédents comme l'expression de votre mépris ou est-ce une façon maladroite de me poser une question sans avouer que vous ne voyez absolument pas de quoi je parle ?

Plug

[Invit]

Bon, si j'ai bien compris tu aurais potentiellement trouvé une faille sur le site/forum (j'ai pas tout lu, pas que ce soit du mépris mais ça m'excite pas plus que ça) dans ce cas merci de prévenir l'équipe NewbieContest
également newbiecontest@n0ne.org ou encore directement les administrateurs du bazar, j'ai nommé S0410N3 et Nebelmann par message privé sur le site (éventuellement moi en dernier recours, au mêmes adresses)

[Plug]

Pas d'affolement . Je n'ai absolument pas cherché de faille sur le site/forum. => Je ne risque donc pas d'en trouver .

J'ai simplement fait une remarque sur la soi disant impossibilité de lecture du php, présentée comme évidente par 2 autres posteurs à un débutant.

Il s'agissait d'une remarque d'ordre général et non d'une affirmation précise sur ce site

@+
Plug

[Invit]

Pas d'affolement .

Tu fais bien d'préciser j'en avait perdu le sommeil, mort d'inquiétude que j'étais..

J'ai simplement fait une remarque sur la soi disant impossibilité de lecture du php, présentée comme évidente par 2 autres posteurs à un débutant.

Il s'agissait d'une remarque d'ordre général et non d'une affirmation précise sur ce site

Pour reprendre le ton et la casse employés, j'attirerais votre attention sur le fait qu'en l'absence de preuves et/ou arguments tangibles pour ettayer vos propos, ce post fait ni plus ni moins office de 'troll' vide et sans fondement, et jusqu'à preuve du contraire donc, il n'est effectivement pas possible d'avoir accès au code d'un script PHP (sauf situation particulière, non précisée).

Considérez en outre le ton, au mieux austère, dudit post comme étant un paramètre non négligeable et un motif implicite de casus beli relationnel menant de manière certes inconsciente, mais néanmoins humaine, à vous envoyer balader sans se soucier du niveau de langage usité.

Cordialement,

BufferBob

[pied de mamouth]

J'ai simplement fait une remarque sur la soi disant impossibilité de lecture du php, présentée comme évidente par 2 autres posteurs à un débutant.

Plug

Salut,

Tu pourrais détailler un peu ta méthode pour lire le code php s'il te plait ? Si c'est possible ça peut toujours être intéressant et puis en détaillant tu te ferais moins chambré par les autres posteurs ( à mon avis ) ...

[Snake046]

... c'est l'oeuvre du malin, cela ne fait aucun doute !
Brûlez-le mes frères, brûlez-le pour le bien de notre sainte église !

Enfin, pour répondre à sa question, je dirais d'aller relire ce qui est écrit plus haut, peut-être qu'ainsi son esprit sera éclairé par la sainte lumière du Newbie...

[Plug]

Il s'agit tout simplement de la faille Include() lorsqu'elle est couplée avec une construction de page par lecture (ligne à ligne) des fichiers déposés sur le site.
Par exemple:

Code:

<?
	$fp=fopen($fichier, "r");
	while(!feof($fp)){
		$line=fgets($fp,1024);
		print $line;
	}
	fclose($fp);
?>

Etant donné que cette faille est l'une des plus classiques, je ne pensais pas avoir besoin de la citer à des anciens dont les scores au challenge hacking avoisinent les 100% Faudrait qu'on m'explique là... Car si je l'avais fait, j'aurais effectivement compris qu'on me chambre

Est-ce assez détaillé, BufferBob ?

Pour pied de mamouth :

Tu pourrais détailler un peu ta méthode

J'espère que c'est fait. Deux précisions quand même :
- Ce n'est pas [h]ma méthode[/h] (la faille est plubliée depuis des lustres)
- Ce n'est que l'exploitation d'une faille (il faut donc que la faille existe sur le site victime)

@+

[Nebelmann]

"mdr" !!
Quelle faille extraordinaire, comment n'y avait-on pas pensé avant ?? Mais bien sûr, c'était évident, d'autant plus qu'on peut l'appliquer à pas loin de 90% des sites écrits en PHP... faut tout de suite que j'aille essayer sur les sites des gros éditeurs de logiciels, ils me récompenseront sûrement !!

Ainsi, il existe une faille permettant de lire le php... et pas en étant sur le serveur :icon_wink:

D'une manière ou d'une autre, tu es quand même obligé de passer par le serveur, ou alors par télékynésie, mais j'en doute fortement... " données, données, je vous contrôle, vous êtes sos mon pouvoir, téléchargez-vous sur mon bureaaauuuu, je le veeeeuuuux !!! "

[zours]

Voui, tous les sites bâtis en PHP lisent les fichiers en ligne par ligne, c'est bien connu, c'est tellement pratique ... Rhalala...

[Plug]

Bon, dernier essai pour vous convaincre. Après j'abandonne

La faille Upload permettrait de charger le php de lecture (voir code de mon précédent post).
On est effectivement là sur le serveur (sans télépathie il est vrai )

Il faudrait donc un site qui cumule faille Include et Upload.

A Nebelmann, qui à l'air épris de statistique, tu mettrais quel pourcentage pour trouver un site qui cumule les deux ?

Néanmoins, il faut quand même faire remarquer que la simple faille Upload permet de nombreuses possibilités et qu'elle devrait suffire pour lire un fichier php.
NB: je parle au conditionnel sinon BufferBob va me demander des preuves

Désolé mais je ne peux pas faire mieux.

Au plaisir de vous lire