Coucou

Encore un problème de compatibilité entre le parseur de l'épreuve et mon cerveau.

J'ai trouvé la faille. Pas encore le moyen de l'exploiter.


A mes yeux, il y a des tonnes de moyens pour la résoudre, mais j'ai l'impression que c'est verrolé jusqu'à la moelle.


Je m'explique :

- Dans l'épreuve, on trouvera deux tables (l'une affichée, l'autre devinée)
- Quand je tente un exploit sur une table X qui n'est pas l'une de ces deux tables, j'ai le message tout à fait légitime : "Tsss on touche pas aux autres tables, chenapant".

- Mais quand je tente un exploit sur l'un des deux tables incluses dans l'épreuve, j'ai tantôt le message, tantôt je ne l'ai pas (selon les fonctions que j'utilise), alors que, dans tous les cas, je touche aux "bonnes" tables.
J'ai l'impression que le système veut "forcer" à utiliser l'indice fourni dans l'intro de l'épreuve, alors qu'il y aurait visiblement d'autres moyens


EDIT : ça ressemble a un problème de parenthèses

Oui j'ai entamé ça.
D'ailleurs, j'ai un peu de mal, à cause de port utilisé ... mais ça va le faire

(par contre je jure que j'ai fait classique de chez classique ...)


EDIT : Pour ceux qui auraient, comme moi, trouvé la faille, mais seraient bloqués au fameux message, pensez à virer le cache de votre navigateur, et à vous reconnecter au site

Bonsoir.

Tout d'abord, désolé du (léger) déterrage.


J'ai trouvé une (la ?) faille dans le code, et j'ai donc tenté l'exploit.
Cependant, je n'arrive qu'à un " Non non non, il faut trouver la faille d'abord! ;-) "

... ce qui m'embête un peu, car j'ai testé plusieurs variantes, de la plus "classique" (oui, vous devinez laquelle), jusqu'à une ébauche d'un "bruteforce léger".
Es-ce que j'ai oublié quelque-chose, ou es-ce que je brûle encore des étapes ? (j'ai vraiment essayé plein de mots clés pour montrer que j'avais bien trouvé)



Bon, en attendant, je vais pouvoir résoudre l'épreuve suivante. Par contre, je vois pas comment on peut le faire à la main (36*L essais ... si j'ai bien trouvé le bon truc).

Mais je peux justement le faire pointer sur le site que je veux.


Plus concrêtement (et toujours dans l'esprit "ne pas donner d'indice") :

Si j'ouvre moi-même le mail, et que je clique sur le lien qui s'y trouve, je parviens à /* faire quelque chose d'encourageant, on va dire plutôt */
En revanche, ma méthode ne fonctionne pas sur Google Chrome, ni sur Safari (du à la gestion des é****ts des navigateurs)

Quand j'envois, en revanche, le mail à l'admin, il ne se passe rien (même plus de "tu es sur la bonne voie").


Dans le doute, j'ai encodé les caractères de différentes façons (ça fonctionne bien vers ma boite hotmail), mais ça ne change rien.
J'ai l'impression que l'épreuve ne fonctionne que selon une méthode précise.




On a bien convenu que le "bot" cliquait sur tous les liens contenus dans le mail envoyé, vrai ?

Pour ceux qui s'embêtent à chercher le bon dossier (pas trop d'intérêt à mon goût, ou bien à mettre dans une épreuve distincte), sachez que cette épreuves /* modéré */, et qu'il y a donc plusieurs moyens de la valider.

Merci de ta réponse.


Quand je dis que j'arrive à "faire pointer", je parle bien entendu de faire pointer vers son propre site (simple lien http) PUIS (redirigé) vers mon site perso. Et sur le principe, cette méthode fonctionne très bien (si le lecteur du mail, clique). J'ai tenté sur un site bidon, puis sur un serveur perso. Sur mon site perso, je récupère "ce que je veux récupérer" quand j'essaye moi-même ...

C'est toujours la difficulté : Savoir sous quels critères l'épreuve est validée (j'ai voulu jouer la carte du réalisme, mais visiblement, il y a un "truc")

Hello.

J'ai trouvé la faille. J'ai pu confirmer, juste en insérant du code inutile (vous savez de quoi je parle), et la page m'a bien répondu que j'étais sur la bonne piste, que ça suffisait pas, etc ... (donc il y a une vérif directe, sans passer par un bot, du moins à ce niveau là)

Je suis donc ensuite passé à l'application : Là encore, je donne pas les détails, le net est assez documenté sur ce cas là.


Le soucis : Ma méthode semble fonctionner (pointée vers un script perso, ça récupère ce que je veux), mais je n'ai aucune réaction de la part de l'épreuve, quand je tente de piéger l'admin.
Au mieux, j'ai eu droit à des gâteaux qui sont "venus tout seuls", mais dont la valeur était vide.

Pas d'amélioration en renouvelant l'opération.



Donc ma question : Y a-t-il une subtilité à prendre en compte, ou es-ce que j'ai progressé dans l'épreuve et que l'histoire de mes gâteaux vides est une erreur ?


Merci d'avance.

Coucou.

Comme pour le test IRC précédent, je code en langage C.

Le type le plus haut pour ce langage accepte des entiers à 12 "chiffres".
Or, il faudrait davantage, n'es-ce pas ?

Y-t-il un "truc" ? (au sens, puis-je continuer à chercher, ou bien ça risque d'être difficile pour moi ?)

Chez mwa ça me mets "voici le code : *** " où *** est une chaine qui ressemble fort à de l'hexa, mais qui n'en est pas ...

Y a une subtilité dans ce test, à ce niveau ?

Coucou !

Je suis également confronté au problème " Vous devenir provenir du formulaire ... ".


Je sais absolument résoudre cette épreuve avec PHP (curl ?), mais j'ai lu que ce n'était pas le langage à utiliser.

Je me demande donc, si, par hasard, il est réellement possible de modifier le contenu des en-têtes envoyées en POST avec Javascript (ça fait 20 minutes que je fais chauffer Google ... et c'est pourtant rare quand je trouve rien ...)


Je m'égare ?



Bonne journée

Coucou

Je fais ça en PHP.

Le problème, c'est que je suis derrière un proxy (donc je configure mon c*****te en conséquence).
Je modifie ce qu'il y a à modifier, mais j'arrive sur la même page "vous ne venez pas de ..." ...

J'ignore si j'ai fait une erreur de syntaxe dans mon code, ou si simplement mon proxy modifie le r***** à l'execution.

Sinon, épreuves passionnantes


EDIT : Ah, en fait, simple question " d'ordre des choses " ^^'

" Bravo, tu as échoué avec succès ! ".

J'y ai cru pourtant :'(

Coucou !
Je trouve un peu dommage ce problème de cookies ...
Je suis personnellement un peu perdu, et je suis en ce moment même en train de m'informer sur le sujet.

Je pense que davantage d'aide devrait être donnée pour cette histoire de cookies, et un peu moins sur l'épreuve en elle-même.

Là, la plupart des gens bloqués le sont à cause de cette bête histoire de cookies (qui doit se répèter sur les autres épreuves peut être), et c'est quand même dommage pour certains de s'arrêter là et de ne pas pouvoir se concentrer sur l'épreuve ...

(vous allez sans doute dire que ça fait partie de l'épreuve ... mais je ne suis que moyennement d'accord sur le principe ...)