NewbieContest

Salut

je bloque un peu sur l'épreuve 4 de hacking... je pense pas que ce soit une injection sql, et vois rien dans le code source

un petit indice svp??

ouaip un petit indice serai pas de refus
j ai deja essayer quelque injection sql mais sa a pas l air d etre sa
j ai essayer de regarder du coter des cookies aussi mais je vois rien non plus

help

A ben je croyais que c'était une injection SQL aussi, quelqu'un peut- il nous eclairer?

Ce n'est effectivement ni une injection SQL, ni une histoire de cookies, ni une histoire de headers.
Cherchez sur votre pote Google les failles "classiques" de hacking, et vous trouverez surement celle qui correspond à cette épreuve.

Moi je peux vous dire qu'une chose c'est qu'il y a des variables ;). j'ai pas la réponse mais j'ai bidouillé et ça me met    
que l'url doit être truquée de variables. (MIAM, PLEINS DE BONNES VARIABLES ! oups désolé je pars en freestaïle...)

Forcément, si tu commences à faire des urls avec Edit : un peu trop*

Ba tout ce que je pensais :(
Je vois pas du tout ce que sa peut etre :/

franchement, moi non plus... :(

héhé y a ptet une technique de hacking que vous avez oubliée... retournez faire un tour sur Google ;)

Nan franchement jvois pas :/
Une faille autre que les cookies, sql et les headers pour passer un formulaire d'admin jvois pas du tout...
En plus ya meme pas d'indice sur la page du challenge

Fais une recherche sur Google de tous les exploits récents (va sur frsirt.com par exemple), et regarde bien les techniques utilisées, je suis sûr que tu en trouveras plusieurs que tu n'as pas encore utilisées ;)

* La goute d'eau qui fait deborder le vase * :wink:

*Edit donne la réponse*

*Edit donne la réponse*
mais jvois pas comment exploiter... jvais allez me renseigner

bark, là je bloque vraiment en plus c'est la dernière qui me reste en hacking... :(

Il en existe des tonnes, de failles... comment trouver la bonne?

Ah j'ai trouvé :D
Mon hypoteste était la bonne =)

ta trouvé jenova mais moi pas encors, alors mersi de laisser un chti indice la, je bloke moi ici :?

il fo ke morice pousse le bouchon un peu trop loin :|

tu n'es pas le seul dans ce cas mais apprend a écrire. Merci.

Sait on jamais ca n'urais pas un quelonque rapport avec de l'url rewriting?

nan, Nox à donné un excellent indice, la goutte d'eau fait déborder de vase :p

Saturer le serveur alors?

mdr!
oua le truc de dingue je connaissais dans le principe mais je l'avait pas encore testé. I succeed !! le pire c'est que j'avais essayé avec une autre epreuve et pas avec celle la !!! :lol:

Salut à tous,

Donc si j'ai bien compris, il s'agit dans cette épreuve de saturer le serveur...
J'ai essayé quelques trucs mais y'a rien qui marche : j'ai fait un petit script php avec une boucle et dedans un include qui inclut la page de vérification des mot de passe et login. Ca m'écrit bien "Tu n es pas administrateur du site !!...." mais rien d'autre....

Alors en fait je voulais savoir si ma méthode est bonne ?

Merci. a+

ON NE BRUTE FORCE PAS LE SERVEUR!!!!

Non ne t'inquiete pas je n'ai pas brute forcé le serveur ! J'ai juste inclu la page une petite dizaine de fois :D , ca a du à peine se ressentir :/
Mais alors si  il ne faut pas faire comme ca comment il faut faire ? :wink:

Réfléchis au lieu de bourriner le serveur de NC ça sera déjà pas mal!

PAS DE BRUTE FORCE!!!

Ok merci c'est sympa ca fait toujours plaisir.

Sinon pour l'épreuve relis bien les indices sur la page précédente, ça devrait normalement te faire tilter... je sais vraiment pas où tu es allé chercher qu'il fallait bruteforcer le serveur! M'enfin bon **No Sms** grave t pardonné ;)

:rolleyes: tout est là ... courage ...

Oui il est bon de le rappeler ça , parce que marre de pas pouvoir me connecter a NC moi :cry:

Ok mais bon ne croyez pas non plus que j'ai brute-forcé le serveur comme un gros porc pendant des heures...
Mais bon c'est vrai j'aurais pas du, désolé :cry:

En tout cas merci pour vos indices je vais encore chercher ...

a+

maisheu je dois etre tebé je trouve pas le wiki mdrrrr
j'ai une pitite idée (un ***) mais je sais pas comment l'exploité autrement qu'avec netcat loll
si qqun a un tuto ou qqe chose dans le genre ca serait le bienvenu
mici d'avance ;)

Le wiki au derniere nouvelles il marchait plus alors, forcement c'est dur de le trouver ;)

Sinon, si je pense a la meme chose que toi (*** comme tu dis) ca doit etre ca, mais si c'est bien ca, mois je l'ai fait sans netcat (ou alors, je l'ai pas fait comme il fallait)

Bon courage =)

C'est bien cela ;) Bon courage

ben oui tu l'as fais correctement mais c moi qui sais pas l'exploiter via le web (je sais boulet lolll)
je peux te planter n'importe quel service grace a netcat (outil merveilleux ) mais sur le web c otre chose lolll
donc tuto ou conseil bienvenu merci d'avance

Normal, ce genre de faille de n'applique normallement pas au web, nous l'avons juste simuler !

saboteur mdrrr:D:D:D:D
maiheu **No Sms** juste:D
bon ben merci merci mnt g vraiment plus d'idée
bien obligé d'aller faire un tour sur google("index of:/chuistebé")

un ************* ? mais je crois que la solution est bcp plus simple que ca ...

Sophoah

Edit by Nms : tu n'as qu'à donner la solution tant que tu y es! pourquoi tu ne testes tout simplement pas si c'est effectivement le cas au lieu de demander et de donner la réponse à tout le monde.... :wink:

je reste bloqué :@
ok j'envoi 25x0x61 et y me dit toujours tu n'est pas admin gnagnagna j'en ai marre d'etre trop con pour comprendre la subtilité a appliqué. j'ai essayer bcp de solution possible mais pas la bonne pourtant faut croire  !j'arrive a me connecter avec netcat sur le site mais j'ose pas essayer  un*** j'ai pas envie de foutre le bordel
je cherche la lumiere ,qqun aurait il un briquet?

nc -vv blablabla.wanadoo.fr 80<jisaispo.txt

edit chcrois k'j'vais faire une collecte pour acheter un cerveau lolll

Ah désolé, je pensais pas du tout que c'était la réponse.

En fait, de mes cours de sur le ........................... et bien, j'aurais appliqué ca à un soft et la, c'est du web, donc voit pas trop ...

Sinon, il faudrait appliquer le .......... sur le code qu'il y a derrière mais je ne sais pas du tout comment le faire ...

Et c'est pourquoi nms, bah "tester" ok mais comment ..

vais faire un petit tour du coté de mon ami google :|

Sophoah

Donc c'est pas une faille trouvable sur le web ...

C'est çà ?

rassurer moi , ca a rien a voir avec l'utilisation des variable POST et GET dans l'url? si je fais ...&GET=0x900x900x900x90...

sorry je m'egare lolll

sans dec un piti indice serait le bienvenu je viens de valider la 7 la jdois etre trop con ...loll

0x90 ?? NOP ??

precisement NOP mais pourquoi ? aucune idée.

oui nop ou 0x41 pour a si tu envois une chaine de a ou tout tes caractere(par exemple) c'est plus facile de repérer ta chaine dans le message d'erreur lorsque t'a trois rien du tout et puis tes aaaaaaa (ou ce que tu a mis comme caractere hein) de chaque coté

ex 0xff 0xaf  0x90 0x90 0x41 0x41 0x41 0x41 0x41 0x90 0x90 0x90 0x5d 0x0f

la tu vois dans le message d'erreur ou la pile a planté ca te renvoie les info du plantage et tu constate que c'est au niveau des donnée que tu a envoyé(ici ca donne: debut ... NOP NOP a a a a a NOP NOP NOP ... suite)

j'ai un super bon PDF la dessus  pmez moi je vous le maillerais

et je seche toujours sur cette epreuve je sais c'est  honteux(et sur hkep2 aussi je sais je sors loll)

j'espere qqun d'autre que moi a compris mes explications lolllllll

ps tout a fait d'accord avec sophoah

mais euh... là on est dans du hacking, pas dans de l'assembleur... que vient faire le NOP ici?
Forcément si tu lui dis de faire des cycles pour rien ton résultat sera inexistant :lol:

amede0 aurait tu la gentillesse de m'envoyer le pdf ? ça m'interresse :)
Je crack un peu ( quand j'ai mon windows ! :evil: ), et le language hexadecimal m'interesse

De plus je n'ai rien compris à ton explication :D

real-hs@hotmail.fr

Sinon Amede0, ton pdf tu peux le mettre dans la rubrique tutorial, comme ca t'auras pas a te galérer a l'envoyé a plein de gens, enfin je dis ca comme ca moi...

comment je peux faire ca lsd?

amed0, dans le forum rebrique tutorial, tu post soit le contenu, soit un liens vers le tuto

serais-ce un D**?
:| on peut en faire sur autre chose qu'une ip? je savais pas...

voila Folcan c fait
bonne lecture a tous
le post s'appelle "*** sur serveur web Savant"

KARD **No Sms** un DoS

et j'ai toujours pas trouvé la solution ca me pend au nez ca me bourre (je sais **No Sms** tres constructif comme remarque lolll)

@++
keep searching

tin on me dit d'aller bourrin mais meme ca ca marche pas

j'essaye de planter plus de ** char dans le champs et toujours pas juste je connais la faille en plus mais j'arrive pas a l'exploiter ca me frustre

z'aurez pas chti indice pour moi parce que la je seche lollll

Encore plus ;)

tin quand vous dite bourrin c bourrin mdrrrrrrrr

merci folcan c l'indice definitif qui résume bien le topic

bon allez la suivante mnt loll

:O pas un DoS? ah, y ms'emblait bien aussi =D
bon, j'ai plus qu'a continuer de chercher...

je comprends rien :|

Pas la peine de te surcharger :lol: l'esprit  !!!!!
=D

Epreuve réussie, et sans faire trop d'efforts, enfin, je me compred...

Bon c'est un DoS ou pas :?:
Parce que bon...Un exploit en 3 lettres :?

nan ce n'est pas un DoS, mais avec tous les indices qu'il ya dans ce forum tu devrais pouvoir trouver ce qu'il faut faire sans problème! Relis bien tout!

merci pour les indications, c clair qu'il faut pas chercher complique pour reussir :/

Ouais c'est un hack bien barbare... :P

ayé j'ai réussi !!! Et je suis bien content parce que je ne connaissais rien de la faille xD
Je me demandais ce que c'était qu'un ****** ******** et en voyant que je l'avais appliquée sans savoir que c'en était une, ça m'a fait plaisir :D Surout d'avoir l'explication après :)

Mdr! Moi j'ai d'abord eu : "Non tu n'es pas admin!"
Maintenant c'est : "Fouine pas n'importe où petit hacker ;)".
Et en plus j'me suis égaré là j'ai pas l'impression que je sois au bon endroit... Mais bon les indices sur ce forum devraient me suffire, c'est pas drôle et surtout pas très instructif de ne pas trouver par soi-même...

Amicalement,

hacker_x

Aieu j'ai mal aux doigts maintenant ;)

la reponse se trouve elle dans le B**** O*******ing lol ?

edit : ca me reapprendra a ne pas tester ce que je dis , et une de plus :)

Wai, j'ai pensé a ça aussi, mais il me reste a trouver comment l'appliquer ici........

Meme pas besoin de Google

Merci pour l'indice de Soissons :P :rolleyes:

nitrenhex donne la solution qqu'un pourrait-il éditer son post ? :)


PS : La technique est d'une facilité déconcertante lol

C'est bourrin ca !! =D ( ceux qui connaissent reflet d'acide comprendrons )

En tous cas merci pour les indices c'est excellent...

D'apres tout les indices sur ce post je suppose que c'est une attaque de type B***** O*******
Suis-je sur la bonne voi ?

bah tu essaies et tu seras fixé :lol:

Oui mai je ne c'est pas comment l'exploiter!!!
Je trouve pas de tuto sur google!
Ten aurait pas un ?

Tu as besoin d'un tutorial qui t'explique tout et qu'il te suffise d'appliquer la méthode ? C'est pas du hacking ça -_-'
Tu progressera pas... c'est du lamerzouzing
Cherche, continue de chercher. Si tu as la théorie ça ne va pas être bien dur à appliquer.

J'ai compris en quoi consiste cette attaque mais je ne c'est pas comment on l'applique!
Je trouve nulle part de tuto pouvent me l'expliquer:x!!

Si on te file un tuto (à mon avis ca n'existe pas et c'est tant mieux) on te donne la réponse... donc réfléchi, teste et constate.

C'est bon j'ai trouver!!!!:lol:

C'était bien la peine de flooder sur le topic :rolleyes:

Je viens de réussir cette épreuve alors que je ne connaissais pas cette faille du tout, et ceci en ne lisant que ce post.
Donc ceux qui cherchent encore, lisez bien ce post, les indices donnés sont parfaits.
Bon courage !!![...]!!! :wink:

j'ai mis un peu de temps, mais j'avous que c'est interessant et que ca peut servir ;).Pour ceux qui n'ont pas trouvé , ***

Modération : Pas d'indice quand personne n'en demande :]

Request-URI Too Large
The requested URL's length exceeds the capacity limit for this server.

request failed: URI too long

sur la bonne voie?


bon dsl suis vraiment trop idiot d'avoir essayé de passer par l'url, en fait c simplissime et les indices en plus sont très très explicites

/* censored, on arrête de donner des indices quand personne n'en demande, surtout pour une épreuve qui n'en a pas besoin...*/

Bonjour,

Je pense avoir trouver la solution et la faille en question mais j'ai une question justement je crois avoir mis trop d'eau du coup mon proxy m'envoie ballader... Donc est-ce que mon proxy m'empêche en fait de voir la réponse ?

J'ai comme retour de mon proxy reponse nulle de http://xxxxxxxxxxxxxxx/verifhk4.php

Cordialement Inazo.

Ahah, ouais, y'a certains proxies qui peuvent faire ça en effet. Pas trop de solution à ma connaissance (un peu maigres sur ce domaine par contre), à part ne pas passer par ce vilain proxy. Ou alors essaie de mettre un peu moins d'eau, on sait jamais...

J'ai rien compris a la technique a appliquer ici -_-'

J'ai cherché avec mon meilleur ami , mais sa donne rien :(

Si tu connais le nom des différentes failles, (include,XSS/CSS,NIS,upload....) alors une faille qui tient en 3 lettres en abrégé *** et 14 en intégralité ****** ******** tu devrais savoire ce que c'est...
Avec les indices donnés en plus,"le grain de sable qui fait pété le sablier" ou un truc du même genre xD...
Si c'est pas le cas, Google again.

Pfff sa m'énérve. Des que je fais quelque chose avec Netcat il m'envoie un message d'erreur.
Par exemple :
Et comme apparament il faut netcat pour cete épreuve, je galère.
Vous pouvez m'aider non pas pour l'épreuve mais pour mon problème avec Netcat?

Heureusement que non ^_^

Ok, merci sinon, vous savez pas pour mon problème avec Netcat ?

Pourquoi netcat?


C'est comme une calculatrice messieurs ;)

C'est bon pour le problème netcat :D. Sinon, pour l'épreuve, je vois de quelle faille vous parlez. Mais je ne vois pas comment l'exploiter :/ même en me renseignat sur google... Un indice pour l'exploiter svp autre que le grain de sable qui fait pétéer le sablier et la goute d'eau...
Merci ;)

On est 2

ouais *** cette épreuve ;)

Modération : bonjour, petit nouveau. On vaccine immédiatement :
jsui daccord mais c'était  un indice..

Lol, faut avoué que l'epreuve est speciale !

Je pense que cette faile est presque morte :).

Quelqu'un aurait un lien pour un tutorial simple sur les b..... o......
Car si j'ai bien compris c'est sa la faille mais je ne sais pas comment l'exploiter et pourtant j'ai chercher avec mon meilleur ami

l'épreuve est surtout trés simple...

Salut,

Si j'ai bien compris le nom de la faille dont vous parlez, eh bien je ne la comprend pas..... :cry:

Salut excusez moi je vais passez pour un nul mais il parrait que quand on pose une question on passe pour un con pendant 5 minutes alors que si on la pose pas on le reste toute sa vie ;)
Alors voila c simple je sature sur la première mission de hacking... J'ai essayer de sauvegarder la page html, de modifier le code avec un mailto... x) svp je suis perdu

Un pitit indice  :oops:
=) bonne soirée !!

c'etait la faille du buffer overlow mais cette epreuve ne marche plus c'est pour ça quel est barrer :)