En effet, le script php derrière le challenge n'établit aucune connexion vers l'extérieur (ce serait d'ailleurs une grosse vulnérabilité si c'était le cas)

Ah bon et pourquoi ? Si la faille est simulée il n'y a aucun problème comme pour toutes les épreuves de hacking.

Tout simplement parce qu'il serait alors possible d'envoyer quasiment n'importe quelle requête (y compris des requêtes malveillantes) vers n'importe quel site. Et dans les logs du serveur "victime", il y'aurait l'IP de NC. Ce serait un peu ballot, non ?

Contrairement à ce qui a été dit avant, il n'est absolument pas nécessaire de posséder un hébergement web quelconque.
En effet, le script php derrière le challenge n'établit aucune connexion vers l'extérieur (ce serait d'ailleurs une grosse vulnérabilité si c'était le cas), il se contente de "faire comme si", et si le payload envoyé est correct, ce qui doit arriver arrive...

En ce qui me concerne, j'ai émulé le serveur externe avec un truc du genre www.example.com (RFC 2606)

Encore une épreuve qui encourage le brute force pour sa résolution : il m'a fallu presque une centaine d'essais pour trouver la bonne requête.

Typiquement, c'est vrai.
Et typiquement encore, ce sont les premières épreuves, il en faut pour tous.
Un dernier typiquement pour dire que les dernières épreuves (à partir de "Une histoire de porte en gros") ne sont pas simulées.

1- Les regexp, ça existe.
2- Rien de tel qu'une réponse attendue préformatée pour encourager le brute force et retirer toute velléité de réflexion.

Je ne comprends pas trop l'argument "il en faut pour tous" vu que la réponse à cette épreuve ne découle que partiellement d'un raisonnement simpliste, le reste étant juste une question de chance.

C'est un peu l'échec cette série de challenges : vu que le comportement est simulé par un script, si on ne sort pas la requête telle qu'elle est attendue, ça ne marche pas.

Typiquement, dans ce chall, ça se joue au caractère près, même si celui-ci n'a aucun impact sur la réussite de l'injection...