NewbieContest

bonjour à tous , :cool:
je me baladais sur le web à la recherche d'une faille include , j'ai trouvé un site étrange ! au fait j'ai trouver un arborescence qui m'a menée vers le fameux dossier unclude ! dans ce foutu dossier il y a deux fichier (connexion.php et verification.php) ! il n' ya pas une faille include sur le site car on dirait bien qu'il génère toutes ses pages web via un bd et certaine son statique . le répertoire include est accèssible via http sans mot de pass et login parcontre en ftp si ! alors comment faire pour lire le contenu de ces deux fichier sachant que le dossier include contient bien un htaccess mais pas d'autentification ! aussi j'ai reussi à avoir le non de deux table dans la base de donnée et en plus dans les requete il utilise des variable get non securisé !

Ok... rien compris... Tu repasseras quand tu pourras expliquer mieux

Enjoy

The lsd

ok voila le code ci dessous !
$id_art= $_GET['id_art'];
include("foo/include/connexion.php");
$req_art = mysql_query("SELECT * FROM gd_articles,


on voit très bien que le web masteur fait appel a son fichier de connexion habituel pour se connecter a une base de donnée !

on tapant dans le navigateur : www.lesite.com/foo/include/ tu accede au contenu du repertoire "include" et ce dernier contient deux fichiers dont connexion.php et verification.php .

C'est pas un site de piratage ici...

vous oubliez que pour éviter de se faire pirater il faut se mettre à la place du pirate en essayant de se pirater sois meme selon les failles les plus connues du moment ; et en plus c'est pas les chalenges qui font de l'homme un bon programmeur ! j'ai un probleme avec mon site web et je dois le resoudre vite , alors pas le temps de faire les chalenges pour le moment mais ça viendra !

Dans ce cas, si c'est pour te protéger, commence par mettre un index.php ou .htm dans tes dossiers, histoire de ne pas tomber sur la liste des fichiers en parcourant^^. Même si l'index est vide, c'est pas grave.

Pour ce qui est de récupérer les fichiers, tu n'auras pas la réponse ici (sauf si ça devient le sujet d'une épreuve, auquel cas, tu trouveras seul quand même en la résolvant :lol: )

++

Le problème, c'est qu'ici c'est un site de challenges. Donc si un membre relativement ancien qui a déjà bien participé au site et que l'on connait même de "vue" sur IRC ou sur la shout, ce genre de question ça pourrait à la limite passer.

Mais là un mec qui s'inscrit, qui essaye même pas un seul challenge et qui crée directement un topic qui ressemble énormément à "svp aidait moi à hackay se site" ben ça peut pas passer. Tu veux sécuriser ton site contre les failles include? pas de souci on peut te donner des tutos. A c'est pas ça que tu veux? et oui faut pas nous prendre pour des cons hein...

C'est surtout ça qui n'est pas crédible...

Enjoy

The lsd

Owned by The lsd !

Votre crédit de vie est épuisé: GAME OVER !


Ca me fait penser aux enfants qui arrachent les ailes des mouches "juste pour voir".

Apprendre c'est bien, comprendre c'est mieux,
Le savoir est une arme, inutile cependant de tirer à vue sur tout ce qui bouge !