NewbieContest

bonjours je suis nouveau et j'ai éssayer le chalenge 4 de hacking et voila ce que sa ma repondu

alors que je me suis contenter de prendre le nom d'une page dans la source car elle me paraissai bizar.


PS : desoler pour l'orthographe de paraitre je vais éditer quand j'aurait été rechercher mes cour de français ^^

Ca arrive, c'est pas grave.

Bon. Etant donné le nombre de personne prenant peur en voyant cette phrase, je propose qu'on la change ou la retire parce que bon, les topics juste pour ça ça va quoi :)

Pour répondre à celementnoob : Ne t'inquiètes pas, le FBI ne va pas débarquer chez toi.

je sais que je vais pas avoir d'homme en bleu qui vont venir m'arreté mais bon on ce demande ce que sa veut dire :/


HS : vous savez comment voir la source php d'un site ?

Documente-toi sur le PHP et apache avant de sortir des inepties pareilles, voyons...

Oui ce message est banale, pas de quoi t'affoler, tant que tu ne reçoit pas le message disant que ton ip est blacklisté ca devrait passe.

Heureusement pour nous que cela est impossible !!
T'imagine le truc sinon, toute les connexion a une base de donnée requierent un mot de passe, et ce dernier serait visible par tous le monde ?
J'en passe et d'autre...

Donc absolument impossible de voir la source depuis ton navigateur, pour la simple raison que c'est un language interpreté niveau serveur puis renvoyé sur ton navigateur, donc plus aucune trace de php.

La seule facon, est d'avoir accès à la page en dur.

je sais qu'on ne peut pas voir le php quand on fait afficher la source mai je veut dire comment faire pour par exeple y'a un formulaire avec du php fait avec if ben comment faire pour trouver le mot de passe ?

Bon, mon lameromètre réagit un poil, là...

Je recommence : documente-toi, au lieu d'attendre que les autres te sortent la réponse toute cuite.

ben je veut dire **No Sms** c'est possible de passer ce genre de sécuriter ?

(http://1001emoticones.com/smileys/boulets/06.gif)

Oui : il suffit de saisir le mot de passe «kangourou».

PS : merci de faire un petit effort sur l'orthographe.

Ba aspire la page =D

OK je => []

hmmm ça me dit quelque chose le coup du mot de passe "kangourou"... ça vient d'où déjà ?

Mr_KaLiMaN : Tu te pointes du doigts toi même là non ? :P

Ca vient pas su Site du zero le kangourou ?

Sinon ouais Mr_KaLiMaN s'autovanne !!!

PS : je mets le topic ailleurs il est pas trop a sa place dans hacking

Enjoy

The lsd

Je me disais aussi :)

j'avait mit que sa venait du sdz

Bon, j'étais venu sur ce Topic à cause de la petite phrase assassine (obtenue simplement en faisant "page précédente" =( ).
Mais les réponses de Zours et Folcan sur le PHP me dérrangent un peu. En effet, il y a des tas de choses qui "théroriquement" ne sont pas possibles. =)
Mais néanmoins, certaines failles permettent de mettre à mal la théorie. :P
Ainsi, il existe une faille permettant de lire le php... et pas en étant sur le serveur :wink:

@+
Plug

/me remue l'oreille droite

Mais oui zours, comment ny a tu pas pensé, la faille show_source.

Ah bon sang, la célébrissime faille dite du CTRL+U, comment n'y ai-je pas pensé plus tôt ?
Mais bon, j'suis une merde en hacking, c'est normal que je pense pas à ce genre de choses. Faut que j'apprenne de nouvelles choses,là...

Bonjour,

Dois-je prendre les 3 post précédents comme l'expression de votre mépris ou est-ce une façon maladroite de me poser une question sans avouer que vous ne voyez absolument pas de quoi je parle :) ?

Plug

Bon, si j'ai bien compris tu aurais potentiellement trouvé une faille sur le site/forum (j'ai pas tout lu, pas que ce soit du mépris mais ça m'excite pas plus que ça) dans ce cas merci de prévenir l'équipe NewbieContest (newbiecontest@gmail.com)
également newbiecontest@n0ne.org ou encore directement les administrateurs du bazar, j'ai nommé S0410N3 et Nebelmann par message privé sur le site (éventuellement moi (bufferbob@laposte.net) en dernier recours, au mêmes adresses)

Pas d'affolement :? . Je n'ai absolument pas cherché de faille sur le site/forum. => Je ne risque donc pas d'en trouver :D.

J'ai simplement fait une remarque sur la soi disant impossibilité de lecture du php, présentée comme évidente par 2 autres posteurs à un débutant.

Il s'agissait d'une remarque d'ordre général et non d'une affirmation précise sur ce site :)

@+
Plug

Tu fais bien d'préciser j'en avait perdu le sommeil, mort d'inquiétude que j'étais..

Pour reprendre le ton et la casse employés, j'attirerais votre attention sur le fait qu'en l'absence de preuves et/ou arguments tangibles pour ettayer vos propos, ce post fait ni plus ni moins office de 'troll' vide et sans fondement, et jusqu'à preuve du contraire donc, il n'est effectivement pas possible d'avoir accès au code d'un script PHP (sauf situation particulière, non précisée).

Considérez en outre le ton, au mieux austère, dudit post comme étant un paramètre non négligeable et un motif implicite de casus beli relationnel menant de manière certes inconsciente, mais néanmoins humaine, à vous envoyer balader sans se soucier du niveau de langage usité.

Cordialement,

BufferBob

Salut,

Tu pourrais détailler un peu ta méthode pour lire le code php s'il te plait ? Si c'est possible ça peut toujours être intéressant et puis en détaillant tu te ferais moins chambré par les autres posteurs ( à mon avis ) ...

... c'est l'oeuvre du malin, cela ne fait aucun doute !
Brûlez-le mes frères, brûlez-le pour le bien de notre sainte église !

Enfin, pour répondre à sa question, je dirais d'aller relire ce qui est écrit plus haut, peut-être qu'ainsi son esprit sera éclairé par la sainte lumière du Newbie...

Il s'agit tout simplement de la faille Include() lorsqu'elle est couplée avec une construction de page par lecture (ligne à ligne) des fichiers déposés sur le site.
Par exemple:
Etant donné que cette faille est l'une des plus classiques, je ne pensais pas avoir besoin de la citer à des anciens dont les scores au challenge hacking avoisinent les 100% :? Faudrait qu'on m'explique là... Car si je l'avais fait, j'aurais effectivement compris qu'on me chambre :)

Est-ce assez détaillé, BufferBob ?

Pour pied de mamouth :J'espère que c'est fait. Deux précisions quand même :
- Ce n'est pas [h]ma méthode[/h] (la faille est plubliée depuis des lustres)
- Ce n'est que l'exploitation d'une faille (il faut donc que la faille existe sur le site victime)

@+

"mdr" !!
Quelle faille extraordinaire, comment n'y avait-on pas pensé avant ?? Mais bien sûr, c'était évident, d'autant plus qu'on peut l'appliquer à pas loin de 90% des sites écrits en PHP... faut tout de suite que j'aille essayer sur les sites des gros éditeurs de logiciels, ils me récompenseront sûrement !!

D'une manière ou d'une autre, tu es quand même obligé de passer par le serveur, ou alors par télékynésie, mais j'en doute fortement... ":shock: données, données, je vous contrôle, vous êtes sos mon pouvoir, téléchargez-vous sur mon bureaaauuuu, je le veeeeuuuux !!! :shock:"

Voui, tous les sites bâtis en PHP lisent les fichiers en ligne par ligne, c'est bien connu, c'est tellement pratique :rolleyes:... Rhalala...

Bon, dernier essai pour vous convaincre. Après j'abandonne :cry:

La faille Upload permettrait de charger le php de lecture (voir code de mon précédent post).
On est effectivement là sur le serveur (sans télépathie il est vrai :) )

Il faudrait donc un site qui cumule faille Include et Upload.

A Nebelmann, qui à l'air épris de statistique, tu mettrais quel pourcentage pour trouver un site qui cumule les deux ?

Néanmoins, il faut quand même faire remarquer que la simple faille Upload permet de nombreuses possibilités et qu'elle devrait suffire pour lire un fichier php.
NB: je parle au conditionnel sinon BufferBob va me demander des preuves :D

Désolé mais je ne peux pas faire mieux.

Au plaisir de vous lire :wink:

Donc c'est bien ce qu'on dit.

On NE PEUT PAS voir le php de n'IMPORTE QUEL site. C'est IMPOSSIBLE.

Ce qui est possible par contre, c'est que le site possede une faille, qui te permette d'executer le code PHP de ton choix. Et FORCEMENT si tu peux executer du php, tu peux lire les "autres" fichiers PHP pour en voir le contenu.


Bien sur que les personnes a qui tu parle connaise les failles upload (il y en as 3 dans la section Hacking) et les failles include (il y en as quelque une aussi).

Je pense qu'il savent ce qu'ils disent en disant qu'il est impossible de voir le source d'un fichier PHP, ce que tu propose toi, est un moyen de CONTOURNER le probleme, pas de le RESOUDRE .


(en esperant etre clair)

bah, il y a une solution conne.
t'installe apache mais pas php.
tu met un fichier php sur ton server.
et hop, il ne l'execute plus mais l affiche.
bon ok ->[]

Démonstration faite ^ tu as tort Plug, et ce qui est nettement plus grave et dont j'ai une sainte horreur personnellement, tu fais ton malin malgré tout à prendre tout le monde de haut ("dernier essai pour vous convaincre. Après j'abandonne", pour ne citer que la plus flagrante hein) et à croire que tu dis des trucs super interressants là. C'est pas le cas.

CQFD...

Non BufferBob, je ne fais pas mon malin. Et je ne prends personne de haut non plus (sinon je n'écrirais même pas ici).

Je défends mon idée, c'est tout :
Dire à un débutant qu'on ne peut pas lire du php me semble erroné et pas très pédagogique (puisque s'il le croit il ne va jamais essayer)
D'autre part les sarcasmes des vétérans contre ce pauvre malheureux (je ne sais plus son nom) qui demandait simplement si on pouvait lire du php ne me semblaient pas très justifiés.
Il suffisait de lui répondre que le php était interprété (donc pas lisible sur la page elle-même) et que la solution de l'épreuve ne résidait pas dans une tentative de lecture du source php.

Nous ne sommes donc visiblement pas d'accord, mais pour autant je n'en déduis pas que tu as tort =)

Je ne prétends pas non plus dire des choses interessantes pour les initiés. Mais sauf erreur, le Forum est accessible à tous, et ce qui y est dit est peut-être interessant pour ceux qui y apprennent quelque chose. :idea:

Nous n'avons apparemment pas non plus la même vision de l'humour puisque tu prends au sérieux toutes mes remarques. :(
Dommage... CQNFPD :?

Hourra encore un nouveau-venu donneur de leçon =D

/me attend la suite

Serait-ce un fake ?

http://netcat.sourceforge.net/source.php?url=/source.php

s'trop facile de voir les source d'un fichier php ;)

sinon pour avoir la source d'un site en entier avec le php
il suffit qu'il traine par la une faille download et le tour est joué :rolleyes:

une faille downoad ?

Faille Upload je connais, mais download...

Enjoy

The lsd

ouioui, la faille download,
quand tu download un truc sur un site ca ouvre un porc et pendant ce temps tu peux exploiter le bête.
http://ideas.repec.org/p/cir/cirpro/1997rp-02.html

non exemple

download.php?file=tétropcons3th.exe

et bien la si la faille n'est pas sécuriser tu peux download tout le site

en clair c'est une faille include coupler avec un download

Diantre !
Et imaginons que ca fasse
download.php?file=la_super_page_avec_tous_les_axx.php

Ca risque pas de l'executer plutot que de la dl ?

Enjoy

The lsd

nn justement c'est sa la faille sa download et sa execute pas

mais aprés je pense que le fichier download.php doit etre concu d'une facon un peu spéciale :rolleyes:

alors la je susi tres septique...

Enjoy

The lsd

a par que sa soit k-lu qui l'a inventer mais sa m'étonnerais

Ca doit être possible, en envoyant un bon header avant, et en faisant un fread au lieu d'un include...

C'est sur que si tu tiens a te faire owned tu peux carrement mettre en lien un rar avec les axx et les sources du site =D

Enjoy

The lsd

Sinon ya une methode bien plus simple, tu te log en ssh en 0 et tu peux lire les page avec la commande cat tonfichier.php

Ok je sort aussi -->[]