NewbieContest

Arfeu, je pense avoir trouvé la faille mais j'arrive pas à l'exploiter...:cry:
En meme temps pour 13 pts, il faut pas que ce soit facile facile non plus......
Mais j'y arriverai, parole de Besch...
Je vois pas trop comment valider. J'ai essayé des trucs, mais ca marche pas.. Je voudrais pas trop en dire non plus, mais est ce qu'il suffit de faire comme si le fichier pouvait exploiter la faille, ou est ce qu'il faut que le fichier soit réellement méchant???

C'est une simulation de faille, meme si le fichier est réellement méchat, il y a des protections derrieres qui le bloqueront...

Elle ressemble a une autre épreuve de hack je crois, c'est pas le meme principe je suppose ?

Edit : en fait j'ai trouvé quelque chose d'interressant, il est un peu tot pour le dire (si c'est bien ca), mais c'est pas du tout comme l'autre epreuve.

Enjoy

The lsd

La config de php aurait-elle une importance ?
Enfin c'est ce que je pense d'ailleurs :wink:

La config de php??? Ben ca doit pas etre ce que je pense alors... =( diantre fichtre diable !

Edit : j'avance a grand pas, mais pour moi il n'y a pas besoin de changer la config de php. Je me rapproche du but la. Bien joué aux deux personnes uqi ont deja trouvé...

Enjoy

The lsd

superbe épreuve. La config de Php et quelques négligences du webmaster sont la faille de cette épreuve :)

arf !  Ca veut dire quec'est pas en rapport avec le type MIME ? Galere moi je cherchais la dessus... Bon ben je repars a zero :evil::twisted:

Enjoy

The lsd

t'étais sur la bonne voie :)

j'ai joué sur l'url et je suis tombé (sans comprendre pourquoi) sur une erreur 404. Je pense pas que ce soit une faille 100% upload (point de vue personnel, peut-être que je me gourre.....)

Si t'es tombé sur une erreur 404 c'est pas une faille upload... Sinon pepekiss je peux t'envoyer un PM pour te poser une question ou deux? Par ce que sur le forum j'en dirais trop...

Enjoy

The lsd

13 points quand même... ;)

Mouarf j'ai reussi a uploader un fichier mais je sais pas si je suis sur la bonne voie... quelqu'un qui a reussi pourrait m'aider svp :?

J'aimerai bien comprendre le but, j'ai uploader un fichier php en changeant simplement l'extension, le type mime rete php, il me dit
Votre fichier a été correctement uploadé ! Merci de votre participation. Ca veut donc dire que le fichier est passé?
Si oui, n'est ce pas une faille? Bref avec vos histoire de sinulation. Au moins dans la réaliter quand on est sur le panel admin de l'hebergueur, on c'est que c'est bon.

je voudrai asvoir que devient le fichier après ? est il supprimer ou garde ? parce que j'ai envoyer un .exe peu orthodowxe :D

lol reveille toi! c'est de la simulation, ya un minimum de securité alors ton exe... :rolleyes:

Reveille toi aussi, meme un vilain virus en exe, ne fera pas bobo a apache, je ne pense pas qu'il tourne sur windows.

on sait jamais .... enfin bref tant que je reussi l'epreuve^^

Je crois avoir trouvé la solution, mais quand je modifie ce qu'on appelle le type MIME des fois je tombe sur un 404, des fois il ne se passe rien...
  Est-ce que ça se joue sur l'ENCTYPE du formulaire ?

J'ai pas encore fini l'epreuve, mais je pense que tu est plutot sur la bonne voie au niveau du type MIME, par contre je ne crois pas qu'il faille toucher au ENCTYPE (j'en suis meme quasiment sur...) Mais par contre je vois pas comment tu modifie le type MIME?

Enjoy

The lsd

Je ne pense pas qu'il faille changer l'Enc, sa valeur est exprès pour des Uploads, si tu la changes, tu ne pourras plus uploader de fichiers ( enfin, à moins qu'il faille changer l'En en quelque chose de spécial...Que je ne sais pas xD)

Oui j'ai vu ça ! :D
Mais par contre l'ENCTYPE contient en valeur un type MIME...
Dans ce cas comment bypasser tout ça ? :s

Je viens enfin de la finir, et franchement, elle est superbe, réaliste, tout comme il faut !!! Bravo au créateur (je ne sais meme pas qui c'est tiens!)

Allez on passe aux autres maintenant !

Enjoy

The lsd

Bonjour
Moi je galere toujours
j'ai essayé d'envoyer un fichier avec le type mime jpg et l extension php ca marche pas
puis j'ai essayé d'envoyé un fichier avec le type mime php et l'extension jpg cela ne marche pas non plus je suis a cour d'idées!
Faut-il faire un script en local pour réussir cette épreuve?
merci

Vraiment sympas cette epreuve :)

image/php sa marche pas ^^ ?

sinon faudrait il trouver le fichier ****.***** ?

edit : voila voila c'etait juste une question ^^

Ben allez y donnez la reponse tant que vous y etes  !!! :evil:
Comme ca vous aurez meme plus a chercher ! Laissez voir les autres chercher un peu, comment vous croyez que les premiers ont fait ! Si vraiment vous avez besoin d'aide, envoyer des messages avec la messagerie du site, mais pas en disant quasiment la reponse!

Enfin bon, moi je m'en fout je l'ai deja reussie, mais je trouve ca un peu abusé de dire tout ca sur le forum !:evil::evil::evil::evil::evil:

Enjoy

The lsd

Encore faut-il le trouver...
Normalement, il est pas accessible... à moins que je dise une connerie aussi grosse que moi =D

Un grand merci pour cette epreuve vraiment sympa.
Seul bemol, comme c'est une faille emulee, bah y a pas 36 solutions.... Mais c'est d'autant plus valorisant quand on trouve !! (j'ai mis 2 jours et franchement c'est trop TOP !! )

Merci et @++

Sachant  /* censored, chutttt ! c'est dans ce gout la si je t'ai bien compris... */

Est-ce que je suis sur la bonne voie ou faut-il faire une tout autre chose car si c' est cela la faille, il ne me donne aucun code de validation.
J' ai donc fait cela pour rien ( j' avoue ce n' était pas compliqué lol ).

Merci de me répondre.
Bonne soirée.

Salut tout le monde comment sa va ti ?

voila juste un petit renseignement le mime vous faite comment car je ne trouve aucune reponse avec mon ami google autrement l'epreuve et tres interressente voila aller bonne chance a tous

moi je bloque un peut mais il faut que j'y arrive aller courage on en viendra a bout surpasons nous

alors la je ne comprend plus: j'ai upper un plop.php renommer en plop.png, ça marche, mais que dalle. il me confirme l'upload, c'est tout
:/

Normal, puisque ton prog php a maintenant une extension png, il ne sera pas executé par le serveur. Donc dans un cas réel, cette manip ne t'aurait pas permi de pirater le site :wink:

Bonjour

J'ai essayé de modifier le type-mime en altérant directement la requête à l'aide d'un logiciel. Cependant, ça ne marche pas. Est-ce que je me trompe de méthode?

Edit:/* censored, chuttt, ca donne un peu trop d'aide la quand meme */

A quoi bon envoyer des fichiers si vous ne savez pas ou ceux-ci son envoyer?

Désolé mais là je bloque vraiment... j'ai bien cherché ces histoires de type MIME, j'ai essayé de faire un script en python pour lancer une requête modifiant le type, j'ai essayé avec netcat, ça passe pas, comme si ma requête n'était pas bonne, alors que c'est presque la même que lorsque je sniffe une requête avec un fichier normal.

Soit je cherche trop loin, soit y a vraiment un truc que j'ignore, mais j'ai beau chercher sur notre célèbre ami avec 2 "O" je ne trouve pas de solution. A moins que bien sûr je ne cherche pas ce qu'il faut.


=>Laissez tomber, y avait une erreur dans ma requête http, j'ai réussi finalement.

ouarf après avoir galéré sur l'épreuve "un peu de logique" que j'ai pas réussit, je suis passé à autre chose plus simple !

j'ai essayer en modifiant les donnée envoyé par firefox avec Entête HTTP en direct j'ai modifier le type mime, l'extension plusieurs donnée mais ça ne marche pas
j'ai une erreur 400 c'est pas la bonne méthode ?

j'ai lu sur les posts qu'il faut trouver un fichier mais je vois pas le quel :shock: je vais voir pour ce fichier mais pour ma méthode c'est pas bon ?

utilise ça pour altérer les donnees
/* censored, laisse les un peu chercher, si on donne tout c'est plus drole ^^*/

ça y est je l'ai validé merci, j'avais bien trouvé comment exploité la faille mais mon modificateur d'entête ne faisait pas bien le travail :) j'avais une erreur 400 bad request ...
Merci ;)

Cette épreuve a un problème ? L'orsque je clique sur acceder à l'épreuve:
EDIT: CA ME FAIT PAREIL A QUELQUES AUTRES EPREUVES

Pour la deux mille six cent quatre vingt septième fois : Free déconne grave et les admins de NC n'y peuvent rien.
Ne faudrait-il pas faire une news à ce sujet (en supposant que les gens lisent les news ce dont je doute malheureusement... :/ ) ?

Et pas la peine de crier, hein. Un peu de jugeote permet rapidement de constater que :
1) les hacks sont hébergées par Free (suffit de lire l'url).
2) une connexion sur les pages persos de Free qui échoue, personne n'y peut rien à part Free.
Il faut croire que le but de NC, qui est d'apprendre à utiliser sa tête, est loin d'être accompli. :)

Si tu le di =D

Et puis, non, touts les hacks ne sont pas chez free :)

Cava, pas trop dur cette épreuve **** Censurez si j'en dit trop.

Pour la deux cent quatre vingt dix huitième fois¹ :
http://www.newbiecontest.org/punbb/misc.php?action=rules

Pour discuter des solutions, les afterwards sont là.

Quelqu'un a demandé quelque chose ? Pourquoi intervenir, alors ?

C'est pas une excuse. Quand on soupçonne qu'on en dit trop, on ne dit rien. Le but n'est pas de se faire mousser au nombre de messages postés dans le forum.

¹: quand je relis mon message précédent dans ce même fil, je me dis qu'il faudrait une FAQ. :) Sauf qu'elle ne serait que peu lue...

Hello ,

je bloque sur cette épreuve, validée par peu de gens par rapport a la précédente.

alors si jamais quelqu'un avait un petit indice,

ou si vous pouvez me dire si cette epreuve est uniquement du Hacking, ou si il faut utiliser d'autres methodes au cours de la manip, (ex: Cracking, JS, Logique, Crypto, Programmation )
- je les ai tous mis pour que ca reste vague


merci  ;

C'est du "hacking" ouaip... 'fin ça entre dans aucune autre catégorie réellement.

Ah oui cette epreuve est vraiment bien il ne faut pas un plugin ?

Si j'en dit trop sencurés ^^.

Disons que l'on peu en effet ce servir d une extention de firefox.
Mais il y a d autre methode tout aussi efficace.

Un indice ( censuré moi si c'est trop ) Modération : tes désirs sont des ordres.
m43str0 Was Here !

m43str0,

Il y a deja beaucoup d indice, relis bien les topics precedents

J'ai beau farfouiller dans ce forum pour m'aider je n'arrive toujours pas à trouver la faille.
Z'auriez pas un ch'tit indice supplémentaire svp? A moins que vous jugiez qu'il y en a déja trop sur ce topic...

apple88

Re-lis bien on vas pas rester le répéter  :rolleyes:

Je vais essayer de te donner un indice ; Habite dans un maisons invisible ( et donc vie en invisible )

hein !?! Mais ca veut rien dire ca ! Une maison invisible ??? Et moi, je suis un modo invisible ?

Enjoy

The lsd

Mdr The lsd le modo invisible. C'est vrai que son post voulait rien dire, j'ai pas compris grand chose, même si à la base il voulait m'aider, enfin bon... Ca partait de bonnes intentions je suppose...

apple88

Non :D simplement réfléchir Qui fait l'homme qui vie en invisible :D ( une épisode des Supernana ) C'est même un métier !

The lsd, j'ai peur. Rassure moi, c'est normal si je comprends rien ???  :shock:

apple88

Ok Je suis pas bon en indice mais si tu comprenez mon indice tu trouveras rapidement la réponse

bon on va pas epiloguer sur le sujet, ton intention est bonne de vouloir aider la pomme mais tout ce qu'il faut pour réussir l'epreuve est dans le topic

la pomme : Je te rassure c'est normal ^^

Enjoy

The lsd

La modif du header ne fonctionne pas (les image ne passe mm plus)
du coup est ce que je suis sur la bonne voie ?

(répondez moi par mp si c'est trop ... )

thx d'avance ^^

Comme l'a dit ce cher the lsd plus haut, tout est dans le topic. A mes souvenirs, la solution y est presque totalement exposée. Tu n'aura plus qu'à te documenter dessus via google, et hop, tu verras tes points augmenter  :wink:

apple88

alors la je ne comprend plus rien  :| j'arrive a uploader mon fichier mais le probleme c'est que rien ne se passe ? =(

Regarde les info que tu peux trouver dans cette épreuve, aprés, tu fonce te documenter sur google, et hop, le tour est joué. Tu verras, un fois le probléme à peu prés cerné, elle n'est pas bien dûr  ;)

apple88

Apparemment il faut s'amuser avec L**** H*** H***....mais je tombe à chaque fois sur une erreur 400... C'est du à ce plugin qui marche une fois sur deux ou je peux me remettre à travailler ma requete qui est completement foireuse ?

Utilise un sniffer pour voir exactement ce que tu envoies au serveur et corrige en conséquence, l'outil que tu utilises est un peu stupide sur les POST.

Donc c'est possible avec L*** H*** H***** ? j'arrive pas a voir cette outil est un peu stupide avec les POST ?
J'ai même essayer avec HK** sous IE, mais le problème de ce programme c'est qu'on peut pas simuler un envoi de fichier
Quelqu'un aurais un indice ?

Pulunpaka

As tu au moins essayé de faire ce que Spaulding t'as conseillé de faire ? (cf. post au dessus du tien)
Il t'as également précisé que l'outil dont tu parles a quelques difficultés en ce qui concerne les méthodes utilisant la méthode POST, pourquoi ne pas changer d'outil, voire en faire un par toi même ?

Salut,

Impossible d'accéder à l'épreuve, j'ai aussi ce problème avec l'épreuve "Toujours réfléchir... "
Le type de lien a changer et au finish, je ne peux me connecter (Délai d'attente dépassé)

Quelqu'un sais ce qu'il se passe ?

Merci

Ton proxy ne doit pas autoriser le port 10080.
Tu as l'air de te connecter de ton école donc bon...

S0410N3 is watching you ^^

Enjoy

The lsd

si ce satané Liv...... marchait correctement je n'aurais pas passer 2heures sur cette épreuves !!! en tous cas elle est super !! yper réaliste !

T'es sur que tu ne veut pas dire luciferé(Que celui qui adore mes jeu de mots mette sa jambe derrière son oreille, et dise "Zoum, voila ou va l'avion")

salut a tous!petit souci avec cette epreuve, je reussi a uploader un fichier .EXE la page me repond
Votre fichier a été correctement uploadé ! Merci de votre participation. et rien!!?
quelqu'un pourrai m'orienter?
 :shock:

Si tu as réussi à envoyer l'exe, il faut que tu réflechisse à la seule chose logique à faire. ('fin à mon avis, on pense pas à la même chose, mais chut :))

Enjoy

The lsd

ouais! ben j'crois que g manquer d'imagination sur ce coup la merci!!!
mais bon c dans la poche c l'important
 =) =) =)

Bonjour.

Après plus d'1 an sabbatique d'épreuve de Newbie Contest, et commençant une formation dans le domaine de sites web, me suis dit pourquoi pas recommencer ces bonnes vieilles prises de têtes ?  =)

Chose faite => 3 épreuves validées en 3 jours (en même temps, c'était pas fort compliqué  :P), dont le premier Upload.

On va donc s'attaquer au deuxième sauf que là... je sèche.  :/

J'ai relu ce topic et le celui du premier Upload, mais ça ne m'aide pas énormément.

J'ai tenté de modifier l'enctype et l'action mais après avoir lu le topic, je pense que je me goure.


J'ai bien 2 autres idées mais je n'ai pas envie de dire, de peur de ne donner un indice important (et j'aime pas passer pour le gars qui donne les réponses...  =( ).

Puis je demander à l'un de vous autres si l'une de mes idées est dans la bonne voie (de toute façon, j'en vois pas d'autre donc je suppose que c'est l'une des 2).

Faut dire que je m'attendais à un truc du genre: deviner un dossier mais là ça va un peu plus loin (et je n'ai pas un très haut niveau il faut l'avouer... XD ).

Merci d'avance pour vos réponses, et n'hésitez pas à me gueuler dessus si j'en ai déjà dis trop. ^^'

salut, regarde ce qu'il se passe lorsque tu envoie une image et que le site l'accepte...
des logiciels/extensions ont deja été cité dans le topic ta regardé autour de ça ?

Je suppose que l'image se stocke dans un dossier (qu'il faudrait notamment trouver encore  :rolleyes: ).

Pour les extensions, euh sur qu'il y en a dans le topic parce que je l'ai lu, et à part un certain type MIME (dont je me suis renseigner, mais que je ne vois pas trop à quoi ça pourrait me servir), je n'ai pas trouvé d'autre info.


Bon tant pis, vais poser ma question: est en rapport avec les entete HTTP ? (donc via HKit )

PS: Censurez moi si j'en dis trop.

EDIT: Comme extension, Firebug c'est bon ? (disons que j'ai trouvé une partie intéressante, enfin que je pense être intéressante. Maintenant, faut trouver comment lui faire accepter autre chose que des images.  :P Quelque claques, Google ouvert, et je vais y arriver ! Soyons optimistes.

Pour celle-ci, une recherche avancée sur google permet de trouver la procédure à mettre en place.
Pour l'avoir suivit scrupuleusement, celle-ci fonctionne parfaitement.
En ce qui concerne, les extensions de Firefox, elles sont utiles mais pas toujours efficaces si un autre programme X ou Y empêche les modifications que l'on veux faire.
Pour cela, et pour suivre le conseil d'un grand de NC,  le logiciel Wireshark permet de savoir réellement ce qui se passe, et de rectifier le cas échéant.
IL suffit parfois de changer d'OS pour ne plus avoir de soucis.
Patience et courage...sont deux mot du dictionnaire...  :D

Ok merci hisoka69.

Ce qui m'énerve c'est que je vois surement la partie intéressante, mais je ne sais pas quoi faire. J'ai tenté de modifier le type du MIME sans succès.

Je suis surement pas loin mais je nage un peu là.  :cry:

Je vais de suite télécharger ce logiciel et me reconcentrer dessus.

EDIT: Woooh ! Oo Vient d'installer WireShark, euh p'tite question: c'est quoi ce bidule machin chouette ?  :lol:

D'accord je pige l'anglais mais là...  :cry:

R2... D2... touché coulé.  :?

EDIT 2: Desolé encore d'emmerder mon monde (mais je me suis juré que je la validerai ! L'abandon n'est une solution nondidjû !  :evil: ). Et encore une fois, censuré moi si j'en dis trop: faut il tenter de deviner le dossier où sont stockés les images ou bien suis à coté de la plaque ?

Encore merci d'avance pour vos réponses et re désolé si j'en dis trop.

EDIT: Yyyiiiiihaaaa, épreuve validée !  =D J'ai d'abord essayé avec WireShark, mais un peu trop compliqué pour mon niveau, j'ai donc recommencer une énième recherche sur google, suis tombé sur un tuto bien sympa avec une extension pour Firefox, j'ai suivi le tuto et... c'est dans la poche ! Ca fait du bien de valider des épreuves ! ^^


Même commentaire que les autres, très belle épreuve qui me fera dormir moins bête ce soir !  8)

je suis sur que tu as la reponse en tête...

Salut tout le monde c'est pas trop dans mes habitudes de poster pour demander des indices mais vraiment ... je GALERE!!
Bon j'explique j'ai je pense déja trouvé la "solution"
Le **No Sms** c'est que j'arrive pas à envoyer un **No Sms** correcte...
Le beau serveur Apache se rend toujours compte que le fichier est en réalité un texte... alors que le change le C******-T***: *****/*** (vous avez compris)
J'utilise N***** ou encore T***** D***
...
Voila un petit indice merci =D

Edit: J'ai finalement trouvé le problème ca venait de mon fichier qui pourtant était en .p** ...

Je voulais juste savoir s'il était normal que l'on ne puisse pas accéder à la page de l'épreuve (http://hacking.newbiecontest.org:10080/ep17/ep17.php (http://hacking.newbiecontest.org:10080/ep17/ep17.php)) ou alors c'est juste que ça fait parti de l'épreuve ? D'avance merci.

On peut y accéder. Si tu te fais bouler avec une erreur 403, c'est que tu t'es pris un ban temporaire parce que tu as fait quelque chose qu'il ne fallait pas faire.

Ou alors encore une histoire de proxy ?
Quoique ce serait bien la première fois que je vois un étudiant au boulot si tôt !

Ben non, je me suis pas pris de ban temporaire ou alors je n'en ai pas été averti et je confirme que je ne peux pas y accéder. Comment savez-vous que je suis étudiant ?

J'ai le même soucis au lycée. Certaines épreuves passant par le port 10080, il est très probable qu'il ne soit pas ouvert.

Un coup de bol ! Comme tu as l'air d'avoir un proxy, tu dois donc te connecter de ton école/lycée/fac/entreprise. Comme tu t'exprimais correctement, tu ne devais pas être lycéen... (oups, je viens de libérer un Troll, désolé Chilly). Enfin, j'avais plus de chance de tomber sur un étudiant que sur un croque-mort !
Allez, et comme tu me vouvoies, j'en déduis que tu dois être en master 1 télécom et réseau...

Perdu juriste. J'ai remarqué que toutes les épreuves dont le l'adresse était du style :1800 ou un port du style bloque. Savez-vous comment ouvrir c port sur Windows XP ? D'avance merci.

Une méthode qui marche généralement très bien dans les lycées/fac  est le tunnelling. Je te conseille de bien réfléchir si tu souhaites le mettre en place car cela est considéré comme illégale dans l'université et peut avoir des très lourdes sanctions.

Ex: Les petits hackers qui se font repérés dans mon IUT son bannis pendant 5 ans de tous les IUT de France et sont grillés à l'échelle nationale!

Précision importante : je suis chez moi.

Illégal ? en quoi le tunneling peut ête illégal ??? Je vois pas trop pourquoi...

Ritonlafauche, si tues chez toi, regardes dans ta box

Enjoy

The lsd

Les hotspots Neuf Fon bloquent surement les ports foireux du genre 10800. Si tu peux faire du tunneling essaye, sinon demande aux admins de NC de changer le port ^^ (ou alors a ceux de Neuf d'ouvrir le 10800)

Enjoy

The lsd

@ lsd: Ce n'est pas illégal, mais c'est interdit par mon IUt en tout cas. J'ai eu l'occasion d'en discuter avec un de mes profs et il m'a dit que si ils bloquaient certains ports ce n'était pas sans raison. Donc si on arrivait à accéder à des service nécessitant un port bloqué (par ex par le tunnelling), cela était considéré comme du "hacking" du wifi qu'il mettait à notre disposition.

Vous savez comment autoriser le port 10080 sur son ordinateur (windows XP) ?

Si c'est ton ordinateur perso il n'y aucune raison qu'il soit bloqué à part si tu utilises un firewall donc cherche de ce côté là.

Vu la description que tu as faite de ta connexion, il y a de fortes chances que ça ne viennent pas de ton ordinateur, mais de la box sur laquelle tu es connecté.

Maintenant, pourrait-on arrêter de polluer ce fil dont le sujet porte sur une épreuve de newbiecontest ?

Salut, j'ai réussi à envoyer une page php, j'aurais voulu savoir si les 2 heures depuis lesquelles je cherche par guessing mon fichier qui est censé avoir été envoyé ont servies à quelque chose =O ?
Parce que pour le moment nada :(

Pas de guessing dans cette épreuve!!

pour info, de gros ralentissements aujourd'hui quand on veut se connect à hacking.newbiecontest.org:10080, VM en péril ?
pareil pour le forum, il est excessivement lent, tandis que la page d'accueil charge dans un temps relativement raisonnable...

Coucou les gens, j'ai comme l'impression que l'épreuve est en carafe, ca vient de chez moi?
@++

Une fois n'est pas coutume, l'épreuve fonctionne parfaitement.

oué au temps pour moi, ca vient du proxy... ceci dit j'ai toujours une erreur 400 lorsque je modifie mes envoies... je cherche à download Htkit, mais je ne trouve que des sites fermé, unpti lien pourrait m'aider... merci d'avance!!

Très plaisant à réussir ...

Un conseil : observer bien comment fonctionne le protocole http

Salutations,

J'arrive à uploader un .php, mais rien ne se passe, mis à pars un gentil petit message me disant que mon fichier est bien uploadé...  :lol:
Il ne me semble pas qu'il y ait cent façons d'3xploiter cette faille... :?

3dit: Le problème est réglé, désolé pour le poste inutile.  :rolleyes:

Cordialement,

Bonjour,

L'épreuve est down actuellement, http://hacking.newbiecontest.org:10080/ep17/ep17.php

"La connexion a échoué"

Merci

Combien de fois faut-il le répeter : la VM qui héberge les epreuves sur hacking.newbiecontest.org:10080 est down !
Et on ne sait pas pour combien de temps...

D'accord merci, et désolée si le problème avait déjà été soulevé.
Je ne suis pas venue sur NC depuis des lustres, je voulais juste prévenir au cas où.
Merci
TiteFleur

bonjour a tous
je sais pas pour vous mais moi j'ai acces a cette epreuve (bien que j'arrive pas a la finir)

La VM est opérationnelle depuis un certain temps  :P

d'accord merci bien
j'en profite pur demander un **No Sms** conseil car j'ai bien compris le challenge mais un truc m'echappe.
j'essaie de jouer a l'homme invisible avec une partie du nom de mon fichier a uploader mais il voit bien tout.
google est mon amis et j'ai essayer differentes methodes meme si celle qui est null me parait quand meme la plus probable.
suis je dans la bonne voie?

Pas vraiment...
Essaye de comprendre comment fonctionne la vérification, ça devrais t'aider.

Epreuves très sympa :) .

fier de moi j'ai réussi à faire cette épreuve , mais lorsque j'obtient le code pour valider l'épreuve on me dit que celui ci n'est pas valide, il y aurai t'il une epreuve cacher a l'interieur de celle-ci ou alors un bug ???
merci d'avance de m'éclairé !!

Si tu as un message qui te dis clairement que tu as réussi l'épreuve, c'est bon. Évites de faire un copier coller du pass (ca évite de coller des caractères non imprimables).

Enjoy

The lsd

Ah j'ai réeussi, mais j'ai testé nombre d'extension firefox qui ne fonctionnait pas, je peux donner celle que j'ai utilisé en MP pour ceux qui veulent.
/* modéré : man afterwards */

Bonsoir à tous,

J'ai réussis comme certains auparavant à afficher le "good boy" à savoir la phrase :"Votre fichier a été correctement uploadé ! Merci de votre participation."
Il s'agissait bien d'un fichier en .php
Mais après?
Faut aller voir du coté des cookies? ou je fais fausse route  =|

Il a du avoir une erreur ^^' si c'était un .php cela t'aurais affiché le pass. Utilise Tamper Data (je le redit même si dans ce topic on l'a déjà dis) un plugin de firefox pour cette épreuve

Ben ouais donne la solution carrément... :rolleyes:

Bonsoir,

j'ai compris le but de l'épreuve, mais je pense que je n'utilise pas les bons outils.
J'ai testé pas mal de plug Firefox mais tous sans succès.

Donc j'en cherche un autre, si quelqu'un peut m'éclairer par MP, ça serait cool.

Merci.

J'utilise actuellement T*****-D***, le resultat est :

400 - Bad Request

Merci.

Voilà, c'est pareil, je pense que j'ai réussi à changer correctement le Content-Type, mais pour la suite je vois vraiment pas.

Bonjour,

la VM qui héberge cette épreuve est-elle down une nouvelle fois ?

Quand je tente d'accéder à l'épreuve, je tombe sur une erreur "La connexion a échoué".

Démenti officiel de la direction : la VM est très rarement down. Ce qui ne signifie pas que toutes les épreuves sont toutes fonctionnelles à instant donné, mais la nuance est de taille.


La VM fonctionne parfaitement. Je pense que tu devrais surtout vérifier qu'il n'y a pas un firewall quelque part qui te bloque l'accès au port 10080 du serveur.

Merci pour ta réponse.
C'est effectivement le firewall de ma société qui me bloque...
Mince, vais plus pouvoir faire semblant de travailler maintenant !!  :lol:

Un petit plugin firefox est l'épreuve est réussi avec succès  :twisted:

Bien joué... Utile ton post, c'est pas comme si ca avait été déjà dit...


Enjoy

The lsd

Je disais juste ce que j'avais utilisée pour finir l'épreuve ........

Il y a les afterwards si tu veux expliquer ta méthode de résolution, ca ne pollue pas le topid d'aide ;)

Enjoy

The lsd

Oups désolée d'avoir pollué le topic d'aide.

Effectivement, la faille est exploitable avec ce log, mais après, suffit de savoir l'utiliser. ;)

J'ai lu les 9 pages de topic et c'est pas marqué, donc : j'ai fait une ou deux manip avant d'uploadé un script php et je suis tombé sur : " pour des raisons de sécurité, votre fichier n'a pas été uploadé ".
Suis-je sur la bonne voie?
Ps : je ne veux pas d'aide, juste savoir si je me plante complètement ou pas, merci.

Je pense que ça c'est normal mais je me trompe peut être  =)
en tout cas, j'ai tout essayé (enfin presque tout) même d'altérer des données mais je ne trouve pas =(

Moi c'est ce que j'ai fait avec t***** d*** et j'ai trouvé ce que j'ai dit plus haut. Bon, je m'y remet!

Edit : maintenant je suis tombé sur "une seule extension suffira, merci"
Je sens que je me rapproche.  =)

Edit : Je l'ai eue, c'est bon, je suis heureux

Je ne pense pas que tu sois sur la bonne voie. J'ai fait l'épreuve il y a assez longtemps et je dois dire que c'est soit on upload le fichier que l'on souhaite uploader et ça marche ou alors on a une phrase dans ton genre qui indique que le fichier a été refusé.

hi everybody it's my first post

i thing that there is a problem with this challenge .. i cannot open the CH Url "The connection has timed out" this makes 3 days that i'm trying

Thanks

Check your firewall. The hacking challenges are hosted on a virtual machine running on port 10080.

Hi _o_ thanks for your answer i turned off my firewall but no solution ! ( i have only the windows firewall btw )

I'm not sure that turning off the firewall is a good solution. :)
Anyway, the challenge works well. Something is filtering your requests to the port 10080, but I don't know what. Maybe your xDSL box (if any) ? Or a poor Internet provider ?

Bonjour, c'est mon premier post sur le forum. :) Voilà, j'ai réussi à envoyer un fichier HTML sur le serveur et pourtant je n'ai pas le mot de passe de validation mais juste une phrase me disant que le fichier a bien été uploadé... Dois-je trouver le fichier sur le site ? Merci à vous pour la réponse. :D

PS : Désolé pour mon écriture...

Bonjour,
Tout comme pour la 1ère épreuve d'Upload, après envoi du fichier, et dans le cas ou tu aurais réussi, tu auras droit à un joli message de réussite  :o
(autre que "Le fichier a bien été uploader")

Bon courage

C'est bon, épreuve validée. C'était juste une erreur de fichier de ma part ^^

Très bonne épreuve qui est vraiment réaliste !

http://downforeveryoneorjustme.com/http://hacking.newbiecontest.org:10080/ep17/ep17.php

serveur down ? J'étais justement sur le point de la valider celle là :o

Bonjour
j'ai un problème avec cette épreuve:
je l'ai réussi mais je n'arrive pas a la validé, le code de validation que l'ont ma donné n'est pas bon.
Est-ce normal ?

Non. Il faut demander le remboursement.
Plus sérieusement, l'épreuve fonctionne parfaitement, je te conseille de lire la FAQ.

Alors, cela doit venir de mon pc.
Mais j'ai vu aussi que l'épreuve n'a pas été validée depuis Vendredi.

Je chercherais plutôt de l'autre côté du clavier.


Ce qui n'est pas exceptionnel. Et entre-temps, elle a été validée deux fois.

C'est bon sa remarche  =)

Après lecture des topics précédents et plusieurs essais, je suis perdu ! J'essaie /* Modéré : on ne donne pas ses démarches, même fausses */ mais rien.
Je suis sur la bonne voie ou je dois partir d'une autre piste?

cherche autre part...par exemple dans des plugins...tu peut tromper le systeme d'upload mais a toi de voir comment  ;)

Heuuu, Salut !

/* modéré : oui, mais non */

Ai-je fait une erreur ?

PS : si ce message en dit trop long, censurez-moi.

Probléme d'extension, il s'agit d'une simulation de faille donc toute les extensions ne doivent pas fonctionner.

Comment peux-tu affirmer cela, alors que tu n'as pas le code source de l'épreuve, et sachant que tu as lu la démarche non modérée de BlueLight ?!?


Aucune. A part qu'il n'y a aucun intérêt à faire ce que tu as fait. Pose toi la question, dans un cas d'attaque réelle, quel est l'intérêt d'un formulaire d'upload mal fichu ?

Oua! Mais je n'affirme rien.
Ce que je voulais dire, c'est qu'il avait un probléme avec son extension et que donc l'épreuve ne peut pas être validé.
Or sa démarche etait bonne, (il a réussi à faire ce qu'il voulait, mais l'épreuve n'est pas valide avec /* modéré */).

perso j'ai fini l'épreuve et sa m'affiche le code de validation et quand je le copie colle il disent que c'est pas le bon

Le code marche ;)

Excusez moi, mais je trouve un peu beaucoup idiot de cacher le nom de l’extension pour firefox pour faire cette épreuve.  C'est à ca que ca sert ce forum, s'aider à réussir l'epreuve, le fait de savoir quelle extension installé ne veut pas dire que tu as compris quoi faire avec.  Ca fait des jours que je cherche, j'ai déja installé "Modify Headers" mais je crois pas que je puisse le faire avec ceci.  Il y a bien longtemps que j'ai compris ce que je dois faire pour réussir cette épreuve, et le fait de chercher le bon outil sur internet ne m'aide en rien à rehausser mes connaissances de hack.  Merci de m'avoir lu.

Si on donne le nom de l'extension, c'est presque donner la réponse, tu googles 2s et t'as plein de tutos.
De plus c'est une extension très connue. :)

Sommes-nous sur un site d'épreuve pour trouver des outils et des extensions pour firefox ou pour approfondir nos connaissances sur le hack ?

Écoute, on va pas résoudre l'épreuve pour toi. Si tu ne veux pas chercher cette extension, c'est ton problème, mais y en a plein qui ont réussi l'épreuve sans qu'on leur dise, donc tu peux le faire aussi. En plus y a même pas nécessairement besoin d'une extension de firefox pour faire cette épreuve.
Ensuite, le site il est pas fait pour approfondir tes connaissances de hack. Il est fait pour qu'on s'amuse sur des challenges informatiques, et pas que "de hack" (je sais pas si t'as vu mais y a d'autres catégories) et le but est de t'apprendre à chercher par toi-même. Et c'est comme ça que tu amélioreras tes connaissances, en cherchant par toi-même. En plus tu trouveras ça beaucoup plus intéressant de résoudre une épreuve tout seul comme un grand plutôt que de simplement valider l'épreuve parce qu'on t'a dit comment faire.

Asteriksme, ou ai-je demandé qu'on résoudre l'épreuve pour moi, j'aimerais que tu me cites.
Tout ce que j'essai de dire c'est que c'est pas parce que tu sais installer Borland C++ que tu sais programmer (métaphore).  C'est la même chose ici.

Ceci clôt le sujet. Merci

L'épreuve marche très bien vue d'ici ;)

Une nouvelle fois, je tiens à faire remarquer que la plupart des épreuves de hack sont accessibles sur le port 10080, ce dernier étant rarement ouvert par défaut dans les infrastructures sécurisées et/ou les box personnelles.

Fini en dix minute, assez simple, comme tout le monde le dit, /* Modéré : c'est vraiment pas la peine de nous donner ton autorisation. D'ailleurs c'est "modérez-moi" qu'il faut dire. */ modérer moi si j'en dit trop est qu'on me passe au bucher =)

Ouais, "simulation de hacking" est à prendre avec des pincettes... C'est bien moins compliqué et réaliste qu'il n'y parait xD Le script peut vraiment prendre des vessies pour des lanternes...

Cette épreuve, je la trouve très réaliste au niveau de l'exploitation ...

Bonjour,

Quand je veux accéder a l'épreuve, " le serveur ne réponds pas ".
Pouvez vous m'aider?
C'est cette URL qui pose soucis : http://hacking.newbiecontest.org:10080/ep17/ep17.php

Merci,
X0.

Ça marche très bien ici.

pareil

C'est probablement du à un problème de proxy qui n'autorise pas le port 10080.
Essaie à partir d'une autre connexion.

Enjoy

The lsd

le problème semble venir de mon fai, à défaut je suis passé par Tor

ERREUR

L'URL demandée n'a pu être chargée
___
Je suis sous proxy aussi.

Bonjour,
voila je suis sur cette épreuve depuis ce matin , mais ne comprends pas vraiment l'utilité d'uploader un fichier php ...
En effet j'arrive a uploader un fichier php en le faisant passer pour un fichier .jpg
Mais étant donnée que je n'est pas la direction de mon fichier je ne peut donc pas exploiter cette faille avec un simple shellc99 ...
Je sais je sais c'est mal de demander de l'aide mais la je veux bien un ou deux indces ;)

Tu dois upload ton fichier comme pour upload ton shell sur un site.
Réfléchis, je l'ai validé en 2minutes ...

Oui en effet mais si je comprends bien je dois heberger un fichier sur un serveur pour recevoir les informations de mon fichier que j'ai uploader c'est ca ?
Malheureusement il faut codé sa en php et j'ai énormément de lacune dans ce domaine la ...

F50 il est d'ailleurs tellement fort qu'il se sent obligé de bruteforcer le serveur pour avancer...

KBtarantino, les failles sont simulées.

Partant de ce fait, à toi de voir si uploader un shell va vraiment te donner accès à un serveur :)

heu non pas gagne encore mais je continue de reflechir, c est pour faire un upload de fichier en http, comme autoit est capable de recevoir des donnes via la method post, autoit peux lire le STDIN via consoleread c est dans la meme logique pour un formulaire standard sauf que il y a un truc qui m echappe, mais quoi je ne vois pas.

une ou deux second apres le debut de l envoi j ai une fenetre qui me dis que la connexion a ete reinitialiser, je me souvien plus exactement du message et dans la console de zmws j ai
 
 erreur lors du passage des variables post
 code retoure 200

une idee?

merci pour le deplacement du post

J'ai le vague sentiment qu'il y a peut être des éléments de méthode dans ce post (pas forcément juste d'ailleurs), mais bon comme j'ai strictement rien compris au post, je vais pas y toucher.

Quel déplacement de post ? Accessoirement, peux-tu écrire français s'il te plaît ?

Pas beau pour un premier post...

F50 merci.

c'est trop bête pendant 1/4 d'heure j'essayais de valider l'épreuve et puis après j'ai regarder que le script ne valider que les images jpeg
et je mettais jpg depuis tout à l'heure  :?

Hahaha, je galère pendant deux heures en faisant la bonne manoeuvre: "fichier non-uploadé pour raisons de sécurité". Il m'a juste suffit de JETER LA POMME par la FENETRE pour que la manoeuvre, qui était juste, s'effectue correctement. Cette dernière phrase pourrait p-e aider certaines personnes qui sont dans le même cas que moi :p

Bonjour, cela vient-il de chez moi ou bien l'épreuve est indisponible ?  =)

Non, ça vient de chez toi.

Peut être un problème au niveau du port ;)

Enjoy

The lsd

Merci the lsd c'est de nouveau en place  =) Plus qu'à réfléchir maintenant.

Il vend de la drogue ? Il triche sa femme ? C'est un agent secret ?

Faut tricher alors ? Bon ben c'est sa du hacking ?

En gros faut hacker ? Par métaphore sa voudrais dire : Ouvre la fenêtre pour que la fenêtre sois ouverte ?

Donc 2e indice en lien avec le premier : Mange tes céréales pour que tes céréales sois mangées

Je donne un indice sans avoir résolu le problème , c'est choquant ça !

Merci, j'ai rien compris mais j'ai bien rigolé

je n'arrive pas à charger la page est-ce normal?

Moi ça marche très bien

Tu as surement une configuration qui te bloque au niveau du port 10080. Un firewall peut être ?

Enjoy

The lsd

J'oubliais que j'étais connecté sur un hotspots ... Cool Merci

J'ai pus envoyer un fichier php et il est accepté cependant je ne vois pas ou est le challenge :S
Je ne comprend pas comment sortir de la un mot de passe :S

Bonjour,
Je voudrais savoir s'il y a des personnes qui n'arrivent pas à accéder à l'épreuve?
Parce que c'est mon cas.

Vérifie si le port 10080 est bien ouvert.

on ne le dira jamais assez... :rolleyes:

J'ai essayé de regarder mais je n'arrive pas à l'activer.
J'utilise un mac os Lion.
Savez vous comment gérer les ports?
J'ai regardé dans les paramètres du par-feu mais il n'y a rien de concluant.
Merci d'avance.

C'est au niveau de ta connexion que ça doit bloquer, pas au niveau de ton ordi. T'es dans un réseau étudiant/professionnel ? Passe par un VPN ou un proxy, ça ira mieux.

Enjoy

The lsd

J'utilise un hotspot. Merci je vais essayer votre conseil.

Une épreuve vraiment bien pensée. Je viens juste de la finir mais j'ai tout de même bloqué sur le format .jpg qui est différent de .jpeg attention   :!:

Pour ceux qui sont sûrs de fair la bonne manip mais qui n'arrive pas à valider, 2 conseils :

1) pensez a lire le poste du dessus !
2) ne forcez pas la chose ca vient peu-être pas de vous... =D (30 minutes pour me rendre compte de ce point la !!!  :oops:)
 

Bonsoir bonsoir,

Je viens d'obtenir le 'soit disant' mot de passe pour valider l'épreuve, mais lorsque je le rentre ça ne fonctionne pas.
Pour réussir l'épreuve /* Modéré */

Le code de validation que j'obtiens commence par c et finit par d, que dois je faire pour que la validation fonctionne ? je ne comprend pas.

Merci d'avance,
Nico.

Bonjour,
Je viens de refaire l'épreuve, ça marche très bien. Vérifie bien l'exactitude du mot de passe que tu rentres, si tu fais un copier-coller vérifie que tu ne prends pas un espace avec, et sinon vérifie que tu rentres ce qu'il faut, ça devrait passer.

Edit: et sinon, quand on poste ce genre de message et qu'on réussit l'épreuve une minute plus tard, ça serait pas mal d'éditer, histoire que les gens ne s'emmerdent pas à essayer de résoudre un problème inexistant.

Bonjour,
J'ai l'impression d'arriver après la bataille puisque plus personne ne poste sur les sujet, mais j'ai cherché des indices sur le forum (ce que j'ai lu m'a un peu induit en erreur), mais une fois que j'ai réussi, je trouve que cette épreuve était vraiment géniale !
Félicitation à l'auteur Romao !

Bonjour,

J'ai un petit soucis de connexion à l'URL du challenge (http://hacking.newbiecontest.org:10080/ep17/ep17.php).
J'utilise IceWeasel, j'aurai juste aimé savoir si quelqu'un pouvais tester ?
Pour savoir si cela viens de moi.. ou non.
Je tiens également à préciser qu'il n'y a QUE cette page à laquelle je ne peut accéder.

Merci,
Cordialement,
CrΨpT

P.S : L'erreur est : 'The connexion was reset while the page was loading".

OK pour moi, c'est pas l'épreuve :)

Enjoy

The lsd

Salut salut !

Voila, je tente de passer cette épreuve, et malheureusement mon navigateur n'arrive pas a afficher la page correspondante.

J'ai tenté avec les 3 navigateurs les plus connus, sans succès.

Est-ce qu'elle est down ?

Merci de votre retour.

Voilà voilà !
Comme d'hab, un firewall ou un proxy qui bloque. Travail ? Résidence universitaire ?

Enjoy

The lsd

Bonjour,

Non je ne pense pas, je suis chez moi, et ma box ne bloque pas le trafic.

Je vais voir si y'a un truc qui deconne sur ma box mais bon, j'ai de sérieux doutes.

Merci.

Bonjour à tous,

J'ai le même problème également, pourtant je suis sous kali donc pas de pb de pare-feu, etc..
De plus, j'ai accès au challenge suivant qui pourtant est sur le même port...
A voir.. 

Cdlt,
CrypT

Et ben coup dur pour vous !

Plus sérieusement, j'ai pas de souci de mon coté. Essayez avec un autre accès internet (au hasard, en 3G avec le téléphone), le browser (on sait jamais), un AV un peu trop présent, choses du genre. Quel est le code retour HTTP, quel est le code source de la page, des choses du genre.

Enjoy

The lsd

Salut à tous,

Je bloque un peu sur l'épreuve mais je pense que je suis sur la bonne voie.

Sans vouloir trop en dire je modifie le Content-type de mon fichier juste avant l'envoie grâce a un Mod super sur Firefox.

Je pensais enfin arrivé sur la Page tant attendu et la surprise on ne peut uploader mon fichier pour des raisons de sécurité...

Pourriez-vous simplement me dire si je suis sur la bonne piste ?

Très chouette épreuve, réalisée grâce à toutes les recherches effectuées pour le précédent hack "upload" mais qui s'avère plus simple que celui-ci ;-)
Vachement pratique qd même les extensions Firefox ^^

guiliu les afterwards c'est pas là pour rien  ;)

Salut,

Il m'est impossible de charger l'épreuve, est ce normal ?

Salut,

Elle fonctionne très bien chez moi.

Si tu es au boulot, peut-être que le port 10080 n'est pas autorisé en sortie ?

J'ai beau modifier quelques trucs, je tombe sur une erreur 411 Lenght Required après avoir cliqué sur envoyé :(. Quelqu'un a eu un soucis similaire?

Bonjour,
Le message est pourtant assez explicite ;)

Keep up !