NewbieContest

salut
est ce que vous pouvez me donner un petit indice pour cette épreuve svp
Je sais qu'il s'agit d'injection sql et je suis sur que ce que j'entre devrait fonctionner si la faille n'était pas simulée

essaye autre chose, j'ai mis plein de solutions, mais pas toute effectivement !

Il semble que ce ne soit pas une solution classique en tout cas.

J'en ai essayé des tonnes, et aucune ne marche.

Est on censé connaitre le login (indice donné sur la page...) ou faut il le bypasser par l'injection?

S'il y'a d'autres indices je prends ;)

Je suis aussi intéressé par la réponse à la question de Blockparty.
Perso, j'en ai essayé des tonnes mais les possibilités sont super nombreuses donc un **No Sms** indice serait pas de refus... Genre faut-il utiliser des commentaires? Utiliser un login particulier (comme le dit Blockparty, avec l'"indice"...)? Utiliser des majuscules ou des minuscules pour les "mots de liaison"?
Merci d'avance!

L'injection ne ce fais ici que dans le password etant donné que le login vous est donné ;)

Oui, les commentaires sont de rigueur, les majuscules je ne sais plus trop mais je crois que oui aussi pour les mots de liaisons

nan y pas de difference entre majuscules et minuscules , les 2 sont acceptées .

Il semblerai que pour les liasons sql ce soit case sensitive, il voulais pas me le valider en majuscule.

Rhâ j'ai essayé pleins d'injection SQL mais aucune ne marche è_é
J'aurais pourtan cru que si a était égale à a sa aurai marché :rolleyes:

Ben le problème en général t'as pas qu'une solution pour faire une injection SQL, y'a 50 façon d'arriver au même résultat alors pour peu que la réponse soit bonne mais pas prise en compte par le script de validation...

Ba comment on peut deviné la bonne solution alors O_o

Oula ca m'a l'air assez tordue comme épreuve =(

Bah tout simplement en essayant plusieurs possibilités! Autrement dit en se sortant les doigts! :wink:
Il y a réellement beaucoup de possibilités qui permettent de valider l'injection, donc il ne reste plus qu'à
essayer toutes les plus classiques que tu trouveras sur Google! :lol:

Ba c'estr justement ce que j'ai fait -_-'
J'ai été chercher sur google plusieurs type d'injection SQL mais c'est rester sans resultat...

Et bien c'est que tu n'en as pas testé assez :wink:
N'hésite pas à essayer plusieurs versions de la même injection, par exemple avec minuscules, majuscules...
Tu finiras pas trouver ne t'inquiète pas ;)

est ce qu il faut entrer dans le champs du mot de passe un truc du genre:

*********OR***********
??

ou est ce que le login nous est donné??
De plus est ce que quelqu'un pourrait m'orienter dans mes recherches??
moi je tape sur google: failles par injection sql et je trouve rien de trés concluant donc si quelqu'un pourrait  me conseiller un bon site pour apprendre et comprendre ces failles **orthographe !** sympas!!
merci d'avance

PS: Mon but n'est pas que vous me machiez le travail en me donnant un site avec la reponse mais juste un site avec de bonnes explication!

la réponse t'es clairement donnée de maniere explicite sur la page meme de l'epreuve.

c sur quil y a pa d'injection sql ds login? slmt ds password? :/

oui

Lol tisba92, ta remarque est tout à fait pertinente!

Effectivement, une "liste" de solutions a été implémentée et si tu ne tombes pas sur l'une d'elles, l'injection ne marche pas, alors que si la faille avait été réelle, cela aurait marché bien sûr! Moi aussi j'ai toujours pesté contre ce genre d'épreuves, car autant chercher un peu à la "roulette russe" style ça ne me dérange pas lorsque cela reste réaliste, autant chercher une bonne injection parmi les centaines de possibilités d'injections valides ds le monde réel ça m'a toujours saoulé. Malheureusement, cette épreuve a été faite il y a quelques temps déjà, et je ne peux pas la modifier. Il faudra donc faire avec.
Mais je te promets que les prochaines injections dans les nouvelles épreuves seront beaucoup plus réalistes ;)

On a foutu dans l'epreuve, une dixaine de possibilités differentes, en jugeant cela assez etendu pour pouvoir valider.

On c'est appuyé sur les gros tuts connu de sql injection, en implentant leurs methodes exacte.

Bonb c'est vrai que toutes les possibilités ne fonctionne pas, mais le choix est quand meme relativement large !
N'oubliez pas de passer la fi en commentaires ;)

Salut,

Bon je viens d'essayer une 10aine de soluce avec ?? ou ? a la fin et nada.

Une idée serait la bienvenue.

Je confirme, j'ai reussi cette epreuve, j'ai reteste avec la methode qui m'a permis de valider
et ca marche pas.

?? ou ? ne correspond pas a des characteres de commentaires en php...

Il s'est auto-censuré je pense... et tu veux certainement parler de commentaires SQL??

Ben oui c'est de l'auto censure, je parle bien de commentaires MySQL

Oui mysql pardon pas php c'est moi qui me suis gouré.

A savoir pour cette epreuve aussi que l'injection ne se fera que sur le password, le login etant donné dans l'ennoncé

N'oubliez pas de tester différentes versions tantôt avec majuscules et minuscules! La liste des injections acceptées n'est bien entendu pas exhaustive mais il y en a suffisamment pour  réussir à valider cette épreuve!

J'aurais aimer savoir pour cette epreuve quelles requéte il faut utiliser:   SELECT ou INSERT ou UPDATE. Voila sa maiderais bcp c'est peut etre aucun des trois mais bon voila.

Aucun des trois. Renseigne toi mieux sur les injections SQL, et sur le langage MYSQL en général. Et réfléchis ;)

**orthographe !** vu beaucoup d'exemple permettant de résoudre cette epreuve mais je dois me planter dans un truc ses obliger mais je voi pas quoi

c bon enfaite javais pas compris que ct pas toute la requéte qu'il fallai metre, mais juste un bout.

voilà ;)

mais il faut d'abort trouver le nom de la table... (du moin je pense vu que les autres injections ne marchent pas)
or je ne vois pas du tout comment la trouver...

Nop pas besoin du nom de la table, une injection sur le password suffit.

Et n'oublie pas que le login est deja specifié, donc pas a injecté !

Un conseil pour ceux qui ont compris l'injection SQL:

Faites attention a ne pas mettre de ' ( apostrophe ) à la fin !

Inatention qui m'arrive parfois bettement :'(


C'est certes bête mais frequent :D


Ps :: J'ai réussi du premier coup sans compter cette erreur, du 10eme en la comptant :D


a+

Mais ou c'est qu'il le disent le login ?

:?

Dans ton cerveau =)

DTC ??? =D

waaa ..... :|

Mon ariere grand pere etait chirugien, je lui demanderer de mouvrir le crane ...
Il a 102 ans ... =)

Ho, mais pq admin est entre guillement ? bizarre ca ... :)

a wouai =D
Je le savait hein ! ...
deux
trois

:|

Aaaaargh, je cherche, j'essaie mais je trouve pas,j'ai beau essayer des 1=1, 'a'='a', ISNULL(NULL), 2 BETWEEN 1 AND 3 et même CASE WHEN 1>0 THEN 1 END mais ça passe pas...
Peut-être est-ce que je me trompe dans la fin ou avec les guillemets, enfin bon, c'est pas ça qui va m'arrêter, il faut chercher à toute les épreuves et je suppose que celle-ci passera aussi...
Bonne chance à ceuxqui cherchent encore !

Les espaces sont de mise ou bien? (j' aime bien la suisse....)
J' essaie plein de truc repiqué sur 36000 forum et aucune de leur méthode n' a l' air de marcher....
Sinon il y a deux jours le message d' erreur était ==> Vous n' êtes pas admin!! et maintenant c' est ==> erreur d' authentification.... c'est normal?
ENfin bref je rame grave et j' ai épuiser tous mes forums et tous mes tutos....:shock:

Un **No Sms** coup de main ou un **No Sms** tuto que je ne connais pas serait le bien venu...
Merci @ vous!=D

aloa!

L' épreuve est toujours validable ou il y a un soucis?:?

 parceque personne répond aux post... je sais qu' on est tous occupé...

 mais bon j' ai mis un autre dans une autre section du forum et on me l' a fermé... jusque là je comprends! et c' est vrai qu' il y avait des éléments de réponses dedans aussi! donc je m' excuse pour ce post :oops: mais en même temps j' ai eut une réponse dans celui-ci...:/

Enfin tout ça pour dire que j' ai dû faire 1550 requêtes différentes en changeant un caracère à chaque fois! et toujours "erreur d' authentification"!

j' ai cru comprendre qu' il y avait plusieurs solutions... ben là je suis paumé! j' ai plus de requêtes, plus d' idée, plus de d' opérateur!

Merci @tous

Vous êtes sur que cette épreuve est validable ? j'ai du essayer au moins 30 fois et rien ne marche (en utilisant des " et des ')

1. Ne pas oublier les commentaires de fin
2. L'injection n'est possible que sur le password (le user etant donné)
3. Faites simple

Si l'injection se fait uniquement sur le champ password, quel interêt à y mettre des commentaires ? Cela aurait était plus utile pour dans le champ login, pour qu'il passe outre le password, non ?

Sait on jamais si ya un champs qui se rajoute lors du pretraitement de la requete...
Securitaire

tin trop chiante cette epreuve!
c super relou de chercher apres LA bonne solution pour une injection qui passerai de toute facon si on était sur un vrai site!
en plus on dit c'est super simple alors que non pas vraiment lolll
j'adore aussi que personne y me reponde quand je demande un truc(pas uniquement sur ce topic ci)
enfin j'espere qu'elle sera revue pour une future V3 parce que la elle craint lolll
et pas besoin de l'avoir validée pour s'en rendre compte

enfin comme y faut etre censuré pour etre lu j'ai deja essayé ca et ca marche pas:

***** cette épreuve fonctionne, c'est juste que tu sais pas faire une injection SQL...
Et si elle t'embête tant que ca, on t'oblige pas à la valider, un comportement tel que le tien n'est pas du tout le bienvenu par ici... *****

have fun et censurer ou deleter ce que vous voulez je m'en ***

@++

lmao ben si je sais pas faire d'injection, j'attend tes pm pour me l'apprendre lolll
ca me sera tres utile puisque je viens sur ce site pour apprendre car je n'ai pas la chance de tout connaitre moi!
enfin nebelmann te fache pas , si tu prend mal la critique  j'y peux rien moi j'expose juste mon point de vue lolll

mais si ca te derange tant que ca, moi non plus je t'oblige pas a lire mes posts(de toute facon personne le fais lolll)

faut etre moins stressé dans la vie mon gars!

pour en revenir au topic, si kkun a une pitite explication de pourquoi j'y arrive pas elle sera la bienvenue parce que je comprend pas ou je fais l'erreur(meme toi tu peux repondre nebelmann, moi je suis pas faché lolll)
merci d'avance
have fun @++

Hello

C'est étrange que tu n'y arrives pas effectivement.
Je l'ai corrigée l'autre jour et elle marche bien.

Et pour info il y a vraiment un bon paquet de syntaxes différentes qui passent.

Alors je vois pas ce que tu peux faire de travers :/ (J'ai pas vu tes injections)

PS : au passage j'aime pas trop le sarcasme surtout quand il n'est pas trop fondé. A bon entendeur...

je m'énerve pas, seulement le fait de gueuler contre une épreuve qui marche très bien et de donner tout un tas de réponse sur le forum, même si elles sont fausses, c'est pas trop dans l'esprit de NC...

Bon ben si on peut plus dire des conneries, alors :lol:

Bien sûr que si CommComm ;)

lolll 10/10 CommComm
pitite question: est ce que les comments postgreSQL fonctionnent aussi?
meme en remettant une requete complete pour porvoquer un crash ca marche pas(mais bon ca je me doute que c'est la protection qui me bloque lolll mais ca me etonne quand meme)

s0410n3=> puis je t'envoyé les injections que j'avais posté par pm?

nebelmann=> dsl si la frustration fait que je m'emporte vite(ca c naturel chez moi lolll)

tout indice est le bienvenu meme si c'est a la maniere de celelibi(espionet team)

Tu peux m'envoyer tes injections par pm oui.

Je crois que cette epreuve va me rendre dingue ^^ .

Je ne sais meme pas combien d'injections sql j'ai pu tester .

Vous n'avez pas comme projet, par le plus grand des hasards de rajouter quelques injections possibles dans la liste de validation =D ? ...  non :? ... bon temps-pis :lol: .




PS : Je rigole bien sur :wink: .

ton injection est fausse mais tu es tres proche de la solution relis tes tutos.

faux... mais j'ai fini par trouver... chelou cette epreuve :| mais j'ai appris un ti peu =)

je viens de la reussir (pas du premier coup...) avec une technique que j'avais deja utiliser mais avec un ' en plus mais bon je l'ai reussi et j'ai compris le principe de la faille =D

Est-il vraiment nécessaire de poster chaque fois qu'on réussit une épreuve ?

donc si je résume bien il y a des injections SQL qui ne marchent pas sur l'épreuve mais qui marche sur les vrais sites???

J'ai aussi deux questions:

-la première c'était pour vous demander comment on pouvait savoir si un site possédait cette faille??

-la deuxième: dans l'épreuve, y a t-il besoin de faire des requêtes parce que je n'ai pas compris si on pouvait voir les requêtes ou bien si c'étati simplement du code??

premiere reponse : ben tu essaye la meme technique...

deuxieme reponse : ca depend de ce que tu entends par requete... par exemple des que tu cliques sur un lien, tu envoie une requete au serveur (c'est donc transparent pour toi, mais tu l'as fait !)

ok merci bien pour les infos!!!

là je doit avouer que je seche :/
Vu que les indice sont donné avant, je vais résumer:
login=admin
password=case sensitve, et finir obligatoirement par ***

Bon bah j'ai fait au plus simple (OR) et ça valide pas :p

Surtout qu'on peux mettre des espace (ou pas) a certain endroit, case pour les commande SQL...
bref je seche, sniff (dommage j'en ai exploité une mieux rendu ailleurs par Nms :p )

Ouais, moi c'est pareil, les injections SQL me prenne le choux =D

Mouarf pas grave c'est pas une course =)

Pour information, j ai mis en minuscule ( j ai cherché un moment puisque je met tj en majuscule d'habitude )
voila, c'est assey simple, et court

Faut pas abuser les mecs y'a vraiment pas besoin d'indice pour une injection SQL, y a plusieurs solutions peut être mais qu'un seul raisonnement. La solution est dans la description, et d'ailleurs il en a déjà été trop dit à propos de cette épreuve.

Mdr saelyx, j'imaginais même pas te voir ici.

Enfin perso, je suis de son avis, même si il faut chercher un peu avant de trouver LE truc, LA solution exacte...

Voilà, c'est mon premier post sur le forum de NC, cela prouve que je n'abuse pas tant que ça !

Même si cette épreuve semble évidente pour certain et qu'assez d'indice ont étés cités je souhaiterai quand même demander quelques éclaircissements supplémentaire car je suis certain d'être proche de la solution.

Tout d'abord est-ce que quelqu'un peut clairement affirmer que le login est bien admin et non un quelconque dérivé du genre : Admin ou encore que les deux apostrophes ('admin') n'ont aucun rôle particulier.

Ce qu'ensuite je ne comprend pas (et honnêtement je me suis renseigné et crois bien comprendre la démarche nécessaire à la réussite de l'épreuve) c'est dans quel cadre il faut faire l'injection car si l'on connaît le login ne suffit-il pas de l'inscrire et de le faire suivre par le codage équivalent aux commentaires ? Ce afin de passer au dessus de l'analyse du mot de passe ?
En parlant de ce fameux codage... lequel est fonctionnel ? Le carré ? La double soustraction ? J'ai même lu que celui utilisé en C marcherait également ? (Je brouille un peu les pistes afin de ne pas tout révéler aux suivants... lisez entre les lignes)

Bon maintenant en admettant que l'injection doit se faire dans le cadre du password : pourquoi la simple commande que l'on doit justement utilisée dans le cas d'une faille SQL ne fonctionne-t-elle pas ? (celle avec un = et des ' )

J'essaye juste de montrer que j'ai bien compris le principe et qu'à mon avis mes échecs sur cette épreuve sont dus à une trop grande restriction du code à utilisé (chose normale, je le comprend, sécurité oblige) et qu'en temps normal ce genre de faille de cause pas autant de problèmes.

Afin de parler à langues plus déliées... n'hésitez pas à passer par les Mps.

Merci d'avance de votre aide

Axone

de memoire:
C'est le carré
C'est le password
C'est admin
evite de mettre des espaces là ou il n'y en a pas besoin (ou remets en, je sais plus)
Apres il parais que la liste des test est longue, mais j'en ai chier aussi.

je viens de trouver une des solutions... la plus simple qu'il soit fonctionne (avec un commentaire en fin comme ca ete rappellé plusieurs fois...)

salut
j'ai essayé les injections notées ici
...

j'ai placé les injections dans le pass, le login etant donné
j'ai omis tout ' à la fin
j'ai rajouté ;// pour les commentaires a la fin des requetes

malgré cela , comme soeur anne , rien de rien


une petite aide ?
merci

Lis des tutos sur le sql ! Parce qu'apparament il te manque quelques bases et/ou tu fais des choses erronées.

merci du conseil , j'en ai lu et pas des plus mauvais



je n'ai fait que reprendre les indices glanés ici et la sur ce topic
ajouter des commentaires a la fin de la requete
ne pas placer le ' à la fin
le login est donné, l'injection se fait dans le champ du password,
bien qu'en exploitant une faille en reel on puisse fort bien placer l'injection dans le champ du login
pour bypasser le reste

salut a tous.

j'ai lu plusieur site sur google parlant de cette injection.

j'ai trouver une solution utilisant un commentaire

pour les connaiseur.

je rentre sa dans login avec la bonne valeur de var mais il me sort une erreur d'authentification.
faut-il utiliser une autre methode merci d'avance.

ça te dirais pas de lire le forum avant de poster ???
Ca a du etre ecrit 76 fois que l'injection ne se fait pas dans le login.

j'ai du en essayer une dizaine...dont la fabuleuse que j'utilise toujours la : %*£¨d@!?-( !
Mais kedal... alors j'préfere passer à une autre épreuve...si quelqu'un veut bien m'envoyer la requete exacte par MP ce serait sympa...

merci d'avance et bon hasard aux autres !

On est content pour toi mais pas de bonnes ou mauvaises solutions sur le fofo.
Personne ne t'en empêche ni te retient.
Pas de problème, mais on fait comment pour le mars et le reste ?
Merci et de rien.

en fait ce qu'on dit c'est comme pisser dans un violon -ExtenZ-...
http://www.newbiecontest.org/forums/index.php?topic=502.msg32693#msg32693 (http://www.newbiecontest.org/forums/index.php?topic=502.msg32693#msg32693)

Enjoy

The lsd

Haaa je bloque ^^

J'ai essayé des requêtes sur un script de connexion faillible, elle marche chez moi ... mais pas ici ^^
Bon je vais persévéré parce que pour le moment je ne voit pas pourquoi sa ne marche pas ...

Bonne journée

Dire qu'à un espace près je l'avais -__-'

En tout cas je suis content de l'avoir réussit !

OUF je viens de la valider !
J'ai un conseil a vous donner, rien de révolutionnaire, mais a mon avis INDISPENSABLE pour ce type d'épreuve :
Pour éviter de recommencer 40 fois les mêmes choses, et oublier des "combinaisons", faites vous un txt, dans lequel vous mettez ligne par ligne, et dans l'ordre, les combinaisons à tenter.

C'est tout con, mais en faisant ça, et avec toute les infos déjà présentes dans le forum, ça va tout seul !
ET SURTOUT, comme ça été dit 100 fois, ne cherchez pas trop compliqué !

COURAGE !

Je vais peut être paraitre stupide, mais l'injection SQL il faut la mettre ou dans la source?

Euh ...  :shock: pourquoi veux-tu la mettre dans la source ton injection ??? renseigne toi d'abord sur le sujet car a mon avis tu pars un peu dans la mauvaise direction  =D

C'est un peu vache le coup des espaces...

Bonjour, je viens de passer cette épreuve. Effectivement, même si je tenais la bonne solution dès le début (une solution qui aurait fonctionné en temps normal), j'ai dû tester plusieurs alternatives avant de trouver la bonne. A mon avis le script de vérification devrait être plus permissif, une simple expression régulière permet de traiter de nombreuses variations dues aux caractères blancs, aux diverses syntaxes de commentaires et à la possibilité d'utiliser ou non le ';' à la fin des requêtes SQL.

Bonne continuation tout le monde.

Même remarque que pour mon précédent message. Il est plus difficile de deviner ce que pense le programmeur du script de verification que de faire l'injection en elle même. Tout ça à cause de quelques espaces  :shock:

Je ne sais pas si c'est possible, mais il serait très intéressant de faire un test de ce style avec derrière une vraie base de données et donc faire une véritable injection sql, plutôt que de faire un script qui simule cela (comme c'est le cas dans bcp de site de ce style). Par définition la simulation n'est pas entièrement représentative, et c'est dommage que ca soit le point le plus difficile des épreuves.

Je salue tout de même le travail.

Même remarque pour ce message et l'autre : -_-

(J'avais écrit un pavé en guise de réponse mais finalement je trouve que le smiley est bien plus à la hauteur)

pfiou je viens de me lire les 8 pages ... : /

Et j'en suis toujorus au point de départ ... avec un avertissement de tentative de hack du site xD

ma question sera juste :

dois-je injecter mon code dans l'input de password ?

Bah franchement ... à ton avis ? si tu regarde bien la page, tu le mettrais où ton code ?  :lol: ( ne tente pas la shoutbox, beaucoup l'ont tentés, mais peu en sont sortis vivants, et surtout inaperçus  =D )
Si tu hésite encore je te conseil Google pour te renseigner sur la faille en question, comment l'exploiter, ce qu'elle fait dans la vie cette petite, toussa toussa ...
Sur ce bonne chance  :wink:

Que la force soit avec toi jeune padawan  =D

c'est validé :)

cool !
héhé

--nota--
si vous jugez que ce post donne trop d'indice, hésitez pas a modérer ;)
--/nota--

j'ai essayé pendant 2 jours, puis j'ai finalement réussi
il faut noter que ma requête était bonne, mais quelques petites choses à signaler :
-testé avec comms SQL et carré: OK
-ATTENTION AUX ESPACES !!!!!!! mon erreur était là !!! mettez en le maximum, puis essayez de les réduires un par un, cette épreuve est horrible au niveau syntaxe !!!

Bon courage a tous !

Le simple fait que tu te poses la question, te donne la réponse : c'est oui.

Bonjour,

je tenais vraiment a vous dire que cet epreuve est completement nulle.

et je pense que le mieux serait directement de l enlever.
le concepte de creer des challenge pour que les gens puisse apprendre est une super idée mais faites au moin des epreuves realiste !!!
parce que je suis desolé mais une injection sql reste une injection sql , y a pas a choisir certaine facon de la formuler une requete.

bye.

Je l'ai trouvé plutôt simpa au contraire, au moins on ne trouve pas la solution en 10 minutes. Serte il faut un peu de chance et encore, il faut juste chercher des articles sur le web.


Les épreuves sont dans un ordre de difficulté, les plus réalistes donc plus compliquées sont celles qui suivent. Je te souhaite d'avance bonne chance ;). Puis si tu veux une épreuve réaliste va sur des sites internet et test les tous et quand tu auras trouvé la faille en question là ça sera réaliste.

Salut,

Avec SQL Inject Me, je trouve quelque chose du genre

Server Status Code: 200 OK
Tested value: ******OR*****

Est-ce que je suis sur la bonne voie ?

J'ai essayé avec des minuscules de commentaires etc... mais ça donne rien.

Merci.

1- Ne jamais donné une réponse même si elle est fausse
2- Je ne sais pas si tu t'es rendu compte mais tu as floodé la shootobx avec ton logiciel.

Arf :/

J'savai pas que c'était ce genre de réponse qu'il fallait tapper dans le champs pwd.

J' m' édite alors :p

Juste pour savoir, cette épreuve a-t-elle subit des modifications depuis début 2008 ?

Parce qu'avec un autre compte je l'avais validé, mais maintenant que j'ai retrouvé le mot de passe de celui-ci je n'arrive plus à faire d'injection o_o !

Je ne pense pas, de toute façon tu dois tester de nombreuses injections avant d'avoir la bonne donc c'est normal que tu ne trouves pas au bout de deux trois essais.

Je n'ai pas lu tout ce qui a été dit jusqua maintenant mais...


wikipédia + sql injection + readingskillz(); + myBrain0.9beta(0.9pour la parti login...!) = epreuve réussie...

C'est vraiement tout ce qu'il faut comme indice pour cette épreuve

Je n'ai pas eu besoins de tout ça pour réussir l'épreuve. De maigres connaissances en SQL/PHP suffisent. Avec quelques recherches pour compléter le tout histoire de bien comprendre l'épreuve et la faille en question bien entendu. 

Salut a tous c'est mon premier poste sur ce forum ^^

donc en ayant relus les pages avant j'ai compris qu'il fallait rajouté un commentaire.
Ayant compris a quoi sert le commentaire je me demande juste ou il faut le positionner avant la variable toujours vrai ou après ?

merci a vous

Si tu poses cette question c'est que tu n'as pas compris à quoi sert la condition toujours vrai...

Je viens de la réussir, et je lui met un gros 0..
Totalement useless, car la solution je l'ai depuis le début et encore une fois un petit espace peut tout changer ...
J'ai fais plus de 20 requetes dans tous les sens ca n'a accepté que un seul truc.

je viens de la reussir et je lui met un beau 8,
j'ai adoré cette epreuve, 5 essai ont suffit,
il suffit de connaitre un minimum d'instruction de base sur  sql  et le tour est joué

Franchement trop facile,

je ne connais pas du tout les attaque par injection sql et franchement sur google le 1er lien ma suffi. meme pas lut les post du forum
désolé si j'en dit trop




@++

Euh je suis puissant ou strictement nul xD
Request Entity Too Large
The requested resource
/epreuves/hacking/verifhk8.php
does not allow request data with POST requests, or the amount of data provided in the request exceeds the capacity limit. Erreur d'authentification

Mon injection n'a pas l'air d'avoir fonctionné :p
Je continue ^^

Pour résumer les indices récoltés au long de ce topic, nous avons donc:

Le login qui nous est donné (qui est: admin).
Aucun code ne doit se trouver dans le login (donc ca ne sert à rien d'y mettre un commentaire à la fin pour sauter le pass)

Pour ce qui est du pass, d'après ce que j'ai compris il faut mettre le caractère du commentaire à la fin.
Et testé pleins de combinaisons en espérant tombé sur la bonne  :/

Bouh j'en ai essayé au moins 20 et pour l'instant aucune n'a fonctionnée.
Au niveau des "espaces" on pourrait en savoir plus ?

Je viens de re-tester l'épreuve, sur 7-8 essais j'en ai trouvé 4 différentes qui valident.
Si t'as fait 20 tests infructueux je pense qu'il est grand temps de remettre en question ta compréhension de la faille et de l'épreuve.

Oui peut-être aussi ..  :/
Le résumé des indications que j'ai mise est quand même correct non ?

Pour le commentaire il est pas nécéssaire, avec ou sans il y a des solutions qui marchent (tant que le tout est logique)
Et pour les combinaisons, ben pas besoin d'en tester 50, suffit de chercher dans les classiques.

Merci pour ton aide ;)

J'ai étudier quelque information sur internet avant de réussir cette épreuve.
Il faut connaître un peu le php et le SQL pour comprendre,
Moi j'ai utiliser le commentaire.

En fait cette épreuve c'est vraiment la base.
Même sans aucune connaissance en php ou en SQL, on peut réussir facilement cette épreuve.

Quelle galère cette épreuve. J'avais une syntaxe correcte du premier coup, et j'ai du en essayé 3 milliards de variantes mineures afin d'en trouver une acceptée... un joli zéro, et un grand merci à venom qui m'a permi de trouver la variante qui marche sur un site connu.

Salut

J'ai lu le tuto "Injection SQL" du site, les deux tutos de phpsecure, celui de commentcamarche.net ainsi que plusieurs autres trouvés en vrac sur google, mais je n'arrive pas à passer cette épreuve  :evil:
Je suis quasi sûr d'avoir compris le principe d'une injection SQL (bien qu'apparemment pas), d'autant plus que le travail a été mâché les 8 dernières pages de ce topic.
Je ne veux pas que l'on me donne la solution, mais j'aimerais bien envoyer mes centaines (ce n'est pas une expression ici) de tentatives à quelqu'un ayant passé cette epreuve pour comprendre mon erreur  :/

Merci d'avance

EDIT: Je n'y crois pas, je viens de trouver deux minutes après avoir poster ici  :lol:
Je mets un 10 à cette épreuve pour la simple et bonne raison qu'elle m'a obligé à poster ici et car se prendre la tête sur les épreuves, c'est çà qui est bon  =D

Je répètes quand même que cette épreuve est pas top dans le sens ou j'avais essayé cette injection de nombreuses fois, certainement à un espace près, mais c'est pas si mal qu'il n'y ait que quelques possibilités, je suis maintenant au taquet sur le sujet  =)

A coté du bouton "Editer" ya le bouton "Supprimer"

Si je puis me permettre un petit indice, Wikipédia est votre ami =)

Très simple cette épreuve, et bien poilante =D Merci !

Personne n'en demande,puis il y en a déjà assez comme ça, et vu le nombre de validations...

J'adore ton avatar  =)

@Thunderlord : j'ai juste regardé la page d'avant, j'ai vu que des personnes galéraient, alors j'ai posté un petit indice. J'allais pas éplucher le topic avant de poster deux lignes  =).

@Loic71 : merci, moi aussi j'l'adore mdr  :cool:

aahhh j'ai essayé 10 fois juste parce que je /* modéré : man afterwards */

Pour cette épreuve c'est une syntaxe exacte a rentré ce qui est dommage car en situation réel il y a plusieurs syntaxe possible pour le même effet :(

Oui c'est vrai, mais bon ça initie aux bases comme ça !

Bof, ça saoule surtout...

En tout cas, plus on va dans les épreuves un peu complexe, et moins on est filtrés.
Et c'est sympa de ne pas être filtré au mot prêt.

Je sais pas si c'est moi mais quand je met une injection sql qui je pense devrait fonctionné, la page ce charge et il y a un dépassement de délais.... par contre si je ne met pas d'injection j'ai bien l'erreur de login.... Est-ce normal ?

Pas vraiment, tu dois faire fausse route =) une erreur de syntaxe peut être ?  =)

Sérieusement, cette injection sql est totalement débile, puisqu'on a aucun retour sur ce qu'on test. En prod, on a en général une erreur explicite ou une page blanche, synonyme de "syntax error" dans la req, ce qui est déjà très informatif.

Les réponses acceptées sont trop restreintes, pourquoi ne pas refaire l'épreuve avec une vraie faille comme pour les épreuves plus dures, au lieu d'une simulation aveugle ?

Tu es bien sûr de ce que tu avances ?

C'est une requête tout simple.

bonsoir,
le login est admin ou 'admin'?

admin

Si je puis me permettre : La requette est extrement simple ! ( /* modération : faudrait pas trop pousser mémé, non plus */ ) Franchement , c'est le minimum a connaître pour les injections Sql !

Bonjour,

J'aimerai savoir au risque de paraitre débile, ce que vous voulez dire par "commentaire de fin" ?

Merci.

Il y a 10 pages de topic pour cette épreuve. Je pense que c'est largement suffisant. Cependant, si tu ne sais pas ce qu'est un commentaire, je pense qu'il faudrait que tu te tournes vers la programmation, ne serait ce que le html (même si ce n'est pas suffisant), pour comprendre.

Enjoy

The lsd

Mdr je maitrise le XHTML CSS  MySQL et PHP.
Je sais ce qu'est un commentaire sur les codes sources.
Mais la je vois pas trop le rapport avec cet exercice.  :lol:

Alors pourquoi poses-tu cette question si tu sais si parfaitement ce que c'est?
Sinon, je te renvoie à ce que the_lsd t'a répondu.

C'est bon j'ai réussis et avec un sois disant commentaire qui de plus est !  :lol:
Merci à toi tout de même.

Wikipedia est votre ami !

Faut vraiment se répéter partout! Personne n'a demandé d'indice  :rolleyes:
C'est plus qu'il n'en faut pour cette épreuve!

xxxxxxxxxxx

Modération : on ne publie rien qui ressemble à une solution ou un essai de solution.
Ah ... premier message...

Moi **orthographe !** Trouver Une Fails Au Niveau Du Mot de Passe Donc j'ai reusi

Edit de the lsd : alors ça c'est rigolo, des majuscules à tous les mots, sauf les deux derniers... Comme disait Einstein, il y a deux choses qui sont infinis... Bref, c'est pas utile de faire un post juste pour écrire ça. Et, accessoirement, on écrit faille, pas fails

C'est un peu l'échec cette série de challenges : vu que le comportement est simulé par un script, si on ne sort pas la requête telle qu'elle est attendue, ça ne marche pas.

Typiquement, dans ce chall, ça se joue au caractère près, même si celui-ci n'a aucun impact sur la réussite de l'injection...

Typiquement, c'est vrai.
Et typiquement encore, ce sont les premières épreuves, il en faut pour tous.
Un dernier typiquement pour dire que les dernières épreuves (à partir de "Une histoire de porte en gros") ne sont pas simulées.

oui d'ailleurs je suis en blocage total sur cette maudite porte  :evil:
 je vait finir pas appelé le serrurier moi  :lol:

1- Les regexp, ça existe.
2- Rien de tel qu'une réponse attendue préformatée pour encourager le brute force et retirer toute velléité de réflexion.

Je ne comprends pas trop l'argument "il en faut pour tous" vu que la réponse à cette épreuve ne découle que partiellement d'un raisonnement simpliste, le reste étant juste une question de chance.

De toutes façons je vois pas de quoi tu te plains, tu l'as réussie.
Si tu trouves que les épreuves sont mal foutues met une mauvaise note et proposes-en une mieux que les autres.
Le but des premières épreuves est de découvrir les failles, pas de mettre en évidence les multiples façons de les exploiter. Anyways, les réponses attendues sont en gros les exemples les plus fréquents qu'on trouve sur le web, donc j'appelle pas ça un brute force de tester 4 possibilités maximum.
C'est donc pas une question de chance de tomber sur la bonne réponse, et justement le fait d'avoir compris que certaines solutions peuvent dans certains cas, ne pas marcher fait réfléchir aux moyens non suffisants de prévenir ce genre d'attaques, genre je vois une faille, j'essaie de l'exploiter ça marche pas, ça veut pas dire que la faille est colmatée, il peut toujours y avoir une certaine syntaxe qu'est pas filtrée.

Sa va assez simple une recherche google et tout passe comme une lettre à la poste.

Ah, merci, j'avais du mal sur la fin.

après moult cogitations j'ai enfin réussi, le meilleur indice du topic est celui juste au dessus!

Je n'arrive toujours pas à trouver le mot de passe >< ! J'aai essayer tous les indices !

Y a /* Ouais mais non ! */ dans ce genre d'injection.

1min pour trouver, c'est rare ^^'

Ouep ben après multiple essais avec les injections de bases dans le passwd aucunes ne marche.
Tout le monde parle de wikipedia, j'ai tester celles de wikipedia (déjà tester précedemment mais bon, on est jamais a l'abris d'une faute de frappe)
Et en fin de compte je passe, pas la peine de passer du temps sur une épreuve comme celle ci...

Bonjour à tous, alors ça fait 3 jours que je l'essaye, je viens enfin de trouver, grâce à un tuyau donné plus haut dans le post.... donc quelques indices dont la plupart proviennent de ce même post, je ne fais que résumer...
/* Modéré : pas besoin d'indice, l'épreuve est très validée. Et pas besoin non plus de résumer tout ce qui est dit dans le forum : c'est aussi le but du site que d'apprendre à chercher dans un forum les informations utiles au milieu de... bruit. */

J'ai passé 3 jours à tester tout ce qui me passait par la tête, perte de temps inutile, soyez structurés, (avec le tuyaux précisé plus haut) et en moins de 5 minutes chrono  c'est terminé...(je vous jure)  ;)

Alors il faut quand même savoir que le script de vérification ne fait pas de véritable requête SQL, il fait des comparaisons de chaînes(probablement)... sur un véritable serveur en prod, une véritable requête sera exécutée et le système sera donc plus permissif.

Bon courage à tous, et je le redis, soyez simples et structurés

mais heuuuuu.... je voulais être un gentil petit garçon...  :cry:

Juste peu être dire de bien lire l'intégralité du post, vers la moitié il y a une technique très utile... comme ça ça reste dans l'esprit de la modération :)

Je me doute que c'est plein de bonne volonté que tu avais patiemment rédigé ton message. Mais ça commençait à faire beaucoup pour une épreuve de 2 points (oui, on sait, elle est simulée, donc mal fichue, ceux qui sont motivés peuvent la laisser de côté pour s'attaquer à une vraie épreuve). En fait, ma première réaction a été : "il aurait gagné du temps à donner l'injection qui marche". :)

Boh, je meilleur conseil que j'ai à vous donner c'est de ne pas écrire vos injections vous-même ! Ils disent qu'ils ont revu le script de l'épreuve en fonction des données les plus présentes via une recherche google sur le sujet ... J'ai passé une bonne heure à taper des codes différents puis finalement j'en ai pris un au pif sur google et ça a marché ^^

L'épreuve sur NC est plus difficile à réussir qu'une injection SQL sur une réelle zone admin   :lol:

ps: J'espère que je n'en ai pas trop dit ... En même temps vu le nombre de pages et d'indices qu'il y a déjà sur le forum...

Bonjour a tous,
je viens de réussir cette épreuve et je conseille à tous d'essayer de se faire une page en php en local via wamp ou easyphp et une base test contenant juste la table user avec le champs login et pass.

Essayer différentes façons de passer en local m'a permis en 15 minutes de rectifier mes erreurs.


Bonne chance à tous !  :D

 

Epreuve résolu en 5minutes. Je ne connaissais que très peu ce genre de faille ... Et avec Google et quelques tests, voila qui est résolu.

Problème basique d’injection … mais moins facile qu’il n’y parait.
Il ne faut pas chercher midi à quatorze heure /* moderated par the lsd : ça fait un peu beaucoup d'indices en fait. J'sais plus trop si tout ça est donné dans les 11 pages, mais bon, dans le doute... */
Et voilà , résolu en 2mn
Assez bête en fait, pas forcément représentatif d’une situation réelle, mais formateur car cela oblige à lire la littérature sur le sujet

Cette faille et l'une des plus basique et donc une des plus connus ... bonne chance pour les participent qui en pas encore trouver :)

Salut tout le monde,
Alors pour ceux qui postent (parce que certains viendront sûrement encore ici), je voudrai dire que l'épreuve n'est pas insurmontable.
Je dis ça dans le sens où je ne suis pas du tout un expert des injections SQL, et en 5 minutes j'ai réussi.
Donc si vous dites que vous avez essayé en vain pendant 3 jours c'est que vous avez simplement copié-collé des injections trouvées sur le Web sans réfléchir à la façon dont seront interprétées vos requêtes.
Alors réfléchissez et ne vous prenez pas la tête, c'est pas si compliqué ! Bon courage  =)

Epreuve ultra simulé ..

Passes aux suivantes, on verra si c'est "ultra" simulé ;)

Enjoy

The lsd

J'ai un peu bloqué sur l'épreuve avant de trouver la solution.
Faite attention aux types de commentaires ... un seul fonctionne (a priori) et personnellement ce n'est pas celui que j'utilise quand je fais du SQL. 

Épreuve validé , oufff

Oui forcément il ne faut pas chercher midi 14h lol, un bon tuto sql et hop :),
j'ai réussi en modifiant une injection que j'avais déjà

yesss!!!

à mon avis très restrictif quand même au niveau de la syntaxe (espace en fin de commande pas accepté)

pour ceux qui galère, c'est tout con, mais

/* Modération (Pixis)
1. Pas de demande d'aide depuis plus de 7 mois, donc personne n'a envie d'indice
2. Pour le hint, ça a déjà été dit dans ce forum. Bien le lire permet d'éviter les doublons ;)
*/

bref je vais pouvoir me coucher sereinement :)
merci a ceux qui ont créé ce challenge. fort intéressant

Bonsoir à tous, en fait j'ai pas vraiment besoin d'indice je pense avoir trouver (c'est pas vraiment compliqué) mais y'a-t-il une syntaxe particulière ? J'ai lu ici et là que les espaces n'étaient pas permis.
J'ai essayé un grand nombre de type d'injection (des plus connues aux plus tordues) pour ce cas de figure (un login connu un pass à trouver)... rien n'y fait.
Si jamais quelqu'un qui l'a réussi pouvait me dire si y'a un genre de feinte ? Merci, bonne année

Ok laissez tomber, j'ai trouvé, mais effectivement c'est assez restrictif comme solution je trouve.

Attention, j'ai la (facheuse ?) habitude de terminer mes requêtes par des ';' .
Or dans ce challenge, il vaut mieux les éviter ;)

Bonne chance !

Bonjour,
Comme tous le monde, j'ai eu beaucoup de mal a résoudre cette épreuve.
Il faut vraiment chercher la version simple.
Cependant, il y a deux version différentes pour cette épreuve dont une seul fonctionne.
Par exemple, la version d'injection sql de wikipedia  ne fonctionne pas.
Je ne donnerai pas l'autre version.
Pour le problème de syntaxe et de commentaire, j'ai utilisé un bon vieux Notepad ++ en activant la syntaxe sql.

voilà mon retour, j'ai mis 6/10  !

Jamais utilisé ce caractère de commentaire...
Si ça peut aider !