NewbieContest

Comme d'hab quoi :p

Sinon, j'ai vu qu'il y en as pas mal qui pollue la base user :/

Bah c'est encourageant non ?

Néanmoins je m'insurge il y a une énorme faute d'orthographe dans la zone admin :
"le mode de passe est"

sinon bien intéressante cette épreuve pour l'instant :wink:

Je m'insurge moi aussi !!! (jl'avais même pas vu mais jfais style... :p)

Sinon très bonne épreuve pp^ tu t'es bien arraché à coder tout ça ! :-D
Néanmoins j'aimerais bien en discuter avec toi pour savoir par où tu voulais faire passer les gens pour réussir cette épreuve, parce que j'ai opté pour une méthode mais il y en avait pas mal, dont certaines pas forcément prévues à mon avis... Et de plus y a une XSS dans ton épreuve ^^

Mis à part ça très beau boulot, j'ai beaucoup apprécié ! :)

arf enfin fini... 2h15 et dire que je reprend le taf demain... enfin tout à l'heure... :?

très bonne épreuve... j'ai pas mal galéré à cause d'un caractère du pass de l'admin :wink:
Je suis preneur de vos discussions Nms et pp (je vous envoie un MP).

Ouais pp^ il a été un peu vicelard sur ce coup-là ! ^^

Je te tiens au courant soit par mail, soit sur IRC si jamais le coeur te dit de passer sur le chan. :wink:

moi je suis en plein dedans :(
c'est quoi c'est quoi c'est quoi... petit vicelard pp :lol:

Pareil ^^

j'avoue que j'ai été vicieu pour le pass admin :D

pour la xss je vois où c'est, j'avais pas pensé à ces données la quand j'ai commencé a coder l'épreuve.

j'ai quand même facilité la tâche en ne mettant pas en md5 les mots de passe :)

ravi qu'elle vous plaise :)

PS : Très grand bravo à Nms et Phoenix1204 :)

Pepekiss et Phoenix, je vous ai envoyé un mail. :)

Super cette épreuve. Merci pp_ pour le fun =)

Merci aussi à ceux qui ont parlé du caractère un peu particulier. Je me rendais fou...

C'est un petit vicelard finalement ce pp_ aussi :P

A quand la prochaine ?

Mouarf c'est pas sur mon gayzou =D

L'avantage du MD5 c'est que les possibilités sont réduites :

Uniquement 32 caractères, et le hash se compose de ABCDEF0123456789 seulement donc moins de caractères à tester et surtout pas de caractère visselars comme les [ALT]+0160 ou autre :twisted:

En tout cas merci pour l'épreuve car sans codeur, pas de NC, pas de NC ba plus de migraine, plus de migraine ba plus rien de drôle =D Oui je suis maso et alors xD

Là j'ai cours donc c'est tendu mais je rebosserais dessus quand le weekend sera venu car j'ai cogité cet nuit (fin plutot ce matin vu qu'il été 5h30 ... nan je dormais pas encore :lol:) et je pense avoir la soluce :D

ciao ;)

----------------------------------------------

EDIT : Par contre, il y a un truc qui m'énerve !! Arreter de jouer au boulet en vous inscrivant plusieurs fois avec des pseudos de merde genre "((((((((((((((((((((((((((((((((((((((((((((((((((((((((((" çà vous sert à quoi sérieu à part saturer un peu plus la BDD ...

Je serais le créateur, je mettrais l'epreuve OFF Line pendant un jour ou 2 histoire de mettre des sécurités comme par exemple une vérification d'IP ou une vérification par mail, une limite de par exemple 8 caractères aux pseudos etc etc ... Mais bon, je ne suis pas le créateur :p

Donc voila, je tenais à le dire car je trouve çà pitoyable et puéril de voir des membres pollué une BDD comme des gros boulzors ... Je vais surement me faire engueller pour ce que je viens de dire, mais au moins, c'est dit.

Sur ceux, je souhaite bonne chance à ceux qui veullent VRAIMENT bosser sur cette épreuve.

Bonne sorée

Bouarf tu t'en fous, pi c'est une bdd de free alors on s'en fout un peu beaucoup quoi.

Ouais je suis d'acord avec toi, mais il y a quand même un respect à avoir, on s'incris UNE fois avec notre pseudo ou autre mais on ne passe pas nos nerfs sur le script d'enregistrement, c'est pas une preuve d'intelligence en tout cas...

Donc bon voila, j'ai posté ma geullante du mois, maintenant c'est bon je suis décontracté xD

merci pour cette épreuve, bien que je ne l'ai pas encore validé, bloqué à la 2éme étape.

en fait, j'ai trouvé le mot de passe de la zone d'administration du forum
par contre, je n'arrive pas à avoir un accès au dossier admin/ :cry:

j'ai tenté plusieurs trucs et je reçois un message : "t'es sur la bonne voie mais c'est pas encore ça ;)"
je me retrouve alors vraiment bloqué. =(

J'ai réussiiiiiiii  =D

Comme quoi, il faut toujours s'acharner et persister  !!

Bravo !! merci pour cette belle épreuve qui en vaut 2. =)

oui en effet tu es un sacré tordu pepekiss

edit: yes j'ai enfin trouver

la faute n'a toujours pas été corriger Modération : râler sur l'orthographe en faisant soi-même des fautes, ça fait pas bien sérieux...

Ba si je suis sur la bonne voie et que j'utilise la bonne méthode, sa me semble impossible si c'est en MD5. Nan?

Impossible non, mais un peu plus dur.

L'épreuve n'est pas disponible :

"La connexion a échoué"

Ouaip... Comme on l'a déjà dit plusieurs fois dans la shoutbox, ces derniers jours, Free a quelques problèmes... Pas de bol, on est sur un des serveurs qui ont du mal.

Alors, évidemment, on n'y peut strictement rien. Allez râler auprès de Free si vous voulez, mais je doute que ça serve ;).

Bonsoir, si je tombe sur une Erreur SQL
ça veut dire que je suis proche de la réponse ?

personnes ne se souvient de cette épreuve?
....ça serait bien de répondre à ma question....

Une erreur SQL, c'est vague... Mais je pense qu'il ne faut pas en dire plus sur celle-ci, du moins comment tu l'as obtenue.

Tu devrais essayer de voir si tu peux injecter des choses intéressantes ou/et si cela peut t'aider à trouver le mot de passe admin...
Si c'est le cas...

Pour ma part, j'ai trouvé un moyen pour cette épreuve de trouver le mot de passe, mais je bloque sur un caractère =(

oui c'est tout a fais normal je te suggère d'étendre tes possibilités à la table ascii pour le caractère que tu ne trouve pas

C'est que j'ai fait, mais en y repensant ce matin, j'ai vu lequel il me manquait. (comme quoi une bonne nuit de repos, ça y fait =) )
Verdict ce soir, quand j'aurais modifié mon code.

En tout cas, merci. :)

EDIT:
L'erreur n'était pas où je pensais dans mon programme.
Epreuve : done =D

Excellente épreuve de pp

J'ai une erreur SQL quand j'essaye d'enregistrer ou de loguer un utilisateur, n'est-ce pas gênant pour la résolution de l'épreuve ?

Non ce n'était pas normal.
C'est corrigé.
Merci pour le signalement.

\o/ j'ai trouvé la xss aussi ! Mais pas le pass qui va avec, dommage !

Enjoy

The lsd

Super cette epreuve !

C'est faus qu'il y a beaucoup de faille !

Mais bon continues !

Bonjours,

J'ai telechargé le code source, et ai trouvé une belle petite injection sql ( =D ), tous fonctionne parfaitement en local,
Mais malheuresement, tous mes tests en ligne echouent,

Le script a t'il ete mis à jour, et dans ce cas, les sources fournie sont t'elles toujours valables ?  :oops:

Cordialement,
Nementon.

same que nementon

Edit de the lsd : Alors c'est utile comme post tiens... Vachement intéressant !

Owi, ca c'est de l'edit qui tue !  :P

Mais par contre c'est etrange quand meme, cette histoire de source chelou, je me sent un peu délaissé la, t'aurai pas une idée lsd ?

(Non, non, je ne suis pas frustré  =D)

Pas encore réussi l'épreuve, je peux pas aider (et puis accessoirement, j'ai pas le temps). T'as vérifié la configuration de ton service PHP ?

Je vois pas pourquoi le script aurait été mis à jour (et puis je peux pas vérifier surtout  :P)

Continues à chercher ou passes à autre chose en attendant.

Si quelqu'un qui l'as réussi voulait bien vérifier (à tout hasard), ce serait sympathique.

Enjoy

The lsd

C'est tout à fait normal, je vois ce dont vous parlez et j'avais essayé de voir ce que je pouvais en faire, mais au final ce n'est pas là qu'il faut frapper.

Accessoirement, je vous conseille quand même de faire quelques épreuves plus validées avant celle-ci...  ;)

Ok, merci pour les infos !

bonjours a tous

alors j'ai presque fini l'épreuve je dit bien presque car j'ai bien tout se que nous avons besoin enfin les X parties partie du mdp
mais je doit pas être doué pour les ctrl-c ctrl-v car j'arrive juste pas a validée
est ce que une âme charitable voudrai bien me dire se qui vas pas (après lui avoir envoyer se qu'il lui faut ) par  pv  ou irc ?


voila merci d'avance :p

Edit : C'est bon j'ai réussi persévérance persévérance :p

Idem, sauf que j'en suis à trois injections SQL (sur deux pages différentes) exploitables en local mais pas sur le serveur.  :cry:


Je viens d'y participer à l'instant, j'avoue et implore votre pardon :oops: mais c'était en toute bonne foi : il y a une Blind SQL Injection exploitable grâce à une erreur SQL en local, mais qui conduit à un enregistrement valide online.

J'y retourne, mais si l'auteur ou un admin passe par la, ce serait sympa d'avoir le script à jour, parce que là c'est un peu frustrant.

Dernière validation par jahman, le 07/09/2009 à 14:55

A mon avis les sources n'ont pas été changées et sont parfaitement en état de marche.
Si c'est pas les sources qui changent, c'est sûrement la config du serveur  ;)

J'ai reussi a trouver le mot de passe admin mais je ne peut rien faire avec, je peut me logguer en tant qu'admin jusque la OK, mais je ne peut pas accéder a la parti "Administration", j'ai beau vérifier le mot de pass taper (j'ai changer la casse aussi) meme des Copier Coller mais rien n'y fait. Je ne comprend pas trop la.

Bonsoir,
je relance le sujet suite aux difficultés que je rencontre sur cette épreuve... J'ai trouvé le pass admin, mais je ne vois pas trop comment accéder au répertoire admin. J'ai cherché une autre faille pour y arriver, mais je ne trouve rien... Si un petit indice qui n'en dit pas trop pouvait me mettre sur la bonne voie, ça serait top ! D'avance merci.
C'est un peu décevant de trouver l'accès admin et de bloquer sur une deuxième étape, mais cette épreuve est chouette !

Roh, tu dois y mettre de la mauvaise volonté...
Tu ne dois pas te poser les bonnes questions.
Google c'est pas de la merde hein, c'est ton ami  ;)


Cette épreuve est excellente!
Le filtre sql est assez permissif pour qu'on puisse se faire plaisir...

J'adore cette épreuve!

Hum, si j'ai : "T'es sur la bonne voie mais c'est pas encore �a ;)" Quand j'éssaie d'aller sur admin/index.php, je suis sur la bonne voie?  :lol:

L'éternel réponse "l'ami google"... Enfin merci d'avoir pris le temps de répondre ^^

J'ai tous les éléments pour pouvoir valider ce Challenge.
Je respecte la forme proposée mais je n'y parviens pas ...  :/

Y a t-il une subtilité dans la syntaxe à adopter ?

C'est un peu rageant de terminer l'épreuve et de passer limite plus de temps à trouver comment la valider qu'à la résoudre.
Un membre de NC peut-il me contacter pour m'indiquer où se situe mon erreur.

Merci !  =)

Edit: Merci à Ashita, les + peuvent porter à confusion ainsi que les espaces entre, et sont bien là au final pour signaler qu'il faut concaténer les solutions.

Bonjour

Je vais tâcher d'être précis et clair.
J'ai déjà découvert le mdp admin.

J'arrive également, en testant sur un domaine personnel, à afficher le contenu de /admin/index.php
Cependant, cette méthode ne fonctionne pas en ligne. Je ne reçois que le fameux message stipulant que je suis sur la bonne voie mais que ce n'est pas encore ça.

Et j'ai beau tout retourner (le script, google,...) je ne trouve pas d'autre solution....
Si quelqu'un peut m'aider ici, ou via MP ça serait assez sympathique.

Sinon, ben, je n'abandonnerai pas.

Dans tous les cas, merci pour ces épreuves agréables.

Si ça te marque ce message, persévère ;)
Il doit te manquer encore un tout petit truc...

La persévérance ne me fait que créer des membres qui ne m'apportent rien de nouveau (des erreurs ou ce message).

Mon action a l'air d'être bloquée ici, /* j'hôte cette partie, qui ni ne contenait qu'une supposition qui s'est avérée inexacte */.

J'ai bien peur que la bonne voie soit en définitive pour moi, une voie de garage.


Merci à Asphator pour les réponses, ça m'a donné l'envie de continuer et de finir par trouver.

Pourtant, avec l'un de tes amis, tu trouverais la réponse assez vite je pense ;)

J'essaie de trouver, mais malheuresement,je n'y arrive pas :(.
Je ne suis pas un pro en matière de hacking, donc si vous pouvez me donner un petit indice... Ca serait avec plaisir ;)

Vu ton niveau en hacking je te conseille par commencer a réussir les autres épreuves avant celle là.
Pourquoi vouloir tout de suite commencer cette épreuve avant de réussir les plus faciles à un point ? :)

Et bien, c'est que j'arrive pas forcément...

Et bien si tu les arrives pas, alors tu es pas près de réussir celle-ci a mon avis ^^
Essaye de réussir les autres avant de t'attaquer a des épreuves beaucoup plus dures  :wink:

J'ai réussis 9épreuves de hacking, et j'en suis à:
sam'suffit

Puis je voulais voir d'autres trucs, mais là j'suis bloqué, en plus je cherche Firefox 1.0 - 5.*
pour un plugin qui m'aiderai vraiment à cette épreuve, mais je ne l'ai pas :(

Je crois que tu t'es trompé de poste... Ici c'est le topic d'aide pour l'épreuve Fukin' Forum.

Bonjour,

Le code source donné ne marche pas chez moi, et je ne vois pas comment il pourrait marcher :
Le code de la page register s'exécute dans la fonction appel() et il utilise la variable $db, définie dans le scope global. Or le mot-clé global n'est utilisé nulle part, donc j'obtiens :
Notice: Undefined variable: db in ...

J'ai loupé quelque chose dans la conf. du serveur ?

Je ne suis pas sûr de bien comprendre, mais tu n'utiliserais pas un PHP récent qui aurait des restrictions ?

J'utilise PHP 5.1.6 (built: Nov 29 2010 16:47:37)

Si j'essaie de m'inscrire (en local), après avoir cliqué sur "inscription" j'obtiens :


La raison me semble être la suivante (extrait de la doc php, valable pour php3, 4 et 5) :


De la même façon, $db est définie dans le scope global, mais dans la page register.php c'est une variable $db locale à la fonction appel qui me semble être appelée.

Une idée de ce qui ne va pas ?


Edit : en modifiant la fonction appel ainsi, tout va pour le mieux :

J'ai le même genre de souci. Ça passe bien sur la VM, mais elle n'est effectivement pas forcément au même niveau de patch.
A priori, ta modif ne doit pas gêner la résolution de l'épreuve, en tout cas.

Bonjour,
j'ai réussi à trouver le mot de passe rallonge, mais je ne sais pas du tout quoi en faire.
A ceux qui me répondront de demander à Google, j'aimerais justement savoir quoi demander :)
Serait-ce possible d'avoir une tite aide (pas la réponse (au cas où ça serait mal interprété))?

Merci

Tu te connectes en admin peut etre ? ...

Ce que j'ai bien évidemment fait directement après avoir eu le mdp ^^'
Je me connecte et aussitôt j'ai un "Rho le vilain petit hacker ;)" causé par le fait qu'il y ait deux utilisateurs "admin".
Pour l'authentification htaccess, pareil, ça ne marche pas.
Je crois que j'ai fait le tour des possibilités :/

Bien vu, l'épreuve n'était plus fonctionnelle. Tu peux réessayer, ça devrait fonctionner maintenant.

Moi aussi j'ai le grand mot de passe et quand j'essaie de me connecter, ça me dit que le mot de passe n'est pas bon. Pouvez-vous vérifier que l'épreuve est réellement fonctionnelle?

L'épreuve marche, j'arrive a me connecter admin. :wink:

Oui c'est bon, il me manquait 1 caractère  :wink:

Bonjour!

A part des messages du type "Incorrect usage of ??? and ????" ou "Operand should contain 6 column(s)" et autres erreurs, j' ai pas encore de message disant '....tes sur la bonne voie.... !

Ai je choisi la bonne route sql :?:

Oui, tu es sur la bonne voie, continue de chercher par là, et surtout demande toi pourquoi as-tu ces erreurs :wink:

Est ce bien normal /* j'espère que ce post conviendra à Asteriksme   :wink:*/ :

msg : "Illegal mix of collations (utf8_general_ci,SYSCONST) and (latin1_general_ci,IMPLICIT) for operation '=' "

msg : "SELECT command denied to user 'ha_ep22'@'newbiecontest.org' for table ''" /etc etc et encore des msg mais pas de bonne voie !

Le staff a t il une explication ? Car si c'est pour dériver de l'EP et vu le nombre de requête SQL que j'ai effectué (soit un sacré paquet!)

Merci de votre attention !

À quel sujet, exactement ?


Tu dois avoir les doigts usés.

Attention, y'a au moins deux pièges, et il pourrait m'arriver être très aride sur la suite de la discussion. :P

A quel sujet ?! Au sujet de l' épreuve!

Je me retrouve avec des erreurs un peu trop aléatoires je pense, et ayant discuter en PM avec un challenger qui a fini la section "Hacking", les erreurs que je rencontre lui sont inconnues ?!  

Mais je me trompes peut être, c'est peut être normal, mais j'en doute !

L'épreuve me semble plus difficile que prévue vu que les débordements(requêtes SQL permissives) sont autorisés, car il me semble que certaines erreurs ne font pas parties de l'EP !  

Voilà merci pour ton attention.

ps: Mais qu' entends tu par : " Attention, ..., je pourrais être très aride sur la suite de la discussion" ? :)

C'est très simple. Tu as le code source de l'épreuve. Ça ne devrait donc pas être trop compliqué de trouver la faille, la comprendre, et l'exploiter. Mais toi, tu expliques que tu as balancé en aveugle des tonnes de requêtes, qui ont donné des messages abscons, à un point tel que personne ne les comprends.

Bref, tu as sûrement scanné comme un porc, tu as bouffé les ressources de la VM et de la BDD, se faisant en probablement cassant les pieds de ceux qui tentent de résoudre les épreuves intelligemment. Et tu ne comprends même pas les résultats ? Bel effort.

Qu'espérais-tu réellement comme réponse constructive ?

Excuses moi" _o_", mais j'ai rien contre toi, mais t'es carrément à côté de la plaque...enfin presque /*pour le script sous les yeux, trouver la faille etc suis d'accord */

J'ai rien scanner du tout,  j'ai rien balancer à l'aveugle (pas de Ban! pour flood sql que je sache, j'ai pas utilisé de soft de hack , si tu veux la requête, tu me la demandes .!?), les requêtes que j'envoie, saches que je les comprends ,c'est mieux non, si tu veux un résultat cohérent ! et là pour le coup et face à la médiocre requête que j'ai effectué le résultat est ou était pour le moins inattendu !

Si j'ai posté ce message en évoquant ces erreurs, c'était par information et non pas pour partir en conflit ! /*

Scanner comme un porc..... :rolleyes: /* on est pas tous pareils */ mais bon la tentation est grande

Bonjour,

Je suis bloqué au caractère spécial du mot de passe admin
et je me demandais si le champs du mot de passe était bien latin1_general_ci (comme dans le script sql de création fourni)
parce que j'ai vraiment essayé tout les caractères et rien ne passe ... il doit être bien farfelu.

Merci.

Le caractère "spécial" est vraiment pas compliqué, et il fait parti de l'ascii 128-255. De plus, si tu a trouvé tout les caractères a part celui-là, tu devrait pouvoir deviner ce caractère..

Bon ...
Je dois mal m'y prendre ou alors j'ai vraiment raté un caractère :/
Merci pour ta réponse en tout cas.

EDIT : bon bah c'est bon j'ai le pass

EDIT2 : Done ! vraiment sympa comme épreuve, sauf pour le coup du caractère xd

Est-ce qu'il est toujours possible de terminer l'épreuve ?

J'arrive à accéder à la zone admin. Il ne me reste qu'à faire la seconde partie, sauf que je n'obtient aucune des erreurs que je devrais obtenir (à la vue du code...) (erreurs que j'obtiens bien en local!)

Donc si quelqu'un qui a déjà solve l'épreuve pouvait me confirmer que tout marche, ça serait sympas   :P

Bonjour à tous,
vu que les epreuves datent un peu, pourrait-on avoir quelques informations concernant les versions php/mysql s'il vous plait?
Etant donné que les sources sont considérées comme à jour, j'avoue mal comprendre pourquoi mon exploit me renvoie des messages différents de ce que je fais en local.
Epreuve bien sympathique, même si je rage de trouver le failles sans réussir à les exploiter (en dehors de chez moi).
Merci à vous!

La même chose pour moi j'ai trouver ce code : "h*******************e"  j'ai réussi a me connecter en tant qu'admin mais sur l'authentification htacces je n'arrive pas a y accéder ... Es-que le problème vient du 2ème caractère du mot de passe qui ne peut s'accepter sur l'auth htacces ou ? ... Je ne sais plus quoi faire :).

J'ai réussi l'épreuve, donc je vais filer quelques indications:

/* moderated par the lsd : ouais mais faut voir à pas exagérer quoi. Ça donne un peu beaucoup d'indications... */

Qui a dit que c'était le même mot de passe pour le htaccess ? :)

Il y a peut etre 2admin mais comment trouver l'autre admin de l'auth htacces j'aurais besoin dun tout petit indice qui pourra m'e guider vers la bonne route ...?

Salut a tous,

J'ai un petit souci dans la validation de l’épreuve.
J'ai bien récupéré tout ce qu'il y avait a récupérer, mais lorsque j'entre le code de validation, celui-ci ne marche pas..
La casse du mot de passe du forum est-elle importante? ..

Merci!

Edit : Nevermind, j'ai trouvé.

Bon je pense avoir trouvé le mot de passe admin (avec le caractère spécial) mais impossible de me connecter en admin, j'ai bien copier-coller le mdp. J'ai loupé quelque chose ?
Quelqu'un pourrait-il me confirmer mon mdp par mp.

Merci.

Edit : C'est bon, j'ai trouvé.

Yop,

Même problème que d'autres : j'ai les trois éléments nécessaires, mais impossible de valider :( J'ai bien tenté plusieurs syntaxes, mais rien...

Quelqu'un peut-il me contacter en PM pour voir le problème ?

Merci d'avance

berga

**No Sms**,

même problème j'ai tous les élément qui me permette d’allée au bout de l'épreuve, mais impossible de validé.

serais t'il envisageable d'avoir des éclaircissement sur la forme attendu pour validé ?

Merci d'avance.

edit : c'est bon j'ai trouvez merci a ma douche :) !

Est-ce qu'il ne manquerait pas le code d'un script Perl au vu de la première ligne du .htaccess ?

Bonjour,

Est ce que la meme vulnérabilité nous permettera de trouver le password admin du forum et le password admin du htaccess ?

Amicalement.

Edit: done ! Merci pour vos réponses chaleureuses :D

Bonjour,

    Comme d'autres avant moi, j'ai bien réussi à récupérer les 3 parties nécessaires à la validation, mais impossible de valider. Et comme le mot de passe de l'admin du forum que j'ai trouvé ne contient pas de caractère spécial (contrairement à ce que laisse penser les posts précédents) je me demandais si ce dernier n'avait pas été changé, sans que le code de validation ne le soit... Alors si quelqu'un ayant déjà validé pouvait vérifier ça, ce serait sympa  =)

Merci !

EDIT : Merci d'avoir réglé le problème _o_ !

Salut, j'ai le même soucis que mon voisin du dessus.

J'ai le pass admin ainsi que le contenu du .htpasswd, par contre impossible de valider.

Pour preuve :

(http://i.imgur.com/eMOqmmm.png) (http://i.imgur.com/eMOqmmm.png)

Salut, j'ai cherché dans les règles les restrictions concernant les doubles post mais je n'en ai pas vu (de plus cela fait presque 48h depuis mon dernier post).


J'ai lu tout les messages de ce sujet pour comprendre mon problème, mais rien n'y fait.
Beaucoup disent avoir un caractère spécial dans le mot de passe admin, or le mien ne contient que 4 caractères (alpha sans accents).
Ce mot de passe est correct car il me permet de me connecter sur le compte administrateur.


Si un membre du staff pourrai répondre pour me permettre de valider cette épreuve ce serai vraiment sympa car, je l'ai réussi, mais la validation ne fonctionne pas pour moi.



Merci.

Le mot de passe du compte admin a été remis à sa valeur d'origine. Merci de l'avoir signalé.

ah, cool merci.

Plus que trois épreuves de hacking pour moi :p

Salut à tous,

Frustration quand tu nous tiens. J'ai toutes les parties pour valider l'épreuve mais comme d'autre avant moi ça valide pas.
Est ce qu'une âme charitable veut bien m'aider, svp ?
Je precise que j'arrive à me connecter en admin sur le forum, ainsi que la partie /admin.

Merci d'avance.

Bonjour,

Je reviens sur cette épreuve après quelques temps, une petite révélation sur comment accéder au dossier admin et à l'injection permettant de trouver le pass admin plus tard et je me lance dans le scripting au vu de la taille du pass à trouver.

Mon problème est que j'arrive bien à déterminer les 2 premières lettres (semblant valider mon script) mais je reste bloqué sur la 3e. J'ai étendu mes tests à l'intégralité de la table ascii pourtant et d'après les messages de ce forum, le caractère est sensé arriver à un moment où on a déjà bien avancé sur le pass.

Est-il possible de discuter de ma méthode avec quelqu'un qui a validé l'épreuve ?

Merci :)

Edit : J'ai repéré une petite erreur, je travaille dessus, peut être était-ce juste ce qui me manquait.

Edit 2 : C'est validé ^^ Mon erreur était bien le seul truc qui faisait défaut.
NB : bien lire les documentations MySQL jusque dans les moindres détails.

Bonjour,

Il serait peut être bon de vider la BDD de temps en temps. J'ai réussi à me connecter par hasard sur un compte déjà crée, compte qui avait déjà bien avancé dans l'épreuve car ça m'a affiché le login/mdp du htaccess^^ (EDIT= j'ai trouvé comment l'afficher au final, se serait pas du jeu sinon :p)

Sinon, étrange, en local j'arrive à faire une SQLi assez bidon, qui me permet de passer admin et d'afficher le contenu de admin/index.php. Mais elle ne marche pas en ligne donc ça devait être trop bidon :)

Allez j'y retourne!

Assez déçu par cette épreuve. Il faut trouver le bon point d'injection, même si 3 autres fonctionnent en local...
Donc pour ceux qui coincent, ne pas se focaliser sur la première venue mais toutes les essayer sur le site.
:)

Salut,

Ca fait pas mal de tentatives en ligne qui échouent alors qu'elles réussissent en local.

Quelqu'un qui a réussi serait dispo pour vérifier mes solutions ? Je commence à perdre un petit peu patience =).

Des bisous.

Edit : Fini. Merci Pixis.

Salut à tous,

Tout d'abord joyeux noël forcemment, puis aussi bonne année tant qu'à faire  =D
J'ai pris une bonne résolution pour 2016, c'est accéder à ce fuckin' répertoire admin !!!
Ca fait un bon moment que je me prends la tête sur cette épreuve, alors je voulais savoir si une âme charitable pourrait réduire mon budget paracétamol pour l'année à venir :P
Toutes mes tentatives pour récupérer le contenu du dossier se soldent par un "tu est sur la bonne voie mais c'est pas encore ça !"
J'ai réussi à me connecter au forum en admin mais j'ai l'impression que ça sert à rien pour la suite de l'épreuve est-ce que je me trompe ?

(Super épreuve en tout cas même si elle joue sur mes nerfs  :twisted:)

Salut,

Est-ce que l'épreuve fonctionne toujours ?

• J'ai deux admins dans la liste des membres
• Malgré la découverte du password de l'admin j'obtiens "Roh le vilain hacker ;)"

Ou bien ce forum à beaucoup d'admins ayant le même login...

Bonjour,
Comme mon prédécesseur, j'ai quelques soucis de connexion au compte admin.
Effectivement, je vois que ça date un peu et que des personnes ont validé depuis.

Cependant à la lecture du forum on trouve page 4 et 5 (et là ça date encore plus)

Ce à quoi répond _o_


Donc, admettons qu'on ait le bon un mot de passe, ma question est la suivante:
Est-ce un comportement normal que d'avoir ce message du vilain hacker lorsqu'on se connecte au compte admin?
Histoire que l'on soit enfin fixé.  =)

Merci.

Il y avait effectivement un souci, maintenant résolu :)
Désolé pour le problème !


Enjoy

The lsd