NewbieContest

Oserais-je la soulever ? Allez osons...

Le site de NC s'est fait piraté - pas méchament, certes - passons sur l'image que ça renvoie :lol:

Nan ce qui m'interresserais ce serait de savoir comment le lascar s'y est pris, ce fameux Nms lol...

Pour rappel des faits, en arrivant sur le site (et c'était valable pour ce forum également) une petite boite de dialogue JavaScript nous indiquait fièrement "Hacked By Nms !"
Ce dernier s'étant également propulsé 1er au classement général du challenge...

Il semblerait que le scripting soit directement inséré derrière son pseudo (suffit de regarder la source hein), cependant ça m'étonnerais fort qu'on puisse s'inscrire sur NC avec un pseudo contenant du script... (j'ai vérifié au cas où, mais non :P)

Alors comment ? Injection SQL ? M'est avis qu'il y a eu une modification de son pseudo dans la base de donnée (dans la foulée, ce qui lui aurait permis de passer à 808 points par dessus tout le monde et donc de rendre son pseudo visible sur la page de garde du site).

Quelqu'un infirme, confirme ? Ce serait interressant de savoir une fois le problème - éventuellement - corrigé...

Bonjour,

Hé oui NC a été piraté par le dangereux Nms !

Je vous explique, cela fais maintenant 2 semaines que je suis avec lui sur msn, et qu'on discute un peu, enfaite ca fais pas mal de temps qu'il a se projet en tete !
Il m'a expliqué brievement qu'il voulait plus que tout foutre une alert sur le site, et qu'il y arriverait, casse la n'tienne, je lui ai repondu va y pas de probleme si tu y arrive je te donne un smarties.

Ni une ni deux, il se lance dans le coding d'un petit exploit...
Hier soir sur les coup de 19h, il me dit : sa y est j'ai fini !! Youpi, enfin quelqu'un qui va peut etre pouvoir hacker NC ! Depuis le temps que j'attend ca !
Alors il commence ces tests, et il se trouve que au debut rien ne marchait ! On y a passé jusqu'a 3h du mat ce matin pour debugger tout le script, et faire en sorte qu'il fonctionne !

Tout ca pour dire, oui j'etais au courant, oui je sais qui c'est, oui je sais comment il a fait etant donné que je connais les sources de son exploit :cool:, oui je les laissé faire, oui je laisse un peu son alert() sur la page parce que le travail est super beau, et ca merite un peu de celebrité !

Donc bien joué a Nms, ton exploit est sensationnel, mais on ne peux en dire plus, c'est top secret (si krosoft etait au courant...), mais le principal c'est que ca fonctionne !
Juste pour ceux qui se demande comment il a fais, il a reussi a etre root sur le phpmyadmin, il a reussi a obtenir tous les pass du site, voilou j'en dit pas plus ;)

Petit mess pour Nms : j'ai les doigts tout usé sur mon clavié lol, et je suis un peu claqué now de pas avoir dormi, mais bien joué c'est parfais :cool:

Bien jouer! Et si en plus tu pouvait coder une épreuve inspiré de ton exploit, ce serait parfais!(ouais, on me l'as déjà dit: "toi, tu perds pas le nord" :rolleyes:)
En tout cas **No Sms** boulot: déface gentils en javascript (donc casi-pas déface), aucune destruction et vus comment Folcan califie ton exploit, ça doit étre plutot propre et efficace!

Ooo on voi ta petite chalbre avec ton pas beau caca windows xp 8)

Ca méritait d'être souligné effectivement :wink:

Ah ah =D t'as tenu ta parole au moins mdrr :lol:

C'est pas ma chambre enfait, c'est mon bureau...
Et oui, j'utilise WinXp **No Sms** aprés quelque mois sous linux (mandrake), j'ai compris que je n'en avais pas **No Sms** l'utilité, et que je n'avais pas non plus assé de temps pour apprendre a le maitriser. (Et je n'ai pas LSD **No Sms** j'ai la flem!)

Ce serait cool si ce Nms venait faire un tour par ici...

(PS:"ta petite chambre"; tu la voyai comment l maison des sept nains??! :twisted:)

[mode frimeur on] Je vois que l'on requiert ma présence ici, je viens donc vous faire l'honneur d'une réponse! :lol: [mode frimeur off]

Tout d'abord, merci pour les compliments et autres félicitations, ça fait toujours plaisir d'avoir la reconnaissance du "milieu"!  Voir son travail récompensé, reconnu, et estimé est la plus grande des satisfactions. Au moins, je ne me serais pas tapé mon bon milllier de lignes de codes pour rien! :wink:

Plus sérieusement, Folcan a très bien résumé les événements et je n'ai pas grd chose à rajouter! Oui il était au courant depuis le début, il savait quel était mon but, et si j'ai réussi à "hacker" NC c'est qu'il le voulait bien. Il m'a aidé à debugger mon script et sans lui je n'y serai sans doute pas arrivé. Bon aussi si il avait pas un OS de merde, ça serait allé plus vite! :wink: Je tiens juste à préciser une chose : le hack de NC n'est qu'une conséquence indirecte de mon exploit. Mon script n'exploite en aucun cas une quelconque faille du site et pour cause, j'en ai pas trouvé d'utilisable (à part sur le forum mais c'est réparé! héhé **No Sms** vois venir vous :wink:). De ce que j'ai pu en voir, le site est très bien sécurisé et je dois avouer que peu de sites peuvent se vanter de l'être autant (**No Sms** coup de chapeau à Folcan, Omnix et Tym au passage).

Pour ce qui est de l'exploit en lui-même, je n'en dirai pas plus, disons que j'ai utilisé une manière un peu détournée pour arriver à mes fins... :cool: Pour répondre à Atchoum, dsl mais tirer une épreuve de mon exploit reviendrait à dévoiler son principe, et si certains lamers savaient ce dont mon script est capable, ils seraient prêts à se couper une bourse pour avoir le code source... (ça rime :lol:) Folcan pourra confirmer je pense! Donc sujet clos! Ah non, je tiens à rajouter un élément ESSENTIEL et qui intéressera sûrement toutes les personnes de ce forum : j'ai pas eu mon smarties!!!! A bon entendeur... :lol:

Merci pour le code (qui contient pas de failles) mais si tu avais cherché un peu plus, j'peux t'assurer qu'il y en a pas mal.. malheuresement, ca impliquerait trop de modifications que de coriger les principales. J'en avais la liste et j'ai commencé à corriger les principales mais il y en a quand meme. N'attendais pas à ce que je vous les donne ! Je pense me remettre au coding du site... Des nouveautés en vue ? J'en ai en tete..