NewbieContest

Pour le javascript 8 j'ai réussi a trouver un login qui permet d'etre orienter sur une autre page. Mais le probleme c'est qu'avec ce login il n'y a pas de page qui existe pour obtenir le password.  Je voudrait savoir si c'est normal et si il faut que je trouve un autre login ?

Ben oui si tu y regardes de plus pres , tu verras qu'il y a un grand nombre de login/password qui peuvent fonctionner.
Te connecter sur le chat ne pourras t'etre que benefique. Peux pas en dire plus  :lol:

A+

Héhé, la famese épreuve !
Bah t'as pas le choix, tu dois tous les regarder et essayer ceux qui te parraisse bien (au felling un peu.. ).
Bonne chance  ;)

Euuu en ce qui concerne cette épreuve, j'aimerai bien savoir quel langage vous me conseillez et les tutos qui correspondent pour s'initier un peu...parceque moi la programmation...à part (x)HTML, PHP (un peu...) et batch, plus le javascript, le reste c'est pas trop mon truc ;) lol. Merci d'avance.

Ben je te conseille un brute force en C. On peu aussi en JS mais c'est beaucoup plus long et ca use tes UC a 100% pendant un bout de temps :(

Pour moi (je suis un peu fénaient et pas du tt préssé), j'ai pris du VB.
Tout ce dont tu as besoin pour ce language ce trouve sur http://www.vbfrance.com/ à condition de bien chercher!

Perso, j'ai utilisé la force brute en C, ça marche nikel. Tu obtiens une liste en 15 minutes.

Ac VB, c beaucoup plus long!

Salut à tous.
Pour ma part j'ai essayé de decortiquer le probleme, mais j'ai pas trouvé ce qu'etait le checsum. 9 ou 3696619??? (je comprend pas le
 for (var no=0;no<tabc.length;no++)
{
                checksum=tabc[no];  //c'est ça que je comprend po...
)
Quand au bruteforce, ça me branche bien, je vais tester...

Cherche un bon tuto sur le javascript, et tu comprendras la signification de tout le code :)

Ben j'ai cherché partout, et j'ai compris tout le code, et je voulais faire un bruteforcer en C++, mais le pb c'est que je sais pas ce qu'est ce fichu checksum.
                checksum=tabc[no];
Si checksum prend la valeur de tabc[no], comme a la fin, no sera égal à la longueur de 3696619 soit 7, mais sum est bien superieur a 7... C'est la que je comprend plus... :/

tabc va contenir tous les paramètres passés à la fonction, et checksum va tous les contenir, mais comme il n'y en a qu'un, il va prendre la valeur 3696619, car après la boucle for s'arrête

ok merci!!!!!

Autre question que je viens de me poser:

comment connaitre la longueur de ce fichu login??? On ne peut qu'avoir une borne, c'est ça??? (au dela de je-sais-pas-combien on a sum trop grand, n prenant un nombre enorme...)

Mais le bruteforcing risque pas de durer indéfiniment???

la fonction checksum a-t-elle un rapport avec le checksum d'un fichier?

est-ce une bonne idée de faire du reversing sur cette fonction ?

Moui ca s'avere etre une très bonne idée

Tu peux developper ?

Ben justement c'est l'inverse =D

Bon ok... :arrow:

Bonjour tous le monde,

Bon j'essaye de brute forcé cette épreuve. Donc j'ai refait un page html avec le bout de javascript que j'ai modifié. Et donc j'ai quelques boucles pour générer le login et le tester.

Je lance ma page et le script mais Firefox m'interromps toutes les 10s avec une alerte parce que le script mais trop de temps à s'executer.

Y a-t-il moyen de neutraliser cette limite de temps.

Merci d'avance.

Tu veux un conseil ? Ne fais pas en JS. Par définition, le bruteforce a besoin de rapidité pour pouvoir tester le maximum de possibilités. Avec du javascript, tu vas vraiment te faire mal...

Bon google est notre meilleur ami :D .

Je répond à ma propre question:
1) Dans la barre d'adresse on tape: about:config
2) On cherche: dom.max_script_run_time
3) On double clique dessus et on le mets à 0.

Pour ce qui est de la vitesse, le JS me semble correct. Je fais afficher le login généré dans le champ login du formulaire :D . Et çà tourne assez vite à mon gout.

Et puis j'ai fait quelques test à la main avant pour voir les checksum générées pour essayer de réduire les possibilités. Du brute forcing intelligent quoi!

Il te semble mal puisque quels que soient les paramètrages de ton navigateur le JavaScript reste un langage interprêté, en l'occurence il existe énormément de solutions vérifiant l'algorithme et il s'agit de repérer la bonne à la main (il ne s'agit clairement pas de faire un brute-forcing directement sur le site, je re-re-re-précise au cas où, sait-on jamais.. :rolleyes: Mais à priori puisque tu fais un brute-forcing "intelligent" tu as du le comprendre, ne serait-ce qu'en lisant les 11 pages du thread concernant la JS8 ;))

Le JavaScript te convient donc bien parceque tu as une machine rapide, sans quoi la solution la plus intelligente reste de faire un petit code en C/C++/Pascal/ASM/autre.. un langage compilé quoi..

D'autres part zours te répond en pensant bien faire, il prend un peu de temps pour te répondre t'es pas obligé de le zapper comme s'il disait une connerie.

cleverness--;

BufferBob.

ps : Y'a une faute dans ton bled, petite dédicace amakliclao, STH et Albert juste derrière où j'ai usé mes frocs & mes profs, où Prost m'a coursé sur la coursive, Pierrot pété la porte et Paul Vaillant vu dévaler Valo, J'ai toujours pas hacké Cézanne mais j'ai ces années à coeur.</dadykass>

Je m'excuse platement si mon post à sembler zapper zours :? mais il me semble pas puisque je lui répondais à propos de la vitesse de javascript. J'avais très bien compris sa suggestion, pleine de bon sens, mais comme je suis le roi des flemmards :D je préférais modifier un script et le faire tourner sur mon navigateur plutôt que d'aller chercher un compilateur C, l'installer, modifier le script javascript pour le faire touner en C, etc...

De toute manière, il va quand même falloir que je le fasse parceque Firefox plante si on veut faire autre chose pendant que le script tourne (changer d'onglet, passer sur une autre application).

Et puis mon post avec la réponse à ma propre question était plutôt là pour faire profiter autres des connaissances que j'avais acquis en essayant de résoudre cette épreuve (c'est bien le but de ce site, non?)

Et effectivement, je ne brute force pas directement sur le site mais sur un page html/javascript que je me suis créée (j'ai pas envie de me manger un ban moi :D ).

Bonsoir,

J'ai un peu le même soucis que eldergob...
J'ai codé mon BF en php, mais au bout d'un certain temps mon navigateur s'arrête alors que toutes les combinaisons n'ont pas été testées... Je ne pense pas que cela vienne du code (même si on est jamais à l'abri d'une erreur..)

Si quelqu'un dispose d'une idée (ou d'une solution =D) , je veux bien qu'il la partage avec moi...

Merci.

Oui, execute ton PHP en tant que script, et pas en tant que page Web.

en clair execute en ligne de commande parce qu'il n'y a pas de limite de tps et que c'est quand meme bcp mieux de faire ce genre de script en CLI que en tant que page web

Sinon faut mettre max_execution_time = 0 dans php.ini.
Il y a aussi un paramètre de timeout dans la config d'apache (httpd.conf : Timeout 0).

Mais je plussoie pour l'utilisation cli.

sinon tu peux aussi faire
set_time_limit(0);

Si tu n'as pas envie de tripatouiller le fichier php.ini, colle juste ceci au début de ton script :
ini_set("max_execution_time", "0");
A condition bien sûr que la fonction ini_set ne soit pas désactivée, ce qui n'est pas le cas chez Free par exemple.
Mais il va de soi que si tu veux coder tes scripts de résolution en php, il ne faut surtout pas les faire tourner chez un hébergeur. Installe Apache chez toi, ou php tout seul si tu ne veux l'utiliser qu'en cli.

j'ai essayé un véritable brute force en c++ (de ma création), apres une bonne journée, je n'avais fait que le cinquieme de toutes les possibilités, et j'avais deja des centaines de password "possible" :?. Donc j'ai arreté cela et j'ai tenté une approche par Dictionnaire, celui ci comprends pres de 85 000 mots en francais (sans accent) et aucun ne reponds a l'algorithme donc la je sais pus trop. Dois-je trouvé un dictionnaire plus complet? ou encore d'ajouté les mots qui comporte des accents et simplement retiré l'accent (donc é devient e) ? ou alors ce n'est pas un mot francais et ma technique est tout simplement désespérante? :cry: Aidé moi, sinon je sens que mon ordinateur va aller faire du saut en parachute ... sans parachute :twisted:

Bon...

Alors, si ton bruteforce est correct, il va te renvoyer un paquet de résultats. Mais pas trop pour qu'ils ne puissent être traités par un oeil humain (mine de rien, ça va super vite de parcourir cent lignes).

Donc, une fois que tu as tes résultats, tu les épluches et tu retiens tout ce qui te semble pas incohérent (genre "qljfsh").
Il t'en restera éventuellement une petite poignée, mais vraiment peu, donc de quoi tester lequel fonctionne.

Mais c'est vrai que c'est pas ce qu'il y a de plus évident, et qu'on nage un peu en eaux troubles ;)

Bonjour a tous,

Voila je voulais juste savoir si il était possible de résoudre cette épreuve en modifiant l'équation qui mémorise sum.
Car j'ai ésséyé mais je n'est trouvé qu'une équation a 6 inconnus:cry:. Merci

A+

cent ligne ... bonne blague! j'en aurais eu pour des jours a le laissé fonctionné ... puis comme j'suis dans console windows ben j'peux pas le laissé roulé pendant la nuit sinon je ne verrai plus les plus vieux resultat. Si il me venait l'idée folle de le faire dans du visual basic (car ainsi j'pourrai facilement les gardé en mémoire :) ) serait-il beaucoup plus lent?

Oh, et tu ne peux pas simplement inversé la formule, car les mots de passe qui fonctionne se compte par millier alors tu n'arriverais a rien.

Ben... Si il lui faut des jours pour parcourir l'ensemble des solutions possibles, y'a clairement de l'amélioration à faire.
Sur un PC raisonnablement puissant (2000+), c'est bouclé en une journée (je sais pas exactement combien de temps, j'étais pas devant).

De toute façon, dans un bruteforce, la performance est critique. Il faut donc optimiser le mieux possible. Envoie les résultats dans un fichier, aussi, pour pas tout perdre et avoir une idée d'où recommencer en cas de plantage.

Et, effectivement, on ne peut pas "inverser" la formule. Ca ne vaut que dans le cas où elle ne renverrait qu'une valeur donnée, ou qu'on aurait de sérieux indices pour aiguiller le choix de certains éléments. Ce n'est pas le cas ici.

Le login n'est pas un nombre? :|

Edit: Nooooooon, je viens de comprendre, fait chier cette epreuve =(

**orthographe !** **orthographe !** l'algo qui me donne sum en PHP,

me reste que qu'a faire le brutforcer ...

Je suis trop content Powaaaaa

**orthographe !**,
j'ai le login, quand je le tape, il ne me met pas mot de passe incorrect mais me redirige vers la page.
et me met Erreur 404.

Mais on s'en tamponne le coquillard, sais-tu ?

As-tu lu et compris le script ? As-tu lu et compris les divers messages dans le présent forum ?  (Je t'aide, c'est du côté du... hmmm... deuxième ? Oui, deuxième message. Tu t'es arrêté au premier ?)

D'une manière générale, à chaque fois que ça valide pas, quelque soit l'épreuve ou le challenger :
- oui, l'épreuve fonctionne sans problème, pas la peine de déranger un admin pour ça.
- et donc non, le mot de passe saisi n'est pas le bon.
- et oui, il faut lire, relire, rererelire les forums. Tous les messages, sans exception.
- et oui, il faut comprendre, recomprendre, rererecomprendre les message du forum (ce dernier point n'est pas une option).

Vivement la rentrée scolaire...

Pouvait vous indiquez le nombre de caractère tu passe ?

Ou cela dévoierait trop d'informations  ?

Le code est relativement éloquent. On ne précisera rien de plus.

moi j'ai ma petite :idea: dans le sum il donne 6 valeur un peu comme "le mot de ...."
brute forcer la derniere ^^
je suis sur la bonne voie?

Pour qui ont des problème de vitesse :
1. Prenez un linux
1 bis. Codez votre brute force en C
2. utiliser GCC
3. Compilez avec l'option -O3
4. Pleurez devant la beauté de votre code qui va 100 fois plus vite.

( Oui le point numéro un c'est un peu de la propagande)

Ca m'étonnerait, le problème majeur étant le fait qu'il n'y a pas qu'une seule solution. Quelqu'un avait essayé je crois mais avait dit qu'il tombait sur une équation à 5 inconnus (ce qui est guère étonnant étant donné qu'il y a plein de solutions).

Sache que le code te permet de voir comment fonctionne le système de passe. Après l'avoir brute-forcer, des centaines et des centaines de résultats s'affichent (je l'ai ait pas compter, mais > 2 ou 3 milliers, c'est sur), et parmis eux, un seul est bon.

Donc, vu que tout est faisable à la main, l'épreuve est réalisable sans brute-forcer, mais te prendra facilement quelques décennies à plein temps ... :?

Alors pour te répondre raisonnablement, tu doi la bruteforcer, mais le language n'as rien à voir, choisis celui que tu veu. ( encore que le C sera surement l'un des plus performants)

C'est bizarre. Enfin, ça dépend de certaines hypothèques que tu fais, avec mes hypothèques, ça se comptait en centaines seulement.

Si on regarde le code source, on voit que chaque lettre du login peut prendre 67 valeur (différente de ' '), en supposant qu'il n'y ait que 6 caractères, cela nous donne 90 milliards de combinaison possible.

Je me vois mal toute les taper et calculer leur checksum de tête comme ça...

Un petit progromme le fait tellement plus vite ^^.

Moi je comprends pas, j'ai fait un script niquel (PHP), j'ai testé mon script a la main, avec une seule valeur, tout est bon par rapport au JS, mais le truc c'est qu'en bruteforcant, le script s'arrete au bout d'un moment, j'ai jamais chronométré mais je dirais une heure, alors que le set_time_limit est a 0...
Qui plus est je n'arrive pas a le lancer en CLI (mais de toute facon j'ai jamais reussi a le faire fonctionné le CLI...)

Une idée du pourquoi du comment ?

Enjoy

The lsd

Dépassement de capacité d'une variable ?

ben en fait je n'en sais rien, il ne me dis rien, il s'arrete comme ca, tout betement, sans rien me donner comme info...

Ca serait pas lié au timeout d'apache par hasard ?

peut-être qu il a fini :) tout simplement

pour le time out d'apache je sais pas j'y avais pas penser, je vais voir ca
Et il ne peut pas etre fini il s'arrete a ad????, mais c'est bien tenté s3th :)

Enjoy

The lsd

ad???? au bout d'une heure ? o_O
rofl de ptdr
Et ben à dans un mois alors xD

heu juste une question, j'ai pas encore réussi le test, mais normalement le BRUTE FORCING est interdit par le site ?? non !!

en effet lorsque je rentre une reponse éronné il ecrit !"Attention, vous ne pouvez pas proposer une autre réponse avant 3 secondes ! Merci de respecter ce délai préventif du bruteforcing." donc ils (le site et les créateur des challenges) ne veulent pas de brute forcing !

cordialement cekica

/me mode pédagogique

Le bruteforcing du serveur est interdit, cad que non on ne fait pas de script qui bruteforce la boite de saisie du mot de passe, sinon ça va chier...

Par contre le bruteforcing local, ie sur ta propre machine, bah t'as parfaitement le droit =)

Salut à tous,

Je suis en plein dans le niveau 'Game Over', le brute forcer perso tourne à fond en ce moment ...

Simple curiosité, j'ai prévu un code pour avoir la durée de calcul à la fin de l'exécution, mais pas pour le nombre de combinaisons testée ...
C'est bien (nombre de caractères de la combinaison) exposant (nombre de caractères possibles utilisables) pour obtenir ce nombre ? parce qu'avec ce calcul, j'obtiens un truc de l'ordre de 8^67 possibilités ... :lol: :shock: un peu beaucoup nan ? y en a qu'une infime partie qui valident le checksum, mais au total ça fait quand même beaucoup non ? :? en faisant l'inverse (nombre de caractères possibles utilisables) exposant (nombre de caractères de la combinaison) j'obtiens un nombre de l'ordre de 400 miliards ... ça fait beaucoup aussi, mais c'est quand même moins astronomique. Lequel des deux calculs est le bon?


Epreuve très sympa tout cas :twisted:

Euh, je pense aucun. Tu n'as sans doute pas limité les caractères possibles, ni deviné le nombre de lettres du mot.

Ce sera le deuxième calcul, soit pour une longueur (par exemple) de 8 caractères : 67^8 .

Amusant... C'est la copie conforme d'un script d'Olivier Hondermarck, sur ToutJavascript.com (http://toutjavascript.com/source/passlog2.html)... (modo, si tu trouves ça louche, je te laisse censurer, malgré les droits moraux que j'ai sur cet article en tant qu'auteur  =)). Avec, bien évidemment, une modification de la checksum. En ce moment, je m'amuse à faire un pitit algorythme pour retrouver le login a partir de cette dernière. Ca me semble plus simple que de faire un script JS BruteForce (moi y en a pas connaitre C++, et moi y en a pas vouloir installer environnement et y en a demander au père mien) : c'est une tannée pour trouver toutes les possibilités des permutations des lettres de l'alphabet. A moins que quelqu'un ici ne connaisse un bon dictionnaire ?

J'en appelle à votre bonté (s'il vous plaît) pour me donner un indice (voire même une solution, vu que ce n'est pas directement celle de l'épreuve) sur comment calculer en JavaScript toutes les possibilité des permutations de l'alphabet. Ou encore, (s'il vous plaît), pour me donner l'adresse d'un site de dictionnaires BruteForce complet ?

Merci d'avance de votre pitié...

Vive NC, vive Dieu, vive Moi (et vive ToF).

Quelqu'un l'a fait en ada? :D

Mon BF tourne depuis un moment mais j'ai bien peur qu'il ne soit ni parfait ni optimisé!
Vous pensez que je peux l'arrêter dans combien de temps(pour le moment,au moins 30 min et rien du tout)?

Bonjour à tous. J'ai un problème pour cette épreuve et j'aurais besoin d'être aiguillé :).
Pour résumer ce que j'ai fais :
1- Au vue de l'algorithme utilisé, j'ai pensé qu'un brute force était une solution viable. J'obtiens une liste d'environ 4500 solutions à 5 caractères (vu le temps que ca a prit, je n'ais pas laissé tourner le brute force pour 6 caractères étant donné qu'aucunes réponses ne sortaient).
2- Je code rapidement un petit script php pour tester mes réponses, et j'obtiens cette fois une liste d'une 60ene de pages valident contenant le message "Fouine pas n importe ou petit hacker ;)", mais aucune ne possèdent de code de validation de l'épreuve.

Aurais-je raté quelque chose ?

redox: 30 min et rien du tout, oui c'est bizarre essaye d'optimiser
Baelrog: A lire ton message, tu aurais intérêt à optimiser aussi, mais surtout à relire le topic, je sais qu'il est long mais bon, quand on est bloqué c'est ça qu'on fait  =)

(Chuis un fou, deux réponses en une, à quand ma médaille the lsd?  ;) )

Oui, deux choses : d'abord, le message en rouge clignotant sur la page d'accueil du site, qui interdit formellement l'attaque brute du serveur. Ensuite, il te manque visiblement une ou deux informations très importantes, mais pour cela, il faut lire le fil présent dans les détails.

Pour ceux qui ont des petits soucis avec leur crackeur de mot de passe, quelques questions :
1) Avez-vous lu attentivement tous les messages de ce fil, et récolter tous les indices présents ?
2) Avez vous tenté, mathématiquement, en analysant le code, d'estimer la taille des logins et mots de passe attendus ?
3) Avez vous fait des tests unitaires prouvant que les calculs réalisés par votre crackeur sont bons, tout au moins cohérents avec ceux du bout de javascript ?
4) Avez-vous chronométré le temps de calcul pour un échantillon réduit de mots de passe ? Avez vous extrapolé au nombre de mots de passe possibles pour cette épreuve ? Avez vous comparé le temps total estimé à celui fournit par certains de ceux qui ont validé l'épreuve ?
5) Avez-vous lu attentivement tous les messages de ce fil ? (je sais, je l'ai déjà dit, mais relisez une deuxième fois, des fois que vous ayez loupé quelque chose).

Pendant que vous vérifiez tout cela, le serveur sera libéré de vos charges idiotes, et les autres utilisateurs n'auront pas l'impression que le site rame (merci pour eux, aussi).

Bonjour,

une petite question, pour un BF en C sur un Athlon(tm) 64 X2 Dual 2GHz Core Processor 4000+ 2Go Ram, je devrais m'en tirer en combien de temps avec un code correct? PC d'école pour ceux qui l'ont reconnu.
Parce que vu comment c'est parti, je peux revenir ce weekend...

Une machine de course.  :shock:
A titre de comparaison, les machines que j'utilise sont : un k6-II 350MHz, un Athlon monocore 1,5GHz, et un portable dont je n'ai plus les caractéristiques exactes mais qui doit ressembler à mon Athlon. Le tout sur une ligne ADSL à 512 kb/s. Ça suffit largement pour NC (et autres).


Aucune idée. La puissance matérielle n'est sûrement pas le point le plus important pour une attaque à force brute. C'est l'algo, le point critique. Je te conseille de relire mon message quelques lignes plus haut, ça me parait être une bonne checklist avant de lancer ton programme.

Je n'ai plus le temps exact d'exécution de mon programme personnel, mais c'était de toute façon moins d'une heure. Sur l'athlon. Et pour les trolleurs : c'était du Java.  :cool:

Bonjour à tout le monde!


Au fait, j'ai codé un BruteForce en C, mais le problème c'est qu'il ne me sort aucun résultat...
Auriez-vous une idée?

Oui : il est buggé.

Tu espérais quoi comme réponse, exactement ?
As-tu lu ceci (http://www.newbiecontest.org/forums/index.php?topic=43.msg31996#msg31996) ?

je voulais juste savoir si on pouvait pas m'aider à trouver mon erreur dans mon code :(

Bah voyons... Sérieusement, je sais à quel point ça peut être frustrant d'avoir un programme bugué et de se prendre le crâne dessus, mais c'est la solution de facilité que de demander à quelqu'un de le débugué à notre place.

Il y a 2 possibilités:
- Soit c'est une erreur logique (algorithmique) et là tu n'as plus qu'à prendre un papier, un stylo et reprendre depuis le début.
- Soit c'est une erreur de compilation. Dans ce cas ton compilateur te donne la ligne et tu peux cibler le problème. Ensuite en cherchant sur google tu pourras résoudre cette erreur. Dans le cas contraire, un post précis sur un forum (NC ou autre) avec ce que tu as comme erreur et ce que tu as tenté de faire pour la résoudre te permettront sûrement d'avoir une réponse constructive à ton problème.

Bon courage, Mogg.

Bonjour, beaucoup de monde met plusieurs heures (voire jours) pour trouver les solutions. Sachez quand même qu'en C ça dure 5mn (conf : P4).
Par contre, il y en a 20926, sauf si j'en ai oublié dans mon programme...

j'ai entendu dire que c'était un mot de 6 lettres.
Sachant qu'on a le droit aux minuscules ET majuscules, ça fait 52 caractères possibles, soit en tout près de 20 milliards de combinaisons. En admettant que 1 sur 10 millions passent ce test (avec 5 lettres j'en était à une sur 1 million), ça laisse 2000 mots possibles, à s'éplucher à la main.

Suis-je sur la bonne voie ?

Dit comme ça, c'est sûr que c'est pas très engageant!

Bonjour,
J'ai analisé la formule du sum, j'ai fait quelques calculs afin de déterminé le nombre de caractères possibles, j'ai deux choix, sois X ou Y caractères...j'ai créé un bruteforceur que je fait rouler sur deux serveurs, un pour x caractères et un pour y caractères.

Une panne d'électricité est survenue cette nuit, j'ai tout de même trouvé déjà 7000 passwords qui fonctionne tous sur le test, mais aucun qui le valide, j'ai donc essayé de trouver un password qui ressemble à un mot, mais c'est long, surtout, que je n'ai meme pas terminé mon bruteforcage.

suis-je sur le bonne voie ?

EDIT: J'ai repartis mon bruteforceur il y à quelques heures, il à déjà analisé 3.2 milliards de fois le sum (sur 90.4 milliards possibles)... et j'ai trouvé 8912 mots possibles, j'ai donc analisé 3.5% ce qui me donnera environ 255 000 mots de passes possibles avec 6 caractères. ouch !
j'ai pensé analysé ensuite les résultats et les comparer en série avec un dictionnaire de mots francais, ca pourrait être bien mais s'il à écrit une reponse du genre : «S41uT!» je suis baisé ... cette epreuve me semble imcomplete, etant donné que tout ces données fonctionnent, enlignez-nous un peu sur le type de password, svp.

EDIT2: J'ai réussi l'epreuve, j'allais me couché, il est 4 heures du mat... je suis passé devant l'écran du serveur, un des mots m'a accroché, un mot banale qui n'a pas rapport, je l'ai testé, il a marché du premier coup .... wow ! je devrait essayer de calculer la probabilité que ça m'arrive lol cette epreuve est donc très difficile dans ce cas (dans le cas ou j'aurais du trier toutes ces centaines de milliers de données !)

Kevin.

Edit de the lsd : comme le dis bonifas, évites le rouge et la taille du texte à 15. j'ai modifié ça ;)

salut content que t'es réussi cette épreuve . Moi je bloque tjrs sur la realisation du brute force . En quel langage as tu réalisé le tiens ?

ps : évite le rouge , c'est réserver a la moderation

J'ai utilisé php en cli, pas le plus rapide, mais je suis un peu plus à l'aise en php qu'en c
je te suggère le c, si tu te sens d'attaque.

J'ai du réfléchir quelques secondes avant de réalisé mon BF, j'ai modifié mon application javascript que j'ai copié en local, j'ai mit un alert afin de savoir qu'elle était le sum généré pour un login entré, j'ai généré la plus petites valeur possible et la plus grande valeur possible pour 2 caractères, ensuite avec 3 etc... j'ai noté mes sums minimales et maximales pour chaques, j'ai ensuite été en mesure de déduire la grandeur de mon mot de passe.

ensuite, j'ai remonté mon algo en php et j'ai bruteforcer, il faut bcp de patience, moi, c'était le 3 204 038 700e résultat (3.2 milliard) soit 3.5% du processus... j'espère ne pas avoir donné trop d'infos !

Bonne chance.

Ola y a des kamikazes dans le coin, près de 8000 mots de passe trouvés en étant qu'a 3,5% du total.
Non moi j'en trouvé que 1118 au total ce qui est déjà pas mal étant donné qu'ensuite il faut tous les lire un par un jusqu'à ce qui est en est un qui sorte du lot.
Pour le brute force inutile de le générer avec des chiffres, des majuscules et autres lettres spéciales.
N'utilisez que les minuscules c'est bien suffisent !

Bon en espèrent en aider quelques uns  ;), en tout cas génial cette épreuve, ça ma appris à coder un "brute force"  =D

bye.

Et t'aurais pu mettre toute la solution tant qu'à y être  :rolleyes:
Je crois que ça fait partie du but de l'épreuve de savoir construire un brute-force "intelligent"!

Salut a tous! Perso, vu que j,aime bien les maths, j'ai voulu eviter d'attaquer avec un Brute Force direct, et de trouver une autre methode, mais y a un truc qui me turlupine. Peut etre que quelqu'un a une reponse :
si je regarde l'algo, la formule de calcul de la somme peut s'ecrire : SIGMA(i=0; i=n; Index1(i)*Index2(i)*(i+1)^3*n), ce qui peut s'ecrire n * SIGMA(i=0; i=n; Index1(i)*Index2(i)*(i+1)^3). Autrement dit, il faut que checksum = n * une somme.
Mais le checksum est un nombre premier... Vous voyez ou je veux en venir? (j'ai peur d'en dire trop si je continue mon raisonnement :p).

Quelqu'un a une explication a me proposer?  =)
Bonne journee a tous

PS : desole pour l'absence d'accent, mais les claviers tcheques et moi on est pas tres copains ^^

EDIT : vous embetez pas, j'suis dans les choux, j'avais juste oublie l'initialisation :p desole ^^

Salut a tous! Je viens juste d'arriver sur ce site. Plutôt sympa d'ailleurs. Jusqu'à ce que j'arrive sur cette épreuve...


bein, non justement. Si tu regarde bien le "vrai" checksum n'est pas un nombre premier (et heureusement d'ailleurs) puisqu'il n'est pas initialisé à 0 mais... à 1.   :?
A mon avis, ton raisonnement a tout de même du bon. S'il ne permet pas de trouver la solution, il permet au moins de connaître avec certitude la longueur du login, ce qui est déjà beaucoup.  :idea:

Hi,
I think this challenge is little stupid. There are many passwords that are correct in function Check() but not correct in URL. I think that javascripts challenges doesn't involves bruteforce attack or dictionary attack. I don't know French so I can't even select correct password from the generated list (my list has above 400 passwords).
Sorry form my English.

D'ou le "titre" du site : Challenge Informatique Francophone, non ??

Je reviens sur ce fil car je patauge grave de grave
pas de pb pour le brut force mais je récupère en final plus de 20000 login possibles (sur 6 cars)
J'ai essayé avec 5 cars mais bon, j'ai pas cherché plus loin vu le password
J'ai lu que le login était repérable assez facilement dans la liste, mais sur autant de possibilités, je ne vois rien
Oserais je demander quelle est au moins la 1ere lettre ?
Sinon, ben tant pis, je validerais pas ce challenge
Au passage, ça aurait été plus sympa que le login soit le nbr possibles de login plutot qu'une liste imbuvable

A+

Oh mais tu peux demander ! Mais ne t'attends pas à une réponse !


C'est le jeu ma pauv' lucette !

Enjoy

The lsd

Bon j'ai trouvé
merci ma vue   :|
Je persiste et signe
Ça aurait été mieux de demander le nbr exact de logins possibles
Car le vrai challenge, c'est de coder le brut force  et qu'il fonctionne


A+

Salut, est-ce que le +10 doit s'additionner à l'index ou s'appondre derière ?

Ben fais des tests en local, tu verras bien ;) Tu fais une page web toute bête avec la ligne qui te poses question et tu auras ta réponse.

Enjoy

the lsd

Bonjour j'ai analysé le code, je vais réaliser mon 'bruteforce' en C et j'ai supposé quelque chose qui me semble pas si bête à la vue de cette épreuve.

Hypothèse : /* censuré */

Ais-je raison ou dois-je considérer plus ?

Si vous pouviez me répondre (mp ou forum) ça serait sympa.

Ne considérez pas cela comme une demande de mendiant mais juste je voudrais savoir si je vais perdre du temps ou pas :D

Merci d'avance.

sa va vous paraître sûrement bête ma question, mais si on fait un BF local (j'avoue j'en en ai encore jamais fait, je vais apprendre, ...) on va trouver une longue liste (au moins 1000 mots) mais le hic, c'est qu'on pas s'amuser à tous les tester les logins non ?

Et la deuxième chose, c'est le password à rentrer, c'est bien celui qui est écrit en pure et dure dans le code ? Car j'ai pas l'impression qu'on le change, mais qu'on l'utilise pour le login.

Merci pour vos réponses(ou remarques) pour mes questions :)

Ouf, j'ai enfin trouvé !  =)

Conseil : pour trouver le pass, soyez patient (quelques heures) ! Mais surtout optimisez un minimum votre code, et n'utilisez pas JS ni PHP (trop lents) sinon vous allez mettre 3 mois pour trouver la réponse !! A moins qu'une méthode plus rapide que la mienne existe ???

Enfin ...

Validé après 6 heures de labeur mouarf  :wink:

j'ai analysé un petit peu le source et j'ai trouvé que:
n=Math.max(nblog,nbpass) peut être une faute ou un aide, normalement c'est min pour que substring peut extraire les caractères  a partir de login et pass
et si elle correct donc le login contient 6 caracteres donc il faut faire un brute force sur 6 caractères est que je suis raison ou non?

On ne te diras certainement pas la longueur du login. Au lieu de demander si tu as raison ou pas, pourquoi ne testes-tu pas avant ? Et en plus, tout est dit dans ce forum!

Bonsoir à toute et tous!!

je n'aijamais utilise de BF, je vais d'en télécharger un sur code source, je l'ai compilé mais maintenant... comment le faire fonctionner??? j ai l'invite de commande qui se lance je défini la longeur min et max etca commence... mais dans le vide j'ai l'impression a moins qu'il detecte tout seul des champs a remplir ???
Si quelqu un peut m'aiguiller ca serais super sympa  ;)!

Yop yop,

Il est très important de comprendre les code source qu'on compile et qu'on éxécute,

Certaines fonctions du code sont peut être indésirables, voir néfastes !!

sinon je peux t'affirmer que le programme ne trouvera pas tout seul le script et le champ à bruteforcer... au mieux ton programme te génère un dictionnaire dans le répertoire courant...

Le mieux est d'apprendre un langage et de coder ton bruteforce, c'est d'ailleurs la la vocation première de ce site. (apprendre hein pas bruteforcer !)

Bonne chance !

je suis tout a fait d'accord avec toi ;) mais je ne comprends pas comment on trouve un mdp avec un BF. mon but n'est pas de men servire a toute les sauce, simplement de comprendre. curiosité quand tu nous tient! et je suis en train d'apprendre le js (je débute)

PS: même sur codes sources il peut y avoir des prog malicieux??? (dans le sens infection pour celui qui l'execute)

Tu prends le problème dans le mauvais sens, en lisant le forum.
Il faut que tu commences par examiner précisément l'épreuve. Une fois que tu as compris comment elle fonctionne, là, tu devrais comprendre qu'il n'y a pas d'autre solution que le BF. Mais là encore, le travail n'est pas terminé, car tu ne trouveras aucun outil sur le net pour faire ce qui est demandé. Le BF, c'est à toi d'en écrire un, adapté à l'épreuve.

ok donc si j'ai bien compris je ne suis pas sortie de l'auberge ^^!!

mais **orthographe !** comprendre la philosophie du BF pour linstant ce n'est pas l'epreuve en elle meme qui m'intrigue mais le BF parceque ca fait longtemps que je connait l'existance de ce petit log sans m y être intéressé donc la c'est l'occaz

Ce n'est pas un logiciel. C'est une technique théorique cryptographique, qui consiste juste à tester toutes les possibilités pour trouver la bonne, sans préciser s'il s'agit de casser un mot de passe système, la clef d'un message chiffré, ou la validation d'une épreuve de javascript :). C'est bien pour ça que tu ne trouveras pas de logiciel tout fait adapté à cette épreuve.
http://fr.wikipedia.org/wiki/Attaque_par_force_brute (http://fr.wikipedia.org/wiki/Attaque_par_force_brute)

Une nouvelle fois, la première chose est de lire et comprendre le code javascript, le reste me semble couler de source...

Merci _o_ pour cette réponse clair!! ;)

Bonne Année et Meilleur Voeux à Tous et à Toutes :D

J'ai une question que j'espère ne sera pas une bêtise de ma part :
Pour quoi le password ?  :shock:
/* Modéré : la démarche, c'est réfléchir, supposer, essayer, rater, recommencer. N'attends donc pas trop de réponse. */
J'espère que : soi je me trompe et vous me me le dites avant que je commence mon BF c'est à dire vous me répondez ce soir , soi je me trompe pas .  :D
Merci d'avance adminS .

As tu lu le reste du topic ? La réponse à ta question y est très certainement !

Enjoy

The lsd

Merci pour cette chaleureuse réponse que j'attendais depuis hier .
Non je n'ai pas trouvé dans le "reste du topic" , à chaque fois je trouve une chose bizarre avec cet épreuve comme par exemple :
le nombre de parenthèses ouvrantes n'est pas égale aux nombre de parenthèses fermantes  :shock:
C'est important de savoir à quelle niveau s'arrête la boucle je crois non ?
On a le droit de poser des questions j'espère , c'est un site d'apprentissage après tout .

Je ne comprends pas pour quoi personne ne me répond , est ce qu'il n y a plus d'admins ou/et "d'experts" ou ces épreuves sont maintenant tout à fait négligés . Je ne parle pas que de ce poste , j'ai poster aussi dans une autre épreuve et toujours pas de réponse.

Ne le prends pas mal, mais si personne ne réponds, c'est qu'il n'y a peut être aucune réponse à faire. Je n'ai pas vraiment bien compris ta première question dans ce topic. Pour la dernière en revanche, je n'ai effectivement pas grand chose à répondre, car je ne vois pas bien ce que viennent faire ici les parenthèses. Et en supposant que tu confondes avec des accolades, j'ai beau recompter, j'en trouve autant qui s'ouvrent et qui se ferment. Et c'est heureux, sinon le code ne fonctionnerait pas.

Oui je parle des accolades ( désolé ) , pour la première boucle normalement elle se termine au niveau de "var n=Math.max(nblog,nbpass)" il n'y a ni accolade ni point virgule , je ne vois pas comment ça marche et si elle ne se termine pas à ce niveau c'est qu'on à faire à deux boucles imbriqués.
Pour la première question , le password est une constante d'après l'algorithme de plus c'est seulement le login qu'on trouve dans l'url si on valide l'épreuve . Je ne vois pas donc pour quoi il y a un champs "Password" à remplir pour valider l'épreuve.
En bref moi j'ai compris qu'il faut tester tout les logins possibles qui vérifient l'épreuve pour jusqu'à ce qu'on trouve celle stocké dans le serveur disant de NC et qui valide l'épreuve.
Merci infiniment pour votre réponse .

Je ne comprends pas. Pourquoi devrait-elle normalement se terminer au niveau de la ligne que tu cites ? Pourquoi on ne pourrait pas avoir deux boucles imbriquées ? Sérieusement, au total, les nombres d'accolades ouvrantes et fermantes sont identiques. Si l'indentation te gêne (je confirme qu'elle n'est pas super propre), réindente dans ton éditeur de texte favori (un éditeur de texte normalement constitué doit savoir faire ça tout seul, sous réserve qu'il connaissance le langage de programmation utilisé). Il n 'y a vraiment aucune ambiguïté à ce niveau.

Moi, sans ambiguïté, je n'ai rien compris à la discussion :P

BF en php lancé sur six caractère, ça a pas l'air d'avancé vite... je croise les doigts pour que je me soit pas planté dans le code. Je suis sceptique, mon code ne trouve pas de mot compatible avec 5 caractères....

Edit: Ho le lapsus!

Moi aussi. (http://www.cnrtl.fr/definition/septique)

Enjoy !

Ma demande parait peut-être osée, mais qui ne tente rien n'as rien. Parmi les mots qui satisfassent l'algorithme mais évidement pas l'épreuve, est que quelqu'un pourais m'en envoyer un ou deux par MP histoire que je puissent vérifier que mon script fonctionne correctement?
Edit: Validé!

Lis les mots que tu obtiens, le premier qu'est un vrai mot sera le bon normalement. Et puis si tu veux vérifier si ton algo est bon, le meilleur moyen est de le relire ;)

Salut !

si j'ai bien compris, , cette épreuve nécessite un bruteforce, il n'y a pas de moyen viable de trouver le bon résultat autrement ? (j'aime pas le bruteforce, c'est un peu de la triche :/ ...)


j'avoue que j'ai pas compris tout le code. je n'ai jamais appris le javascript (me suis contenté de mes connaissance en C/java pour comprendre les code jusqu'ici). me conseillez-vous d'apprendre vraiment a en faire pour cette épreuve (et celles qui suivent) ou n'en ai-je pas besoins ?


Merci :)

Il n'y a pas besoin d'apprendre javascript pour voir ce qu'il se passe et du coup pour voir qu'on ne peut que brute forcer, surtout quand on connait déjà d'autres langages... Cela dit ça peut se faire de manière plus ou moins intelligente histoire de gagner du temps.

Brute-force aussi en cours.
J'ai fait ça en PHP, c'est assez proche du JS, mais c'est un peu lent vu que ça ne gère pas le multi-threading =/
Je tente 6 caractères, on verra bien !
Bonne chance aux autres !

Bonjour,

je sais que le bruteforce on ne le fait pas en ligne alors je vous le demande, le login est-il sur le code ou sur le site ?


Edit :


Ok merci Asteriksme

Bonjour
Aide toi et le ciel t'aidera !
Autrement dit : lis le code (et comprends-le), et tu devrais être en mesure de répondre à ta question.

Bon, je trouve rien avec PHP ... mon script doit être un peu foireux, j'ai essayé de pondre un code en C, mais je suis mauvais, j'en suis à le débugger là >.<
Pourtant sous Linux ça doit poutrer mais bon, j'suis mauvais j'suis mauvais c'tout.
Un conseil de langage de programmation performant et simple ? Plutôt interprété, genre Perl, Ruby, Python, etc., lequel ?

Styx, si tu veux un langage performant, choisis plutôt un langage compilé, comme C ou C++, sinon Java me parait pas mal pour sa simplicité.

Personnellement, Je me suis lancé en C++ sous nunux virtual boxé, j'ai lancé 2 fois mon programmes, pour 2 longueurs de login différentes (ouai! je sais pas lire! et je sais pas réfléchir non plus! et alors? >.<).
Je vois mon core i5 tourner a 50% (forcement, 2 threads, ça peut utiliser que 2 cores x), j'espère juste ne pas m'être planté dans mon algo ^^'

edit : un thread terminé au bout de 3h et aucun résultat, j'ai comme l'impression que je me suis trompé dans mon raisonnement x)

J'ai tester un algo en php sur * caractère maxi et nada  :evil:
J'avais mis quelques restrictions pour éviter des boucles inutiles on va tenter sans...

Mais **orthographe !** c'est long en php ^^ mais bon c'est le seul langage que je maitre approximativement ^^

*Mon programme C a craché en quelques secondes plus de 20 000 logins à priori fonctionnels; maintenant il ne reste semble-t-il plus qu'à lancer un brute force sur le serveur de newbiecontest pour trouver quelle est la bonne page PHP...

Je t'arrête tout de suite:


Va falloir trouver un autre moyen si tu ne veux pas te faire bannir.
Et une bonne idée serait de lire les règles ;)

Pas d'inquiétude, je sais lire  :rolleyes:

Lorsque j'aurai magiquement deviné le bon élément parmi la liste, je regarderai comment les autres ont fait.

Ah les hypothèques il faut faire attention, tu risques de perdre ta maison.

PS: y'a pas que le langage sms qui pique

bonjour a tous 
j’espère que la question n'a pas déjà été posé  :? : faut-il brute forcer le login et le pass ou juste le login ??

autre question, a propos du JavaScript (j'avoue que je connais pas grand chose a ce langage ... mais ca ressemble un peu a java et c) :
                           
si je comprend bien ... tabc = 3696619 (la valeur passer en paramètre a l'appel de Check)   , Je n'ai pas trouver d'info sur google pour ".arguments" ...
Dites moi si je me trompe svp ... pour savoir si ma traduction de l'algo JS en C est correct(ou pas)

merci d'avance pour vos reponse  =D

La réponse est dans le code. :)
Sérieusement, le but est de comprendre la fonction. Ce genre de question ne se pose donc pas, ça fait partie de l'épreuve.


La réponse doit pouvoir se trouver quelque part là-dedans (première page de google avec les bons termes de recherche) :
http://fr.selfhtml.org/javascript/objets/index.htm

C'est ce que je me disais mais vu certains commentaires j'avais des doutes =)

Merci pour le lien ... j'ai pourtant cherché je l'avais pas trouvé  sur google :/

AHHHHHH! Quel plaisir de valider  =D!!! Par contre,c'est quoi le rapport avec Game over??

Juste pour répondre à quelques post : "azlchz" ne marche pas ! mais répond à l'algo...

@moderateur ; Supprimez ce post si vous estimez qu'il apporte trop d'aide ...

Justement, y'en a des tonnes de pass possible... mais le but c'est de trouver le bon (il veut dire quelquechose, donc c'est pas un truc comme tu as trouvé qui ne veut absolument rien dire du style dsklmsdq).

Mon BF tourne, on verra, cependant je m'interroge  :
- L'utilité de savoir coder un BF : OK
- Pourquoi ne pas restreindre les caractères à une plage plus courte, je ne vois pas l'utilité de faire tourner des milliers de BF ( chaque personne qui fait les challenges ) pendant des heures.

Sinon chouette challenge, perso j'ai opté pour Python, 20 lignes sans chercher à optimiser  =D

J'avais 28 lignes de PHP à l'époque et une solution en 17 secondes.
En mars 2007 avec une machine déjà très vieille :)

Comme quoi il doit y avoir moyen de faire mieux.

ben t'façons on peut tout faire en une ligne et ça sera très très moche. Par exemple en mode utltra condensé j'ai réussi à faire "Le plus faible" (en entière, en comptant la deuxième étape et les includes) en 14 lignes ! mais bon on s'en fout en fait.
Enfin ce qui prend le plus de temps c'est de chercher les mots qui existent parmi les solutions possibles en fait.

Comment ça, on s'en fout ? (http://codegolf.com/)

J'ai créé un bruteforce en C qu'y arrive à fonctionner.
Il me génère des mots de passe rapidement avec le nombre de lettres minimum et maximum, mais je me demande comment le faire fonctionner sur le site.
Mon programme génère des mots de passes sur ma fenêtre d'execution et ça s'arrête là.

Merci. :)

C'est très bien comme ça. Si tu fais tourner ton prog "sur le site", cela signifie que ton prog va essayer chaque mot de passe sur le site. Ca s'appelle donc bruteforcer le site et c'est totalement interdit. Il faut donc que tu examines les mots de passe que tu as généré en local et tu trouveras. Si besoin, relis tout le "matériel" à ta disposition (énoncé, forum...).

Je n'ai qu'un vague souvenir de cette épreuve mais il me semble que beaucoup de solutions sont possibles.
Le mot de passe doit sûrement vouloir dire quelque-chose, autant essayer de trouver un vrai mot.
Un peu comme on pourrait le faire avec JTR...

Merci à vous, je vais continuer de chercher alors ! :)

Bonjour. Voila je poste ici car je pense que mon BF a fonctionné
Cependant histoire de diminuer considérablement mon temps de recherche, Le Login mélange Maj/et nonMaj ou bien y a t'il une seule Maj dans le Login

Salut Divemaga,

je me permet de te répondre parce que j'ai sué sur cette épreuve.  :lol:
Si tu relis bien tout le forum tu auras ta réponse.
Et puis tu peux tester avec MAJ, avec NUM,....  ;)

Bon courage

Il y a un point que j'ai du mal a éclaircir dans ce code javaScript,

Le tabc=Check.arguments récupère sous forme de tableau les arguments entrés, ca ok
Mais après, lors du premier tour du premier for on obtient donc : checksum = tabc[0], soit checksum = 3696619, mais lors du second tour et des suivants, que va retourner le tabc[no] puisqu'il y a qu'un argument ?
Ça ne semble pas logique que checksum soit égale à null, donc il y a quelque chose que je ne comprend pas =D

Deuxième soucis technique que je rencontre lors de la conception de mon BF en java, le substring me retourne une erreur bien légitime lorsque j'essaye de récupérer un indice plus grand que le login ou du password, d'où ma question, comment javaScript gère ça ?

Voila j'espère que vous pourrez m'aider

Voyons, la valeur de no varie entre 0 et quoi ?


C'est probablement marqué dans la doc : https://developer.mozilla.org/en/JavaScript/Reference/Global_Objects/String/substring (https://developer.mozilla.org/en/JavaScript/Reference/Global_Objects/String/substring)

En effet merci du coups de main, ça devais aller mieux  :wink:

Trouvé après avoir codé un BF en C++, après une nuit de travail à choper des mots valides,il en restait une bonne tripotée.... j'ai donc affiné un peu mon programme grâce aux indications de ce topic et...... en 5 min j'ai eu le mot ;)

Merci pour les indices !

Bonjour, j'ai pas fait du reversing,
C'est un peu long, mais c'est trouvable car un compte n'est pas une suite de caractère au hasard.
J'espère ne pas trop en avoir dit.

Bonjour,

J'ai commencé à coder un programme de BruteForce en c pour l'épreuve. J'ai donc essayé de transcrire le javascript en c. En principe ayant compris l'algorithme je pensait pas rencontrer de soucis.
Mais malheureusement mon "sum" est toujours 10 fois plus grand que le "checksum" (toujours un 3 devant en plus, 3xxxxxxx au lieu de xxxxxxx).  Est-ce normal?
Est ce que ça serait possible de faire lire mon code a quelqu'un pour régler ce souci ?
J'ai déjà fait tourner mon programme 2 jours avant de remarquer le souci et ça fait une semaine que j'essaye de régler tout ça sans succès ...

J’espère que ce n'est pas trop demandé, je ne demande pas de solution servie sur un plateau d'argent, mais juste un peu d'aide.
Ça serait hypocrite de demander de l'aide sur un autre site d'info...

Merci,

Si tu vois pas ce qui cloche dans ton code t'as qu'à enlever 30000000 à ton sum!
mais à mon avis c'est une erreur de programmation.

lol asteriskme, je suis sûr qu'un truc cloche dans mon code, une variable mal définie ou une m**** dans le genre. Retirer une constante j'ai essayé, ça me donne des résultats, mais bon .... aucun qui est viable ^^
Je continue de chercher. Au pire je m'avouerai vaincu, jusqu’à ce que je m'y remettes :)

j ai trouvé les mots mais le problème il faut trouver le bon mais il me faut un indice **No Sms** ke le login **No Sms** nom de la page de redirection alors il ne devra pas contenir des caractères spéciaux mais quand meme ya trop de mot une petite aide s'il vous plais j ai tt fais sauf choisir le mot exacte :s   

J'suis fatigué aujourd'hui. C'est moi ou ton post veut pas dire grand chose !?

Dites le moi hein si c'est moi qui ait du mal là, j'veux bien avouer ma faute pour une fois, profitez en !

Enjoy

The lsd

Merci enfin j ai trouvé le mot est c un joli mot  =)

c'est toi the lsd t'es nul tu comprends rien!


mais apparemment je suis fatigué aussi aujourd'hui...

Bonjour à tous,

j'ai fait cette épreuve que je trouve très intéressante. Je tiens par contre à indiquer une sorte de "bug" que l'on pourrait rencontrer :
--> lorsqu'on a trouvé le code Javascript utilisé pour le challenge et que l'on souhaite le copier en local pour le tester et pour l'utiliser pour la réalisation du programme de brute force, il faut faire très attention : car lors d'un copier-coller survient un bug. Celui-ci se trouve dans la variable (tableau) contenant l'ensemble des caractères possible pour la génération du login. En effet la variable "tab" contient comme premier caractère un espace blanc, en réalité il faut insérer 19 (!) espaces blanc au début de ce tableau (un simple copier-coller insère en fait un seul espace blanc au début du tableau et cela impliquera que l'algorithme permettant de calculer le checksum ne sera plus correct (n'est plus cohérent avec la version originale disponible sur le site).

Voila je me permet d'indiquer ce bug car il ne s'agit, d'après moi, pas du but du challenge qui consiste a trouver le login et non pas a corriger une erreur (bug) de copier coller ;)

Ben en fait, non, c'est pas un bug hein ! J'ai bien 19 espaces dans la source de la page, et 19 après avoir fait un c/c. M'est d'avis que c'est ton IDE (ou ton browser, mais ça me paraîtrait étrange).

Enjoy

The lsd

juste, vu le nombre allusinen de login "nonfaux" mais non valide, pourais je savoir si le login est un vrai mot ou non

quelle bonne idée d'avoir mit autan de possibilité, comme sa, tu nous oblige a faire une pause de jeu pendant disons.. une bonne semaine?
nan sérieux on peut pas juste me donné la première lettre parseque la(généré en 1h et demi, et c'est LOIN d'être finie):
3696619  3696619
aaJRrr
3696619  3696619
aaWRuz
/* modéré : ça va, on a compris */

Ça vous ferait mal là où je pense de lire le forum ?

vu le nombre de page , oui :D

sérieux, vous voulez pas lâché un indice sur l’algorithme?
je génère a peu près 1 nouvelle première lettre toute les deux heures, j'ai pas envie de faire tourné le **orthographe !** pendant 5 jours et demie (véridique) puis de m'amusé à regardé quelle login est un vrai mot, et sa , en admettant qu'il a 6 lettre, sinon c'est partie pour 5 jours de plus....

Ouh là ! Toi tu vas pas tarder à te faire tapoter les fesses hein !

1. Tu peux pas JUSTE UN PEU faire attention aux fautes ! Ça fait près de 10 ans que les correcteurs orthographiques existent sur les navigateurs.

2. Donner un indice ? Ça c'est une bonne idée tiens, j'ai justement le mot de passe de l'épreuve qui traîne dans un coin... Attends un peu... Sous cette feuille peut être ? Ah non ? Dans le tiroir ? Non plus ! Bon ben désolé.

3. Je suis désolé qu'il y aie 11 pages, c'est vrai, c'est ma faute, je devrais en faire un résumé et te l'envoyer en PM. Mais uniquement à toi hein ! Les autres, on s'en font, c'est des cons, il n'ont qu'à lire !

4. Mais d'ailleurs... 11 pages ? Ça fait 156 messages... Ca fait 78 personnes qui demandent des indices, et 78 réponses négatives. On est des salauds chez NC quand même. On vous fait des épreuves, on vous donne accès à une source de tests énorme. Et on vous donne même pas les réponses... /me slaps himself

5. Nan en fait, je suis médisant, il y a pas 78 demandes d'aide. Il y a plein de messages qui contiennent des indices ! Suffit de lire. Ce qui me ramène au point 3. Je vais donc tout lire et te donner un résumé.

6. Oh ! Au fait, si ma réponse ne te plait pas, je pense que je m'en fout royalement

Bref, si tu veux avancer, creuses toi les méninges, ça vaudra mieux pour toi

Enjoy

The lsd

Bonjour,

Cela fait plusieurs jours que je bloque sur cette épreuve.
Je n'arrive pas à comprendre cette résolution... :/
J'ai bien trouvé la "Checksum" et la "MD5 Hash" mais je ne comprends pas comment faire la relation entre ce que j'ai trouvé et le login.
Sur le forum on parle beaucoup de BruteForce mais le BruteForce me donne la "Checksum" et non le login...
Pouvez-vous m'éclairer un peu sur le sujet car je suis un peu perdu? :idea:

Merci d'avance
Crach60

Tu n'as pas bien compris l'algorithme. Le checksum est calculé à partir du login. Tu dois donc trouver le login qui donne (après ce calcul) le bon checksum (mais le bon checksum est déjà donné dans le code).

Non je n'ai pas trop compris... :/
Je pensai qu'avec le checksum tu aurais pu trouver le login.
dans ce cas je ne vois pas du tout comment on peut faire.
Aurais-tu des conseils à me donner afin que je puisse y travailler?

Cordialement
Crach60

Avant de chercher à coder quoi que ce soit, assure toi d'avoir entièrement et parfaitement compris le code. Tu sauras alors quoi coder, tu n'auras plus qu'à trouver comment le faire.

Le problème est que je comprend pas le code. :rolleyes:
As-tu des sites qui expliquent quelques parties de ce code ou tout du moins des exemples proches, afin que je penche la dessus.

Merci
Crach60

Il ne faut pas que tu essaies de trouver un code ressemblant à celui-ci qui soit expliqué. Le mieux est d'apprendre le javascript (ou un autre langage de programmation), et quand tu réussiras à coder quelques trucs basiques tu pourras retenter l'épreuve plus sereinement.
Pour les bases, le siteduzero est (était? je n'y suis pas allé depuis des années) très bien.

D'accord.
Je vais suivre ton conseil et je vais aller éplucher le Javascript que le site du Zéro.  ;)

Merci de ton aide
Crach60

Asteriksme,

Je reviens auprès de toi pour savoir si j'ai bien compris..

1° Le checksum nous est donné.
2° Le checksum est égale au login.
3° Entre le checksum et le login il y a bien un hash à trouver pour ensuite trouver le login? :idea:


Merci
Crach60

Non, j'insiste sur le fais que tu dois être sûr de comprendre le code avant de te lancer dans la recherche du login.
Le checksum est donné, la fonction pour passer du login au checksum est donnée (mais le checksum n'est bien sûr pas égal au login !)
et pas d'histoire de hash à trouver...

Ah d'accord..

Car je vois pas trop par ou commencer dans le JavaScript.
Le début sera le mieux je pense.

Merci pour ces infos.

Cordialement
Crach60

Bonjour,
Le problème, pour moi, sur ces épreuves n'était pas javascript bien que je n'en avais pratiquement jamais fait avant.
Toutes les épreuves javascript peuvent se validée avec uniquement une bonne lecture du code, savoir chercher les méthodes et fonctions utilisé.
Si tu maitrise d'autre langages cela va t'aider.

Pour bien commencer, demande toi déjà ce que tu veux faire , ou veux tu aller.
Fait attention au conditions des boucles et des if.
Toujours faire attention aux variables et leur contenu.
Tout cela va t'aider à structurer ta réflexion afin d'entrevoir une solution.
N'oublie pas qu'il n'y a jamais une unique solution à un problème  et que prendre du recule sur un problème permet une meilleur ouverture d'esprit.
N'hésite pas à faire des tests en local car le javascript ne demande qu'un navigateur pour être exécuté.

Par contre si tu n'as jamais fait d'autre langage de programmation les tutos du siteduzero sont très biens, très pédagogues.

Merci pour ton message.  ;)
Justement je connais très peu de langage et je souhaite apprendre petit à petit.
Je suis actuellement en pleine lecture sur le site du zéro, il me reste plus qu'à comprendre le fonctionnement.
Je te le cache pas que je ne sais pas par où commencer ...
Mais apprendre c'est comprendre ;)

Cordialement
Crach60

Salut

Ben voilà, je me tourne vers ceux qui ont réussi.
J'ai fait un bruteforce en python, qui retranscrit l'algo (normalement).
J'ai plus de 672 réponses mais je trouve pas la bonne.

J'ai optimiser l'algo... je vais voir mais si une âme charitable passe par là ^^

Quelqu'un de dispo pour que je lui file mon algo pour qu'il vérifie ?

Merci

Salut ddp_ludo,

Parmi tes 672 réponses, il y en a une qui devrait te paraître meilleure que les autres :)
Ca saute pas forcément aux yeux, mais essaye ce qui te parait être le plus "intelligent" à valider.
Courage tu y es presque :) Tu peux m'envoyer l'algo si tu veux, mais je n'ai aucun doute sur le fait que tu sois proche de la solution.

Salut SpleenKirby

Pas d'adresse mail dans ton profil, et le site me dit que je n'ai pas encore assez de points pour envoyer des messages personnels directs dans ta boite...

Une idée ? :p

Valide quelques épreuves, c'est pas la mer à boire d'arriver à 100 points

Bonjour bonjour,

Je suis en train d'essayer d'optimiser mon BF vue qu'une personne du forum a réussi avec un code PHP à sortir une solution après 17 secondes... Du coup, j'ai lu tous les postes et trouvé pas mal d'indices.

Malgré la lecture du code JS, je ne comprend pas comment on peut déduire la taille du login. La taille minimale d'accord, mais la taille maximale est impossible à deviner, je me trompe?

Concernant l'alphabète (en terme de cryptographie), est-il possible de la restreindre juste en lisant l'algo JS? J'ai l'impression que c'est plutôt ceux qui ont réussi l'épreuve qui on réduit l'alphabète en se basant sur la réponse trouvée.

Merci pour vos réponses  =)

Ouais, il est possible de trouver la limite haute du login, un brin de réflexion suffit :)

Pour la réduction de l'alphabet, il est possible aussi de le restreindre. J'ai pas encore trouvé la solution pour le réduire à l’extrême, mais il est possible de supprimer un grand nombre de possibilités facilement

Enjoy

The lsd

Bon, après 1h de recherche dans une liste de plus de 1000 mots (avec majuscules et minuscules seulement), je désespère .... Pouvez-vous juste me garantir qu'il n'y a pas de chiffre ni de symbole dans le password ? Parce que sinon j'obtiens une liste de plus de 4000 mots et c'est abominable ^^.

(je précise que tous les mots sont justes puisque le navigateur fait une redirection pour chaque, donc mes listes sont bonnes).

Merci par avance!

Bon, j'obtiens 20926 résultats valides pour des login /* modéré */ en 95secs (en optimisant un peu)  =D

Il y a donc quelque chose qui m’échappe car je ne me vois pas les lire un par un pour trouver un login probable.
De plus, je ne peux pas tester tous mes résultats sur le site NC (bruteforce interdit)
Je sèche un peu là...
L'usage d'un dictionnaire serait-il finalement obligatoire ? (ou tout du moins fortement conseillé...)

A la limite tu peux utiliser un dictionnaire pour filtrer sur les mots qui sont susceptibles d'exister, mais c'est pas impossible que ça loupe.
Sinon tu peux parcourir la liste du regard, y en a bien un qui va attirer ton attention ! la plupart des gens ont fait comme ça.
Peut être aussi que ton optimisation n'est pas optimale ;)

Salut

PEUT ETRE SPOILER POUR AUTRE CHALLENGE ATTENTION



alors c'est probablement pas utile pour la résolution en soit, mais j'aurais aimé savoir pourquoi il m'est impossible de modifier le code source javascript avec 'inspecter cet élément' sur firefox (j'utilise firebug en plus) comme il peut être intéressant de le faire pour résoudre un certain challenge (biensur pour ce que je veux en faire ici cela n'a pas forcément d'intéret mais c'est plutot une question d'ordre général: ) le code javascript serait il protégé sur certaines pages , et si oui comment peut on le repérer ?
(A noter que je n'arrivais pas à le faire sous chrome pour l'autre challenge en question , (juste modifier la page et pas le script , exactement comme maintenant sur celui-ci) mais qu'avec firefox cela marchait )
Voilà j'espère ne pas avoir trop spoilé d'autres challenges (pas trouvé de balise spoiler :s )

Salut,

Il est possible de modifier le code source de la page avec Firebug (en local bien sûr), à condition de savoir s'en servir ;)
De plus, Firebug a un onglet "Script" dans lequel le contenu de toutes les balises scripts de la page est listé.

Bon courage

Bonjour à tous,

Bon... je bute depuis un moment. J'ai bien codé mon BF, duquel j'ai obtenu une bien belle liste de 1118 résultats...

Avant de me faire insulter, je tiens à préciser que j'ai lu l'intégralité des treize pages du topic d'aide. J'y ai glané pas mal d'indices (dont un certain nombre qui m'ont conforté dans mes choix et quelques uns fort précieux :-) ).

Sauf que voilà, si j'ai bien compris (arrêtez-moi si je me trompe, modérez-moi si j'en dis trop XD ) on cherche le login de quelqu'un. Quelqu'un qui aurait séjourné régulièrement sur IRC probablement... mais bon, pas sûr que cette info soit encore valable. Ou alors je n'ai pas compris ce que la personne voulait dire par là (peut-être "viens demander de l'aide sur IRC" ?). En tous cas je suis passé sur le chan tout à l'heure et aucun nom parmi les présents ne m'a particulièrement fait "tilt".

Donc, j'ai essayé de limiter un peu ma liste. J'ai décidé de ne garder que les possibilités contenant deux ou trois voyelles, car pour obtenir un nom à six lettres prononçable, ça me paraît cohérent. Mais je n'ai bien sûr aucune certitude de ne pas avoir éliminé la bonne possibilité :-/

J'ai quand même encore 618 possibilités. Et pour moi, "zluref" est aussi plausible que "degaly" ou que "relave" (le seul _vrai_ mot français que j'ai trouvé dans ma liste). Je reconnais que "yxeckz" ça passe moyen...

Alors bon, je suis peut-être (j'espère), comme pas mal d'autres avant moi, "sur la bonne piste" mais si quelqu'un pouvait me filer un tuyau pour limiter davantage, je serais preneur... car s'il faut retrouver le pseudo d'un des 50000+ inscrits, je vois pas l'intérêt... donc ça doit être plus simple que ça...

Si tu as la liste, il n'y a pas grande chose de plus à faire en fait ^^'
Ce que tu peux faire, c'est comme tu as dit, filtrer sur les mots bizarres. Genre virer tout ce qui a trois consonnes d’affilée, ça te permettra de réduire un peu le listing.

Après, bah... faut lire, perso, j'ai scrollé, mes yeux ont vu un truc un peu au hasard, j'ai testé, c'est passé :D


Enjoy

The lsd

Si j'utilise un BruteForce en Python ça passe ?

J'ai mis plusieurs jours en python perso. Je me suis servi de ce chall pour apprendre python donc mon code n'était pas optimisé. Mais bon, de base python est lent hein.

Enjoy

The lsd

Je pense que le language C reste le plus performant,après je suis loin d'être un expert en C et je préfère donc rester avec mon petit script Python.
 TheLSD  =D

Hello, J'ai fait mon brut force en python et je trouve le code mais j'arrive sur un 'page not found'
Est-ce que l'épreuve fonctionne toujours ou bien ais-je un problème avec ma souris ? :wink:

Bon, je me suis fixé un game over trop tôt dans mon script  :oops: Je creuse encore...

Est ce qu'une fois que nous avons la liste des mots possibles, on peut les tester automatiquement sur le site en respectant un délai de 5 sec entre chaque requete, ou c'est considéré comme du bruteforce (à mon avis on peut pas mais je demande)
Merci :)

Non, on peut pas ! :)

Enjoy

The lsd

En comprenant un minimum ce qu'on code (à partir de la fonction que tout le monde voit) le bruteforce prend 12 secondes en C#.

Donc si votre programme met plus d'1 minute, c'est que c'est pas le bon ! (ou qu'il est très mal écrit)

Après pour le pass, sur les 22000 possibilités, ya moyen de trouver rapidement quand même ! Je ne dis pas comment pour éviter la modération ^^

Je tiens à préciser que j'ai pas mal chercher par moi meme et qu'après, je me suis tapé les 13 pages du topic. Qui, soit dit en passant, ne m'ont pas franchement aider puisque a part indiquer qu'il faut se servir d'un BF et qu'il y a beaucoup de pleurnichards ici, je n'ai aps appris grand chose xd

J'ai donc codé mon BF, betement et simplement. Je boucle sur tous les charactères de tabc ( après n'avoir laisser qu'un seul espace) pour générer tous les logins possibles. Une intuition que j'arrive pas à rationnaliser me dit que le login fait au plus 6 charactères de long.
Ce qui me fait 68^6 possiblités.

J'exécute mon script php en CLI et je mets 2 min 30 pour tester 100 000 possibilités. A partir de la, il me faudrait 1716 jours pour tout tester.
Je suis quelqu'un de patient ... mais pas trop con quand même, et clairmeent il y a quelque chose qui ne va pas.

Je pense que la logique doit pas etre si mauvais, mais que mon BF devrait être optimisé. N'étant pas un expert, je demande humblement de l'aide  a ce niveau la. Est-ce que je dois réduire les champs de possibilité(du genre, pas de mots avec 3 fois la meme lettre daffilée, ou des conditions de ce style. Et l'examen de ces conditions serait il réellement un gain de temps?) ou bien est ce au niveau de la construction de mon code(boucles imbriquées,...) que ca ne va pas?

En tout cas, quand je vois le post précédent qui dit trouver la solution en 1 minute, je reste assez dubitatif.

Je suis preneur de toute aide(et non de réponses). Merci

Ca fait quelques temps que je suis sur cette epreuve (OSEF je sais mais j'annonce le contexte)
J'ai lu attentivement les 13 pages de commentaires (si si).
Si j'ai bien compris
- On ne cherche que le login (le pass est en dur dans le script et me sourit).
- Beaucoup de login vérifient la solution mais une seule est bonne qui permet l'accès à la page qui devrait contenir la solution de l'épreuve. Raison pour laquelle, modifier le javascript en ligne pour faire en sorte que la condition sum=checksum soit vérifiée ne sert à rien.
- Une fois la liste des solutions vérifiant le script établi, il faut la parcourir des yeux et une réponse doit sauter aux yeux.

J'ai tout bon jusque là ?

Je vais me le faire en Javascript ce BF, et en C pour voir la différence (OSEF je sais je sais).

Bravo !
Oui.
Aux yeux ou pas. Si tu veux vraiment être exhaustif, le nombre de solutions dépend du standard unicode (si, si!), et il y en a un gros paquet. Il vaux donc mieux trouver une manière de les filtrer avant de se farcir la lecture (en d'autre termes: "c'est du guécinngue.")
Pour peu que tes yeux ne meurent pas avant d'y parvenir, tu devrais en effet pouvoir l'identifier facilement.

Hello,

si j'ai pas fait d'erreurs, il y a un peu plus de 206 Milliard de possibilités à bruteforcer...  (c'est pas rien même en ayant préalablement réduit l'équation au maximum),
Il n'y a pas une méthode mathématique plus "noble" pour résoudre cette exercice ? *vient tout de même de lancer un bruteforce avant de poster  :lol:*

Bonjour, bonjour,
J'ai vite vu (un peu relatif) que ça soit avec la source ou avec les commentaires qu'il fallait un BF, dans l'ensemble des commentaires le langage le plus adapté serrai le C, mais juste a titre indicatif, en java ou en python, ça prendrai combien de temps? juste histoire d'avoir une idée des différentes vitesse d’exécution, dans un commentaire précédent ils disaient 10s en C.
Merci d'avance  =)

alors ça @JaJPnaL  tout dépend de l'optimisation de ton code, de la puissance de ta machine et enfin du langage utilisé.

un mauvais code en C mettra plus de temps qu'un excellent code en pyton...


le mieux est de tester toi même dans différents langages et tu verras bien  =D, le plus dur dans un BF est décrire l'algorithme pour tester les combinaisons ou reverser, ensuite seule la syntaxe change (enfin grosso modo) dans les autres langages.

ok je vois l'idée merci, je suis entrain d’apprendre le c pour faire l'épreuve alors que je connais déjà le python...  =D =D =D
Merci de ta réponse

J'ai beau retourner la liste des combinaisons possibles dans tous les sens, il n'y a pas vraiment de mots qui ressortent et les rares mots que me semblent avoir une construction cohérente me renvoient vers une erreur 404.

Est-ce que quelqu'un qui a déjà fini cette épreuve peut me confirmer que le bon mot se trouve dans ma longue liste ?

Io,

Envoie moi un PM. Je te dirais pas si le mot s'y trouve, mais je pourrais te guider un peu plus =)

Enjoy

The lsd

W.Bush optimise ta liste de possibilités ou sépare la en différentes listes
Si tu sais ce que tu cherche, tu sais qu'en général on ne le choisi pas n'importe comment
Et la c'est vraiment la méthode la plus simple (si j'en dit pas trop)

unfortunately, it needs a little bit of luck after bruteforcing as even bruteforce gives many possible login

Bonjour,

J'ai vu que dans le forum il était indiqué que le code azlchz fonctionnait.
Quand je calcule le sum de ce code, il me donne 3696618, et non 3696619 comme le code JS le demande.
C'est d'ailleurs plutôt normal puisque le sum ne peut être qu'un multiple de 2 ou de 5.
A quel endroit fais-je une erreur dans mon interprétation du code ?

Merci de votre réponse.

Salut,

T'expliquer pourquoi tu te trompes reviendrait à te donner la réponse...
Je te confirme qu'avec "azlchz" tu obtiens bien 3696619.
Disons donc juste que tu as zappé un "détail".
Peut-être que tu as commencé par la fin ?

Courage, tu es tout près ;)
++

effectivement.
une variable de démarrage mise à 0 au lieu de 1 :)

ENFIN.


Après, je ne sais combien de temps, j'ai réussi cette épreuve.  :cool:


J'ai vraiment aimé là faire celle ci ... sauf la fin ...


C'est quand même dommage de se retrouver avec une liste de 27182 solutions possibles et acceptables. Et d'ensuite être obligé de réduire juste par ce qu'il faut bien et on croise les doigts pour que ça suive une certaine convention alors que le code JS n'en suit aucune.


Heureusement, c'est le cas et j'ai pu réduire à 1542 solutions et trouvé le bon mot de passe.


Bonne chance aux prochains.  ;)