NewbieContest

Challenges => Aide Hacking => Discussion démarrée par: Nebelmann le 20 Janvier 2006 à 10:17:30



Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nebelmann le 20 Janvier 2006 à 10:17:30
Tiens, j'ai l'honneur de poster le premier pour cette épreuve...

Juste un mot : superbe!


Titre: Hacking - Grand sondage hebdomadaire
Posté par: shaka le 20 Janvier 2006 à 10:31:24
je dirais meme plus super chiante! mais super bien!:)


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nms le 20 Janvier 2006 à 10:52:17
Content que ça vous plaise les jeunes! ;)

Et félicitations Nebelmann, je viens de voir que t'y es arrivé finalement! :P

En tout cas, je voulais vous remercier pour tous les retours positifs que j'ai eus sur les dernières épreuves, ça me fait très plaisir! Le but était de proposer des épreuves certes plus dures mais surtout plus réalistes, et obligeant la plupart d'entre vous à se documenter pour les réussir, et donc à apprendre par vous-mêmes. D'après ce que j'ai pu voir en discutant avec certains d'entre vous, le but a l'air d'avoir été atteint sur ces épreuves. Et là j'avoue, je suis un tantinet fier qd même :oops:

Pour la peine jvais continuer à en faire tiens! :lol:


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nebelmann le 20 Janvier 2006 à 11:00:38
Fais gaffe tu prends la grosse tête :lol:

En fait j'ai cogité hier soir dans mon lit, ne comprenant pas pourquoi ca marchait pas, pis ce matin au bahut j'ai réussi en deux minutes :/
Enfin bref, je rattrape CommComm quoi.


Titre: Hacking - Grand sondage hebdomadaire
Posté par: shaka le 20 Janvier 2006 à 11:18:15
ah toi ossi tu reflechi au epreuve de Nms le soir dans ton lit quand tu n'arrive pas a dormir!
Non serieux tres bon travail Nms il me rest plus qu'a faire la 15 :cool:! (mais trop la flemme de coder...:oops:.)
A quand la 17?=D


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nebelmann le 20 Janvier 2006 à 11:47:34
je fais même des rêves d'exploits et de stégano :lol:


Titre: Hacking - Grand sondage hebdomadaire
Posté par: shaka le 20 Janvier 2006 à 12:01:03
lol
moi c'est des cauchemars de logique et de crackme.... :(


Titre: Hacking - Grand sondage hebdomadaire
Posté par: pepekiss le 20 Janvier 2006 à 18:58:14
Je donne les félicitations à Nms moi aussi. Ses épreuves sont tout simplement fantastiques. Plus réaliste que ça, c'est dur voir impossible a faire.

Je dis vraiment chapeau:D


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Kenium le 21 Janvier 2006 à 12:26:55
Ceci est un topic d'aide et non pas de remerciment :evil:! Dsl d'être rageux mais ce que je di est réaliste :) Sinon, oui elle est bien ton épreuve.


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nebelmann le 22 Janvier 2006 à 11:02:11
/kick [K.G] tu oses me critiquer??

ah merde, je suis pas sur la bonne fenêtre ^^


Titre: Hacking - Grand sondage hebdomadaire
Posté par: ulmo le 22 Janvier 2006 à 11:12:05
vous n'auriez pas un **No Sms** un indice ...
merci bcp =)


Titre: Hacking - Grand sondage hebdomadaire
Posté par: popop le 22 Janvier 2006 à 11:32:30
bon alors meme si c'est une questin de noob je prefere la poser au cas ou queqlu'un voudrais bien m'expliquer ou plutot m'orienter.
Donc mon probleme est le suivant:Je ne vois pas comment faire pour localiser les failles (je parle principalement des 4 dernieres epreuves de nms) donc il m'est impossible de les resoudre ni de savoir vers quoi chercher avec google. :rolleyes:
who wants to help me!?


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nebelmann le 22 Janvier 2006 à 11:48:13
Effectivement si tu trouves pas la faille, t'es mal barré... Cependant, tu peux la trouver à partir de l'indice que donne Nms, il faut observer attentivement le site en général, pour pouvoir trouver quel zone est vulnérable, puis ensuite trouver quelle faille peut s'appliquer, et enfin l'appliquer correctement en fonction de ce que tu veux obtenir... pareil pour toi ulmo.


Titre: Hacking - Grand sondage hebdomadaire
Posté par: ulmo le 22 Janvier 2006 à 12:14:40
merci bcp ... je vais chercher


Titre: Hacking - Grand sondage hebdomadaire
Posté par: noitan le 22 Janvier 2006 à 13:07:41
Citation
/kick [K.G] tu oses me critiquer??

ah merde, je suis pas sur la bonne fenêtre ^^
PTPMDR Raté !!!


Titre: Hacking - Grand sondage hebdomadaire
Posté par: absolut le 22 Janvier 2006 à 22:30:49
Bon, j'y remet une petite couche ;) parce que je trouve vraiment que ces challenges sont
vraiment excellents par leur qualite, leur diversite et bien d'autres choses.

Un grand bravo a tous les contributeurs, ils peuvent etre fiers du travail accomplis.

Sincères salutations.

ps: p.t...n d'epreuves =D , je sais comment faire mais j'ai pas encore réussi a obtenir mon pass.


Titre: Hacking - Grand sondage hebdomadaire
Posté par: the lsd le 28 Janvier 2006 à 10:09:15
C'est clair que moi je dis bravo pour les quatres dernieres epreuves, c'est du bon boulot

Sinon moi pour celle la j'arrive juste a pouvoir voter tant que je veux en changeant les valeurs du cookie, mais je vois pas trop l'interet (a part fausser les stats! =D ).


Titre: Hacking - Grand sondage hebdomadaire
Posté par: neogits le 31 Janvier 2006 à 10:24:41
Si je me fait traiter de "petit chenapan" je suis sur la bonne voie ?

j'adore vraiment ces dernières épreuves de hacking !


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nms le 31 Janvier 2006 à 10:39:21
Oui tu es sur la bonne voie petit chenapan ;)


Titre: Hacking - Grand sondage hebdomadaire
Posté par: neogits le 07 Février 2006 à 12:23:42
ok merci !
bon maitenant j'ai une erreur et le message "Over***** ** ******* interdit! ;-)
Du coup j'ai un gros doute sur ce qu'il faut faire ou ne pas faire...


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nms le 07 Février 2006 à 13:57:12
Si tu as ce message, c'est que tu fais ce qu'il ne faut pas faire! :evil:

;)


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Cerberus le 14 Février 2006 à 18:53:54
Bonjour,
Je suis complètement bloqué à cette épreuve :(
J'ai téléchargé le fichier javascript,mais je ne suis pas sur que cela puisse aider pour l'épreuve.
Pourriez vous m'aider ?
Merci d'avance.


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nms le 14 Février 2006 à 19:00:15
Un conseil : n'essaie pas de résoudre cette épreuve avant d'avoir réussi toutes les précedentes. A la rigueur tu as le droit d'attaquer celle là sans avoir fait la 14 ou la 15, mais c bien le maximum. Elle vaut cher car elle est difficile. Si néanmoins tu veux t'y attaquer, et bien il faut savoir fouiner un peu partout pour commencer. ;)
Une très bonne connaissance de php est nécessaire pour cette épreuve.


Titre: Hacking - Grand sondage hebdomadaire
Posté par: anao le 06 Mars 2006 à 15:19:18
**No Sms**
j'ai trouvé, outre "s*****e", une table interessante avec deux champs particulièrement interessants...en pratique il me semble que le sondage aurait une autre tête aprés une telle requete. Mais il n'en est rien!..pourtant la requete est executée correctement.
je suis dc un peu perplexe quand au chemin qu'il me faut parcourir pour terminer l'epreuve.
merci d'avance.


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nms le 06 Mars 2006 à 15:53:13
Tu touches du doigt la difficulté de l'épreuve! :wink:
Essaye de comprendre comment fonctionne le script, tu en as compris une partie, il te manque juste une petit détail...


Titre: Hacking - Grand sondage hebdomadaire
Posté par: anao le 07 Mars 2006 à 11:50:00
j'ai vérifié du coté cookie, du coté requete (en prenant soin de choisir le bon enregistrement au cas où), de bien typer les paramètres, rien n'y fait. Là c'est rageant !


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nms le 07 Mars 2006 à 17:39:47
Il te manque juste un **No Sms** qqchose, le **No Sms** truc qui rend l'épreuve difficile! ^^
Fais des tests, et réfléchis encore, tu finiras par comprendre comment fonctionne le script.


Titre: Hacking - Grand sondage hebdomadaire
Posté par: modem le 07 Mars 2006 à 19:17:03
Mdr je code pas en php mais je m'en sort pas trop mal en général sur les véritables sites .. je peux continuer ou je n'ai aucune chance ?=D

@+ MODEM


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nms le 07 Mars 2006 à 22:53:43
Tu peux continuer mais il faudra compter sur un minimum de chance ;)


Titre: Hacking - Grand sondage hebdomadaire
Posté par: TheWeasel47 le 16 Mars 2006 à 14:12:16
Bon je débute cette épreuve et comme tout bon fouineur je regarde un peu partout, et je pense avoir trouvé un truc suspect car je doute avoir trouver une erreur, En effet j'optient une erreur MYSQL c normal ?
:shock:
Merci
a++
Weasel


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nms le 16 Mars 2006 à 15:11:24
bah disons que tu as trouvé le point de départ :wink:


Titre: Hacking - Grand sondage hebdomadaire
Posté par: TheWeasel47 le 24 Mars 2006 à 14:42:22
Ok lol
en faisant le fouineur je trouve le début, il faut que je réfléchisse pour trouver la suite!!! c ça qui bloque en général :D
a+
Merci
Weasel


Titre: Hacking - Grand sondage hebdomadaire
Posté par: alixking le 12 Mai 2006 à 21:20:32
est-ce que pour cette épreuve faut se connecter à une base de données?

Car dans l'ereur mysql, y a bien des choses interessantes.


Titre: Hacking - Grand sondage hebdomadaire
Posté par: yakamoneyee le 07 Juin 2006 à 18:36:35
si on arrive a faire une alert en javascript on est sur la bonne voie ou ça sert a rien?


Titre: Hacking - Grand sondage hebdomadaire
Posté par: M@ckerT le 06 Septembre 2006 à 08:38:43
Oupsss après avoir fait valider dans les 10000 votes sur quelques secondes, le compte free à fait la gueule sur quelques minutes...

Désolé !

Apparement la faille du vote infini n'est pas la solution (l'union fait la force ?!?).

Sinon j'arrive à provoquer une erreur SQL et quelques injections, mais je vois pas trop l'interet sur cette table...

Continuons les recherches...

Encore désolé en tout cas !

ET encore merci aux admins. !


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Zmx le 05 Novembre 2006 à 19:13:44
Frustrant, je suis un chenapan qui n'a toujours pas droit a l'union (qui fait ptet pas la force :p )


Titre: Hacking - Grand sondage hebdomadaire
Posté par: IoNAce le 14 Février 2007 à 06:31:45
Hello

Petite question : apres tous les problemes et leurs corrections, si je trouve une phrase me disant "O******* du s******* interdit ;-)", je considere que je suis sur la mauvaise voie ? Et si j'obtiens un message du genre "NAN !", pareille ?


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nms le 14 Février 2007 à 10:02:54
Si t'obtiens le premier message, c'est que tu as pris la bonne direction, mais une très mauvaise route ^^
Pour le second je ne sais pas, c'est sûrement soso qui l'a rajouté celui-là il est pas de moi ^^


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Zmx le 14 Février 2007 à 12:18:32
Citation de: IoNAce
Et si j'obtiens un message du genre "NAN !", pareille ?
Si t'obtiens un "nan" il me semble que c'est que tu essaye de faire un fichier avec une extention que tu devrais pas ;)


Titre: Hacking - Grand sondage hebdomadaire
Posté par: IoNAce le 14 Février 2007 à 15:47:09
Citation de: Zmx
Citation de: IoNAce
Et si j'obtiens un message du genre "NAN !", pareille ?
Si t'obtiens un "nan" il me semble que c'est que tu essaye de faire un fichier avec une extention que tu devrais pas ;)
Ah.... sa 'cest de l'indice ^^ Merci Zmx :D


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Nms le 14 Février 2007 à 15:52:09
C'est pas vraiment de l'indice... Zmx te dit juste que tu as fait un truc qui est interdit. Et si c'est bien ce que je pense, le but de l'épreuve n'est absolument pas là.


Titre: Hacking - Grand sondage hebdomadaire
Posté par: IoNAce le 14 Février 2007 à 16:09:42
Ah forcement la c'ets different.... Je demandais si j'etais sur la bonne voie ou pas. SI on me dit que juste l'extension n'est pas bonne, forcement je me penche dessus :p
Donc en somme, je ne suis pas sur la bonne voie ? Tant pis je continuerais de chercher....


Titre: Hacking - Grand sondage hebdomadaire
Posté par: mito le 15 Avril 2007 à 16:57:05
je commence l'épreuve et j'obtient une belle erreur sql avec la table il me reste que à la trafiquer.
Le sondage ne doit pas être juste.

edit:Nan ;mince pas d'injection sql visible


Titre: Hacking - Grand sondage hebdomadaire
Posté par: frok le 15 Avril 2007 à 22:12:39
il me semble que quand on se fait traiter de chennapan on est sur la bonne voie mais pas sur le bon chemin non?^^


Titre: Hacking - Grand sondage hebdomadaire
Posté par: IoNAce le 15 Avril 2007 à 22:43:18
Arf je sais pas... quelle est la difference ?? ;)


Titre: Hacking - Grand sondage hebdomadaire
Posté par: frok le 16 Mai 2007 à 23:17:08
Ca me rend fou je sais plus quoi faire!
Ma requete est bonne,j'ai testé plein de trucs mais toujours aucuns résultats visibles =(


Titre: Hacking - Grand sondage hebdomadaire
Posté par: appo le 10 Juin 2007 à 22:29:27
Bon j'ai eu le droit à tous les messages, le o******* ******e, le petit chenapan et le NAN!

La je ne voit plus trop quoi tenter!!Quand vous dites qu'on est sur la bonne voie, c'est par rapport aux injections??


Bon j'y retourne, en espérant que quelqu'un puisse me venir en aide :p


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Bug_Bug le 20 Juillet 2007 à 14:29:42
Est ce que le nom des champs qu'on dois mettre dans le bout de requêtes dois correspondre au vrai noms qui sont dans la base de donnée, ou bien ce n'est qu'une simulation ?
Le problème dois donc être dans le .js , mais je ne vois pas trop quoi en faire avec...


Titre: Hacking - Grand sondage hebdomadaire
Posté par: muadhib le 08 Août 2007 à 20:24:06
J'ai des idées, mais je ne trouve pas comment les appliquer, alors je me demande si je suis réelment dans la bonne direction.
Pour ne pas en dévoiler trop, je vais dire qu'une phrase:
Est-ce qu'il faut maquiller ce qui fait notre force afin que le sondage change de gueule
Si c'est pas assez claire dites le moi je vous expliquerai pas MP.
Merci d'avance.


Titre: Hacking - Grand sondage hebdomadaire
Posté par: Invit le 31 Août 2007 à 19:31:32
Bonsoir, voila j'ai eu un message qui me
dit: Tttttt on ne va pas fouiller dans les autres tables petit chenapan!.

je suis dans le bon ou non ?


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: ReqL le 27 Février 2008 à 13:55:05
Enfin!
J'ai réussi :p
Bravo Nms, super challenge :P
J'ai bien galéré...
C'est vraiment super réaliste, c'est parfait franchement :p un grand bravo ;)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: kevinator le 24 Mars 2008 à 11:27:48
Quelqu'un sait-il pourquoi l' épreuve m' a gratifié d' un : "Tttttt on ne va pas fouiller dans les autres tables petit chenapan !" alors que j'essayai simplement de faire apparaitre un simple "alert" ?? :shock:   


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Zmx le 24 Mars 2008 à 11:31:40
une regexp mal foutu


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: alph1 le 25 Mars 2008 à 09:18:13
D'autant plus que personne ne va jamais fouiller dans les autres tables : ce n'est pas notre genre.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: syltrox le 13 Juin 2008 à 12:16:38
Si le but de l'epreuve est de trouver une certaine table, je ne vois pas comment faire vu que a chaque requete que l'on fait ce message apparait
Code:
Tttttt on ne va pas fouiller dans les autres tables petit chenapan !


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: NiklosKoda le 13 Juin 2008 à 12:31:48
Justement ce message n'apparait pas si tu interroges la bonne table.
Vu les informations que tu cherches, et sachant que le nom de la table est tout à fait simple et classique tu devrais trouver rapidement ;)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: syltrox le 13 Juin 2008 à 22:50:43
Hmm, bizare bizare.. :?
Donc je dois trouver une fameuse table :evil:
Mais comment ? :cool:   www.google.fr oui je sais^^


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: the lsd le 14 Juin 2008 à 16:28:47
pas besoin de google, MyBrain doit suffire je pense !

Enjoy

The lsd


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: UMH-Belegkarnil le 19 Juin 2008 à 20:05:13
Vraiment félicitation à Nms pour cette épreuve, j'adore le 42 même si ce n'est pas fait exprès mais j'en doute ^^

Edit : Par contre, une fois que l'on a trouvé la bonne requête je ne vois pas ce qu'il faut faire, il ne se passe pas ce qui devrait se passer...

EDIT 2 : En me levant, je me suis dis que j'allais terminer cette épreuve et elle est vraiment réaliste!


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: punkoleo le 21 Juin 2008 à 19:00:44
moi j suis tombé sur un truck etrange, une image blanche de 1*1... Je me dit que sa doit etre par la mais au bout d'un moment je vais voir les indices et je n'entend pas parler une seul fois de cette image... Etrange.

je file l'adresse de l'image, sa doit etre une erreur: http://hacking.newbiecontest.org:10080/ep16/a.gif

voila et je vais donc encore chercher une faille^^

edit: oulah, j'ai compris a quoi corespondait l'image... (comment peut elle changer de couleurs???)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Luther le 08 Août 2008 à 19:55:25
Vous ne pourriez pas laisser l'erreur sql au lieu de nous traiter de chenapan parce qu'on veut fouiller les autres tables ? Il suffit de créer un utilisateur sql exprès pour l'épreuve qui a les droits que sur les tables nécessaires pour réussir l'épreuve, parce que là ca m'a trop énervé de pas réussir l'union, je croyais ne pas être sur la bonne piste avec ce message, alors qu'il faut simplement trouver le bon nom de la table :s

Bon j'y retourne... mon union fonctionne toujours pas :evil:


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: zours le 08 Août 2008 à 21:53:39
Non on ne peut pas :). C'est p'tet fait exprès.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: AntiChrist le 25 Août 2008 à 20:29:24
Bonsoir

Voilà, j'ai essaye de comprendre comment marche le script et j'ai bien compris. Résultat j'ai essayé d'utiliser la faille préscrite mais et je n'ai ni de "NAN!" ni de "tttttt on ne va pas fouiller.... ". Il ne s'affiche tout simplement rien. Une explication? Suis-je sur la bonne voie? Je peux vous envoyer ce que j'ai fait par MP si vous voulez bien m'aider =)

Bonne soirée.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Shakan le 26 Août 2008 à 05:13:04
Disons simplement que ta requête est valable et est donc exécutée !! ( Enfin c'est simulé je pense )
Mais par contre pas valable au point de te fournir la réponse à laquelle tu t'attends. :D



Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: AntiChrist le 26 Août 2008 à 22:49:48
Ok, merci pour l'info. Je vais essayer de changer la requête. Merci encore.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Leath le 18 Octobre 2008 à 08:52:05
Salut,
Après avoir voté une trentaine de fois  :D
Avec de bon réflexes aussi, j'ai réussi à avoir ceci :
********
********
********
********
 (Une erreur MySQL)
Suis-je sur la bonne voie svp ?
Car il me semble pas mais pourtant j'ai trouvé que ça. =D


Titre: Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: _o_ le 18 Octobre 2008 à 09:59:00
Avec de bon réflexes aussi, j'ai réussi à avoir ceci :

Merci d'éditer ton message : on ne donne pas son raisonnement ou ses trouvailles sur le forum.


Titre: Re : Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: Leath le 18 Octobre 2008 à 16:55:16
Avec de bon réflexes aussi, j'ai réussi à avoir ceci :

Merci d'éditer ton message : on ne donne pas son raisonnement ou ses trouvailles sur le forum.

Désolé, mais comment demander si je suis sur la bonne voie si je ne donne pas où je suis ??


Titre: Re : Re : Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: _o_ le 18 Octobre 2008 à 17:58:40
Désolé, mais comment demander si je suis sur la bonne voie si je ne donne pas où je suis ??

En t'épanchant sur le forum, tu peux donner des idées, bonnes ou mauvaises, aux autres challengers, sans même t'en rendre compte. Donc c'est mal vu. Mieux vaut demander gentiment en privé (par pm, sur irc). Pour le reste, rien n'est jamais anodin sur les épreuves de NC. Il y a bien sûr des fausses pistes de temps en temps, mais globalement, toute chose bizarre mérite d'être étudiée.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: wouanou le 05 Décembre 2008 à 21:36:53
Comme beaucoup de monde j'ai trouvé la bonne requête SQL (ok, l'union fait la force et j'ai le bon nombre de colonnes) mais à cause de cette requête j'ai une erreur sur la fonction d'ouverture du javascript !

Un petit coup de pouce pour faire afficher le résultat de la requête... svp ?

Merci !


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: tecnis le 31 Janvier 2009 à 14:22:18
Bonjour, J'ai un soucis sur cette épreuve, je ne pense pas être loin de la fin.

Mes requêtes s'exécutent, mais aucun des résultats attendus....

Je cherche quelqu'un à qui exposer ma démarche et comment (je suppose) fonctionne le script.

Est ce que le fait que la faille soit simulé empêche certaines requêtes (qui fonctionnerais dans un cas réel) de marcher?

merci!


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: freko28 le 31 Janvier 2009 à 14:44:55
essaye l'injection sur un autre sondage.
Je ne peux pas en dire plus...
Bon courage.

Freko28


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: tecnis le 31 Janvier 2009 à 22:02:38
j'ai déjà testé ça... rien de concluant... :/

Sinon la fait que la faille soit simulée ça joue ?


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: caani le 05 Février 2009 à 10:57:41
Salut!

 J'arrive à avoir tous les messages d'erreurs  cités dans cette épreuve !! j'ai trouvé le nom de la table qui nous intéresse ainsi que les 2 champs qui nous intéresse...
 
 Mais comment faire apparaitre ces résultats ?


++


Titre: Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: Zmx le 20 Mars 2009 à 21:41:07
Mais comment faire apparaitre ces résultats ?

C'est justement la difficulté de l'épreuve :p


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: --alex-- le 12 Mai 2009 à 18:56:19
Bah moi c'est l'inverse  =( Je pense avoir trouvé comment récupérer le résultat (trouvé absolument par hasard en insérant un certains caractère dans ma requête) mais je sèche sur le nom de la table. Ça doit sûrement être tout con mais j'ai essayé tous les noms qui me viennent à l'esprit. Rassurez moi, c'est bien un vrai nom de table ? Pas un truc aléatoire qui ne veux rien dire ?


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: bestpig le 09 Juillet 2009 à 14:58:45
Est-ce normal que j'ai le message :
Citation
Tttttt on ne va pas fouiller dans les autres tables petit chenapan!

Alors que je fait seulement un union select 1, 2, 3, ....

Je ne demande pas une autres tables :/


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Treea le 15 Juillet 2009 à 13:22:50
Hm, je me demandais si quelqu'un pouvait me donner un indice s'il vous plait, car ça fait plusieurs jours que je suis bloqué, je me suis documenté, j'ai essayé plusieurs trucs mais rien n'y fait. Mon injection semble être bonne mais le site ne me renvoi pas les champs que je lui ai demandé (j'obtiens une page blanche et une redirection vers l'accueil). Je n'ai pourtant pas trouvé d'ambigüités sur le pourquoi du comment marche le script, à moins qu'il y ai un piège et qu'il faille que je me débrouille autrement :(


Titre: Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: WiebeN le 15 Juillet 2009 à 13:56:27
Hm, je me demandais si quelqu'un pouvait me donner un indice s'il vous plait, car ça fait plusieurs jours que je suis bloqué, je me suis documenté, j'ai essayé plusieurs trucs mais rien n'y fait. Mon injection semble être bonne mais le site ne me renvoi pas les champs que je lui ai demandé (j'obtiens une page blanche et une redirection vers l'accueil). Je n'ai pourtant pas trouvé d'ambigüités sur le pourquoi du comment marche le script, à moins qu'il y ai un piège et qu'il faille que je me débrouille autrement :(
Ton message montre que justement, tu n'as pas bien compris comment marche le script. Là est toute la difficulté de l'épreuve : comprendre (et non deviner) le code grâce au comportement des différentes pages et à des tests. Une fois le tout compris, l'exploitation viendra naturellement :)

++


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: ZeroCool80 le 14 Août 2009 à 10:33:21
Je patauge totalement dans la semoule!!
Pas moyen de trouver comment afficher le résultat de ma requête :evil: le pire c'est que je suis sur que
la solution doit être toute bête en plus :(

Bon allé j'y retourne pas question de laisser tombé =D


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Muska le 26 Septembre 2009 à 14:14:57
J'ai la bonne requête SQL ,mais ce que je trouve étrange est ce que le fichier javascript est censé afficher dans la mesure où il ne semble pas renvoyer le résultat d'une requête SQL ...


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: yosky le 13 Février 2010 à 13:24:13
Bonjour,
Déja, je voudrais dire que je trouve cette épreuve vraiment bien faite.
Ensuite, je pèche un peu, parce que je pense avoir rédigé ma requete correctement, sql ne bronche pas, mais il me manque un petit quelque chose car je n'obtient pas le résultat escompté.
Si quelqu'un pouvait un peu m'éclairer ca serait sympa :)
Merci

Edit : Maintenant j'obtient une erreur : Warning: ????( failed to open etc ) qui ne devrait normalement pas arriver. (je masque mon message au cas ou)
Je voudrais juste savoir si cela fait parti de l'épreuve ou c'est juste une erreur?
Merci d'avance,
YoY


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Kalao le 14 Mars 2010 à 00:01:03
bonsoir,

sans vouloir donner des indices involontairement,

j'ai un probleme de quote pour une "redirection" ...

suis - je sur la bonne voie ?

thanks


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: tarzanlefumeur le 17 Mars 2010 à 10:52:24
Je ne vois pas trop ce que tu veux dire par "problème de quotes pour une redirection". En effet il y a bien une redirection à un moment mais ça tu peux l'empêcher et ainsi voir ce qu'il se passe et tester des trucs. Par contre il me semble qu'il n'y a pas besoin de quotes.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Kalao le 17 Mars 2010 à 14:20:39
Je parlais plutôt d'un outfile si tu vois ce que ke veux dire ...


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: tarzanlefumeur le 17 Mars 2010 à 14:33:13
En effet je comprends mieux comme ça et je peux te dire que ce n'est pas la solution. Tu as la bonne idée globale mais il te manque encore un détail sur comment fonctionne le script. MP moi si besoin est.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Kalao le 25 Mars 2010 à 00:16:38
bonjour,

je post encore car je pense avoir compris le fonctionnement du script néanmoins quelque chose doit encore m'échapper :

- ma requête SQL est bonne
- le paramètre étant modifié, j'obtiens un nouveau fichier

et là à mon étonnement les valeurs dans le nouveau fichier généré sont identiques à celles du script par défaut.
Je suis assez surpris étant donné que " l' union fait la force " et que les résultats de la requête doivent être récupérés avec une fonction du type  mysql_fetch_row (); je devrais avoir le résultat de mon injection.
 


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: etienne15 le 19 Mai 2010 à 14:52:28
Bonjour,
J'ai un pb....
Sans exposer tout mon raisonement, j'ai récupéré dans un fichier des informations extraites d'une certaine table, 1 login et 1 mdp... ce MDP est en MD5.. Pas de pb, je le décode... Mais il ne valide pas...
Je cherche autre part en me disant, il doit y avoir autre chose...
Je trouve une url d'admin, mais l'accès est refusé... Je ne vois pas comment faire pour me connecté, il n'y a pas de page de login...
Un indice ??


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: wouanou le 19 Mai 2010 à 16:06:53
Salut

J'ai trouvé la table, les noms des champs, et je cherche aussi à en récupérer le contenu, mais j'ai plusieurs pistes et comme elles sont assez longues et difficiles à suivre j'apprécierais un coup de main... :

- Injection en aveugle en utilisant le "Warning : Division by 0" ? Ca va être long...

- Utiliser "le" fichier, toujours avec une injection en aveugle et en se basant sur l'incrémentation d'une variable. J'ai essayé cette technique, mais je n'arrive pas à l'exploiter.

- D'après le post précédent, aurais-je raté quelque chose, il serait possible de récupérer un MD5 dans le fichier d'UN SEUL COUP ???


PS. J'ai aussi le login



Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: dsancho le 27 Mai 2010 à 09:16:59
Bonjour,

Auriez vous un petit indice ?

Actuellement j'utilise une injection sql union (comme l'indice de l'épreuve l'indique) me permettant d'obtenir certaines informations.

En tentant de l'exploiter j'obtiens comme tout le monde les messages:
"Tttttt on ne va pas fouiller dans les autres tables petit chenapan" ou encore
"Nan"

J'obtiens également dans certains cas le warning "Division by zero" => Est ce une piste à exploiter ?

Doit on exploiter l'erreur concernant le fopen ?

Je sèche complètement... J'ai bien des idées pour l'exploit de l'injection sql mais à chaque fois j'ai le message "Ttttt....". Peut être n'est ce que la première étape et je ne vois pas une autre exploit ??




Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: mathgl24 le 27 Mai 2010 à 16:52:42
T'es un peu trop explicite à mon goût, mais c'est aux admins à en juger.
Il y a 9 pages dans ce forum qui répète la même chose que tu as dit. Cesse de demander et teste ce que tu as. Si tu ne testes pas, tu ne sauras jamais. (Voir signature de CommComm) ;)


Titre: Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: dsancho le 27 Mai 2010 à 18:17:23
T'es un peu trop explicite à mon goût, mais c'est aux admins à en juger.
Il y a 9 pages dans ce forum qui répète la même chose que tu as dit. Cesse de demander et teste ce que tu as. Si tu ne testes pas, tu ne sauras jamais. (Voir signature de CommComm) ;)
Justement, ces informations sont déjà données dans ce forum, c'est pour cela que je me permets de les redonner.

Et oui, j'ai fait de nombreux tests (pendant plusieurs jours !) avant de poster sur le topic et j'ai même relu plusieurs fois les posts...

Je n'ai toujours pas trouver comment "afficher" les informations de connexion...


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: kony le 11 Juin 2010 à 23:12:39
Bon je bloque complètement, je pense avoir compris le principe du script, avoir une injection qui me semble cohérente et que l'on doit obtenir un nouveau fichier contenant le résultat.
Il y a bien des fichier de ce genre qui traine (et qui sont vide) mais pas moyen d'en créer un par moi même alors que tout semble bien se passer.
Possible d'avoir un petit coup de main ou un avis sur ce que j'ai compris/trouver en MP ou IRC ?
Il y a certainement une subtilité qui m'échappe mais le je voit pas du tout ^^


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Casoum le 06 Janvier 2011 à 16:13:41
Bonjour,
Pour faire simple et ne pas donné ma résolution:
j'ai trouver, mais je bloque a comment je récupère,
OUTFILE me semblait la solution mais la j'ai une sale erreur (fopen).
Dois-je continuer dans cette direction ?

Casoum


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: _o_ le 06 Janvier 2011 à 16:29:57
De mémoire, tu fais fausse route.


Titre: Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: rapha le 30 Mars 2011 à 17:04:17
Salut

J'ai trouvé la table, les noms des champs, et je cherche aussi à en récupérer le contenu, mais j'ai plusieurs pistes et comme elles sont assez longues et difficiles à suivre j'apprécierais un coup de main... :

- Injection en aveugle en utilisant le "Warning : Division by 0" ? Ca va être long...

- Utiliser "le" fichier, toujours avec une injection en aveugle et en se basant sur l'incrémentation d'une variable. J'ai essayé cette technique, mais je n'arrive pas à l'exploiter.

- D'après le post précédent, aurais-je raté quelque chose, il serait possible de récupérer un MD5 dans le fichier d'UN SEUL COUP ???


PS. J'ai aussi le login



J'aimerais bien aussi avoir un indice :) et comme personne a répondu à wouanou...
Il faut effectuer une blind ou bien?


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Tomiv le 17 Juin 2011 à 16:26:37
Bonjour à tous,

J'ai trouvé un lien avec /* modéré : c'est une épreuve, n'est-ce pas ? */, grâce à un "petit" plugin firefox, après avoir mis une note...
Seulement, quand je met le lien avec le ', ça redirige directement sur l'index.php...

Est-ce normal?!


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Asteriksme le 17 Juin 2011 à 18:02:21
Moi je dirais : oui, parce que sinon ça ferait autrement.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Tomiv le 18 Juin 2011 à 09:23:46
Bonjour,

J'ai réussis à enlever la redirection, et à avoir le code pour /* Modéré */ ;).
Cependant, c'est long de faire manuellement où pas?! :S


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Tomiv le 18 Juin 2011 à 09:33:09
REbonjour,

J'ai fais /* Modéré */, sauf qu'à une étape ça me met ceci:

Tttttt on ne va pas fouiller dans les autres tables petit chenapan!

Pourquoi?!


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Luxerails le 18 Juin 2011 à 09:47:22
Si y'a ce message c'est qu'il ne faut pas fouiller dans les autres, tout simplement... Il faut faire une injection sur la bonne table (qui est facile a deviner..)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: _o_ le 18 Juin 2011 à 09:50:11
Merci de ne pas balancer des double-posts à 10 min d'intervalle. Chaque message a un bouton «modifier» pour ça.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Tomiv le 18 Juin 2011 à 10:35:06
Pour trouver la bonne table, il faut faire une étape, et l'étape qui sert à ça, ça me met:

Tttttt on ne va pas fouiller dans les autres tables petit chenapan!


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Luxerails le 18 Juin 2011 à 10:36:55
La table il faut que tu la devine.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Latoof le 18 Juin 2011 à 14:32:48
Coucou =)

Encore un problème de compatibilité entre le parseur de l'épreuve et mon cerveau.

J'ai trouvé la faille. Pas encore le moyen de l'exploiter.


A mes yeux, il y a des tonnes de moyens pour la résoudre, mais j'ai l'impression que c'est verrolé jusqu'à la moelle.


Je m'explique :

- Dans l'épreuve, on trouvera deux tables (l'une affichée, l'autre devinée)
- Quand je tente un exploit sur une table X qui n'est pas l'une de ces deux tables, j'ai le message tout à fait légitime : "Tsss on touche pas aux autres tables, chenapant".

- Mais quand je tente un exploit sur l'un des deux tables incluses dans l'épreuve, j'ai tantôt le message, tantôt je ne l'ai pas (selon les fonctions que j'utilise), alors que, dans tous les cas, je touche aux "bonnes" tables.
J'ai l'impression que le système veut "forcer" à utiliser l'indice fourni dans l'intro de l'épreuve, alors qu'il y aurait visiblement d'autres moyens


EDIT : ça ressemble a un problème de parenthèses


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Tomiv le 18 Juin 2011 à 15:36:12
L'épreuve est tout de même très bisard...
J'ai trouvé le lien où ya la faille, après j'essais d'exploiter, je trouve le bon nombre de columns, mais le seul problème, c'est que quand je veux voir la version de la database avec la function version(), ça me met toujours:

Tttttt on ne va pas fouiller dans les autres tables petit chenapan!

Même aussi, quand je veux essayer de trouver les tables...


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: _o_ le 18 Juin 2011 à 16:05:29
Vous n'êtes pas les premiers à poser ce genre de questions, on les retrouve dans les 12 pages du topic. Une bonne idée serait peut-être de les lire ? Visiblement, ça a suffit à tout ceux qui sont parvenus à la valider jusqu'ici.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Latoof le 18 Juin 2011 à 16:32:15
C'est fait.

La faille ne suffit pas. Il faut commencer par voir le site dans son ensemble, et essayer de comprendre comment il fonctionne.
Très bonne épreuve, car, même si c'est un cas qui doit se trouver rarement sur le net, elle fait bien réfléchir sur le "comment ça fonctionne" d'un système.


(par contre, je maintiens que les commentaires du genre "chenapant", etc ... devraient être ajustés, ou retirés)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Tomiv le 24 Juin 2011 à 18:05:49
Je n'y arrive toujours pas, le même message, encore et encore :(


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Latoof le 24 Juin 2011 à 18:17:46
Tomiv > Tu sembles être sur la bonne voie. Tu recevras ce message dès que tu mettras des parenthèses ")"  "(" dans ta requête.
C'est un filtrage pour éviter que tu altères les données présentes. Tu peux en déduire que tu n'as pas besoin d'aller chercher "trop loin" au niveau de la syntaxe.

Peut-être es-tu passé à côté d'un élément important. As-tu bien cerné le site dans son ensemble ? Parfois, on passe à côté de choses importantes, parce qu'elles nous paraissent banales. Refais un petit tour d'horizons de ce mini-site de sondage ;)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Tomiv le 26 Juin 2011 à 10:24:42
Oui, j'ai bien cerné le script, et le site en général...
J'ai bien trouvé la faille, pépére, mais même quand je fais "l'union", et bah ça me met toujours:
Tttttt on ne va pas fouiller dans les autres tables petit chenapan!

Même quand j'utilise la fonction:
version()
Pour avoir la version d'la database...

Bref, j'vais surement trop où pas assez loin, mais j'suis dans une impasse :p


Titre: Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: Latoof le 27 Juin 2011 à 15:10:45
Oui, j'ai bien cerné le script, et le site en général...
J'ai bien trouvé la faille, pépére, mais même quand je fais "l'union", et bah ça me met toujours:

Donc peut être que la faille n'est pas le seul élément important à savoir sur ce mini-site ... je dis ça ... =°


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Tomiv le 03 Juillet 2011 à 13:01:32
J'ai compris le fonctionnement du site mais..


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Asteriksme le 03 Juillet 2011 à 14:34:19
... mais apparemment pas assez.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Animal le 06 Août 2011 à 14:04:38
De nombreuses heures que je galère avec cette épreuve.
Autant le chenapan m'a fait sourire les 5 premières fois que maintenant sa simple vision me donne envie d’éclater mon écran   :!:
J'arrive aussi a générer une erreur sql ce qui je suppose m'a donnée le nom (logique) de la table...
j'arrive à voir le .js ainsi q'une page admin. Mais je bloque sur l'exploitation de tout ça.
En tout cas même si je ne réussi pas cette épreuve, j'ai énormément appris  =D et c'est là le plus important (même si c'est rageant de ne pas réussir à concrétiser).
je vais laisser décanter le truc.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: the lsd le 08 Août 2011 à 08:40:12
Je ne sais pas si c'est très utile de le dire, mais j'ai nettoyé le topic, donc on évite de le remplir de posts alakon !
Si jamais il a l'air de manquer certains posts dans la conversation, c'est normal, c'est parce qu'ils ont été supprimés car non pertinents.

Enjoy

The lsd


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Agent-H le 12 Août 2011 à 12:25:04
Franchement, super épreuve, bien foutue et tout. J'ai juste une petite question (là c'est le moment où je passe pour un con) :

 :arrow: Un fois qu'on a récupéré les "informations" que tout le monde s'évertue à avoir.... on la valide comment l'épreuve XD ?


Titre: Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: Luxerails le 12 Août 2011 à 14:57:26
Franchement, super épreuve, bien foutue et tout. J'ai juste une petite question (là c'est le moment où je passe pour un con) :

 :arrow: Un fois qu'on a récupéré les "informations" que tout le monde s'évertue à avoir.... on la valide comment l'épreuve XD ?

Tu es passé a coté du plus simple x) Regarde bien la source de la page d'accueil.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Agent-H le 12 Août 2011 à 15:18:18
Oula... c'est bon je sors -->[] (le pire c'est que j'avais trouvé le dossier "a..." au guessing mais du coup pas la page, alors que c'était écrit --' )
On va dire que c'est après avoir fait toute l'épreuve d'une traite, le nombre de neurones encore opérationnels diminue fortement ^^. merci luxerails pour m'avoir fait utilisé le peu qui reste de mon cerveau :D. Et merci à nms pour cette superbe épreuve  ;)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: zouzou13 le 18 Août 2011 à 23:14:54
Bonsoir, pardonnez moi, j'ai une petite question :) :

Lorsqu'un champ de formulaire du style recherche avec la présence d'injection javascript , mais que ça n'apparait pas dans l'url la variable et sa valeur, est-il possible de récupérer le cookie et le rediriger vers un autre site ..? je pense pas car l'url ne présente pas variable non protégée ...  :/

Merci de votre aide ;)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: sending13 le 22 Août 2011 à 12:18:16
Bonjour  =)

Ce que je comprends(il me semble) c'est que lorsque le vote est fait,/* moderated par The lsd : oups la ! Tu en dis un peu trop jeune homme ! Un petit coup de balai, et hop, disparu :) Pour ta question, de souvenir, oui, c'est bien un truc comme ca  */


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: sending13 le 22 Août 2011 à 13:00:26
Ok, je vais tenter d'extraire vers  :arrow:

Comment ? t elle est la question  !  :?:


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: sending13 le 24 Août 2011 à 12:19:52
Ma dernère barrière est /* Modéré */ /* le "()" serait ce la réponse ? */
Merci de vos précisions ! (un peu trop de messages d'erreurs différents je pense, c un peu le bordel qd même mais bon ...)


Titre: Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: Luxerails le 24 Août 2011 à 12:33:36
bonjour,(vais finir par fr un blog comme dirait l'autre .. :/)

Juste un détail encore, il est dit dans les posts précédents que "()" est filtré, donc pas moyen de l'utilisé ?!
Mais j'arrive à placer ces caractères ,sans générer d'errreur sql ! est ce bien normal (peut être une lumière au bout du tunnel ?

Ma dernère barrière est /* Modéré */ /* le "()" serait ce la réponse ? */
Merci de vos précisions ! (un peu trop de messages d'erreurs differents je pense, c un peu le bordel qd même mais bon ...)

Tu n'as absolument pas besoin de placer de () dans ton injection.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: the lsd le 24 Août 2011 à 13:11:56
OMG !!! Trois posts ! Tu va prendre cher toi !!! Et un quatrième juste après, pour la forme...

Comme tu dis, tu va "fr" un blog, mais si tu fais un blog, c'est pas içi ! Donc, si tu veux pas mal te faire voir sur NC, évites de mettre plusieurs posts d'affilé !

Enjoy

The lsd


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: SnakeX le 11 Octobre 2011 à 12:11:47
Bien le bonjour à tous.

Je bloque...
J'ai trouvé la faille et la table qui contient les infos que l'on cherche mais je n'arrive pas a les récupérer.
J'ai essayé l'écriture dans un fichier et l'affichage des infos admin via le sondage avec 'AS' mais rien ne fonctionne.

L'une des deux solutions dites plus haut est-elle la bonne ou dois-je chercher autre chose?


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: red-hacker2 le 11 Octobre 2011 à 16:37:22
SnakeX
tu doit bien comprendre comment le script fonctionne ^^
par exemple:
1-le nombre de vote augmente a chaque foi qu'on vote  :shock:
2-tu dit tu as la table alors tous ce qui concerne le vote est dans une table ^^
3-le scripte de vote est écrit dans quelle langage ??
4-/* moderated par the lsd : deja 9 pages, ca fait beaucoup, mais si en plus on donne des indices gros comme des maisons */
5-cherche de provoquer plus d'erreur  /* moderated par the lsd : idem */;)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Saguim le 06 Décembre 2011 à 11:45:04
Bonjour à tous,
bon il y a un truc qui me chiffonne grave:
j'arrive bien à faire une piqure (après quelques messages me traitant de chenapan), sans message d'erreur. je suis censé retrouver mes demandes à un endroit spécifique (après quelques "tests") mais rien ne s'y trouve malgré bien des essais...
Quelqu'un peut-il vérifier (eventuellement par MP) que je pique bien et au bon endroit?
thank you!!
Bon j'ai rien dis, un détail me manquais... de la logique!


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: thegoher le 29 Décembre 2011 à 17:18:26
Bonjours à tous,

Ce Challenge est-il réalisable en ce Jeudi 29/12/2012 ???

Puisqu'un le message ci après y figure:

Citation
Suite au piratage de notre site (dont nous sommes en train de chercher l'origine) par un certain "Nms", nous avons décidé de remodeler totalement ce dernier. Il sera donc malheureusement indisponible durant la durée des travaux. Mais ne vous inquiétez pas, cela ne devrait prendre qu'une dizaine de jours maximum! Et comme nous ne faisons jamais les choses à moitié, vous aurez droit à de nouvelles rubriques toujours plus délirantes!

Ou cela fait-il partit du "spectacle" ?


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: the lsd le 29 Décembre 2011 à 17:56:42
Oui, ce message fait partie de l'épreuve :)

Enjoy

The lsd


Titre: Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: thegoher le 29 Décembre 2011 à 18:18:31
Oui, ce message fait partie de l'épreuve :)

Très bien, Merci pour la réponse.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: tlk le 28 Janvier 2012 à 09:24:23
Pas réaliste et complètement foireux ;)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: wiwiland le 31 Janvier 2012 à 04:41:56
Malheureusement cette épreuve n'est pas vraiment réaliste. On peut très facilement faire fausse route si on ne s'y prend pas correctement.
D'un autre côté, même si ce n'est pas très intuitif, c'est vraiment basique au final...
Merci pour ce challenge :)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: ghonyme le 21 Avril 2012 à 03:42:24
Bonjour à tous,

C'est la troisième épreuve où je trouve la faille et l'exploite en partie sans pouvoir terminer, c'est assez frustrant rrrr

Merci de me censurer si j'en dis trop mais je vais essayer de vous faire comprendre ce que j'ai en restant flou pour ne pas spoiler:

- Faille exploitée pour connaître la structure de la DB
- Compréhension du fonctionnement du sondage
- Tentative d'écriture en utilisant un autre sondage, la requête est acceptée mais je n'ai pas de résultat quand je souhaite aller lire le résultat.... (j'ai notamment essayé d'écrire dans le seul fichier vide (sans index) que j'ai trouvé sur le serveur)

Merci d'avance pour votre aide

Autrement je me posais une question, si une personne fait le challenge en même temps que moi et qu'elle le termine, la solution devrai apparaître automatiquement non ?


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Asteriksme le 21 Avril 2012 à 10:09:56
Non


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: DarK-CrasH le 13 Mai 2012 à 15:09:07
Est-il normal d'avoir une erreur 403 ? :>


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Asteriksme le 13 Mai 2012 à 21:39:59
Non


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: DarK-CrasH le 14 Mai 2012 à 10:39:15
Yep, le problème est réglé :]


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: skinx le 22 Mai 2012 à 01:26:13
Bonsoir je voulais savoir si je suis sur la bonne voie xD

Faut il utilisé le phpsessid pour se loger? car moi je ne voie que sa comme solution mais sa ne marche pas xD donc je me pose des questions ^^
suis je sur la bonne voie?


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Asteriksme le 22 Mai 2012 à 11:33:57
Non.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: skinx le 23 Mai 2012 à 13:06:16
Bon voila je vous explique mon raisonnement, j’espère que vous aller comprendre car je ne c'est pas trop comment l'expliquer xD.

Voila donc pour moi il y a deux table, une que l'on connait et l'autre non, on doit la "deviner".
Donc je pence qu'il faut faire une injection union qui va nous afficher le résultat de la deuxième table celle que l'on connais pas dans le résultat de la première.

Ce que je veut savoir, encore une fois xD suis je sur la bonne voie ^^ ?


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: the lsd le 23 Mai 2012 à 13:50:02
<relou>T'as lu les 10 pages de topic ? Il y a surement des éléments de réponse dedans</relou>

Enjoy

The lsd


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: skinx le 23 Mai 2012 à 14:28:09
inutile le mec -_- c'est censé être un forum d'aide donc les réflexion comme sa ne serve a rien....


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: the lsd le 23 Mai 2012 à 15:03:38
Moi ? Inutile ? Si tu veux.

Toujours est il que moi j'ai pas demandé d'aide à tout va pour cette épreuve. Je me suis retroussé les manches, et j'ai cherché. Et puis, je me suis même planté. Plusieurs fois. Et pourtant, j'ai finis par y arriver comme un grand.

Après tout, si on y réfléchit bien, je suis maintenant sur et certain, grâce à toi il faut le souligner, que lulzsec, et autres hackers en tout genre, demandent des infos aux admins du site.

Ah, attends, on me dis dans l'oreillette que... Ce n'est pas quoi ? Ah, oui, que ce n'est pas vrai


Là, je suis inutile. Tout autant que ton message.

Enjoy

The lsd


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Asteriksme le 23 Mai 2012 à 18:36:05
moi je trouve que c'est les demandes d'aide qui sont inutiles, elles ne me font pas progresser

(mais non je ne suis pas aigri)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: skinx le 23 Mai 2012 à 18:39:08
ok, mais alors a quoi sert exactement cette parti du forum?


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Asteriksme le 23 Mai 2012 à 19:04:08
je trollais hein


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: the lsd le 24 Mai 2012 à 09:16:33
La partie aide sert à aider (comme son nom l'indique). Sauf qu'au bout de 10 pages de topic, c'est plus de l'aide, c'est de la demande de résolution.

Asteriksme, moi, aigri ? Jamais de la vie ! C'toi l'aigri !  :P

Enjoy

The lsd


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: thex le 26 Novembre 2012 à 22:10:01
Salut !

Je suis un peu bloqué sur cette épreuve :
J'ai trouvé la faille et tout ce qu'il faut, sauf le moyen de l'afficher.

Est-ce qu'il est possible d'afficher les autres sondages en bricolant ?

Merci d'avance ! ;)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: spartiate22 le 07 Janvier 2014 à 14:12:31
Hello les admins.

il semblerait que l’épreuve ne soit plus accessible...

http://hacking.newbiecontest.org:10080/ep16/index.php

pourtant le port 10080 en telnet à l'air ouvert.

Confirmez vous ?

Thx ;-)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: _o_ le 07 Janvier 2014 à 18:32:40
En effet, j'ai redémarré la VM qui était les pattes en l'air. Mais de toute façon, elle est redémarrée automatiquement toutes les nuits.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: frantz45 le 15 Janvier 2014 à 21:41:33
Je viens d'avoir un cours sur cette injection hier, mais je bloque !

J'ai trouvé les 2 tables, avec chacun de leurs champs.
J'ai trouvé la page où faire l'injection.
J'ai trouver la page de login.
Mon idée c'est faire l'injection sur la fameuse page avec un union (oui l'union fait la force !), de manière à afficher les données de la seconde table sur la page d’accueil.
Le raisonnement est-il bon ?
Si oui, alors je dois trouver la bonne requête à injecter, je pensais l'avoir trouvé car je n'ai plus d'erreur mais j'ai rien récupérer donc il y a un problème quelque part !

Un petit coup de pouce svp ! Je suis sur l'irc si certains veulent discuter :)

EDIT : et est-ce que ça une importance d'avoir voté ? peut-on réussir l'épreuve sans avoir voté et en ayant voté ?

EDIT 2 : c'est bon c'est validé, il y avait quelque chose que je n'avais pas vu :)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: lulz17 le 11 Mars 2015 à 10:40:42
Salut,

Je pense savoir quel est le type de faille , le problème c'est quand je veux l'exploiter j'obtiens ce message: "Tttttt on ne va pas fouiller dans les autres tables petit chenapan!"

Mais si je vais pas fouilller dans les autres tables, je fais comment ?

(J'ai lu en partie les indices données sur le forum et ils ont l'air de confirmer mon idée, maintenant j'ai pas envie de faire des bétises non plus  :rolleyes:)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Mandrake le 13 Mars 2015 à 00:19:49
Salut lulz17

Je ne suis pas encore venu à bout de cette épreuve, mais je pense être un tout petit peu plus loin que toi.
Si tu obtiens ce message, c'est effectivement qu'il se passe quelque chose qui n’était pas prévu à l'origine. Donc tu as touché quelque chose du doigt.
Maintenant..a toi de croire le message (...ou pas) "on ne va pas fouiller dans les autres tables".

Disons que tu ne te feras plus gronder si tu fouilles bien...
(NB : ce message "on ne va pas fouiller..." apporte un peu de piquant à l'épreuve, mais il induit surtout énormément en erreur)

Et ne t’inquiètes pas, tu peux tester tout ce que tu veux (hors brute force), tu ne vas rien casser dans l'épreuve. Donc laisse parler ta créativité ^^

Je suis tout le temps sur le chat IRC en ce moment. Passe faire un coucou. Jusqu’à preuve du contraire, l'entraide entre challengers n'est pas bannie sur NewbieContest  =D


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: pif le 07 Novembre 2015 à 19:39:12
Bonjour à tous(tes),

Je me casse les dents depuis un bon moment sur ce challenge... A n'y plus rien comprendre.

J'ai une question toute bête. Est-il normal qu'on ne puisse pas voter. Quoi que je fasse, le nombre de votes n'augmente pas !? Est-ce que quelque chose m'échappe ? Dois-je creuser pour réussir à voter ? Dois-je deviner un paramètre dans le formulaire ?

Merci de votre aide et merci pour votre temps à répondre et à préparer toutes ces épreuves sympas :)

PiF


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: S0410N3 le 07 Novembre 2015 à 20:01:58
Salut

Honnêtement je ne me souviens plus de l'épreuve. Je l'ai faite il y a trop longtemps.
Il ne faut pas oublier que, pour la plupart, elles sont émulées, donc c'est peut être normal et certes pas très réaliste.
Ça ne doit pas empêcher de trouver la logique de validation.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: pixis le 07 Novembre 2015 à 21:29:16
Je plussoie, que ça s'incrémente ou non n'a pas d'importance.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: pif le 13 Novembre 2015 à 14:46:03
Re-bonjour,

J'ai réussi à avancer dans le challenge. J'ai obtenu le login et le passe mais quand je tente le login j'obtiens un "Accès non autorisé ". C'est normal docteur :)

Merci d'avance pour votre temps.

PiF

EDIT: C'est bon c'est passé. Après 3 essais avec les mêmes valeurs, tout d'un coup c'est passé... Merci quand même :)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: xtor le 22 Mars 2016 à 16:28:48
Hola, vous savez si cette épreuve est toujours active? Il semble que une modification de l'id ne genère rien...


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: Challensois le 23 Mars 2016 à 09:27:57
Personnellement je l'ai résolue hier!
Donc à priori oui elle marche toujours!  ;)

Très bonne épreuve d'ailleurs, un tout petit peu de guessing pour finir, mais l'épreuve est bien guidée tout de même!


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: blackndoor le 23 Mars 2016 à 15:56:54
Le lien du challenge est incorrect.
Le port doit être : 10080
(et non : 10800)


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: the lsd le 23 Mars 2016 à 18:18:37
Euhhh les deux fonctionnent... Pour preuve, il y a eu des validations sur le 10800 hier.

Enjoy

The lsd


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: gael033 le 17 Mai 2016 à 16:02:12
Hey tout le monde. J'ai trouvé je pense comment récupérer les infos qui nous intéresse et je suis en train de me pencher sur le comment les afficher à un certain endroit du site. Pour éviter de trop en dire ici, une âme charitable serait-elle dispo en MP que je puisse exposer là où j'en suis ? Merci d'avance.


Titre: Re : Re : Hacking - Grand sondage hebdomadaire
Posté par: MarbasFR le 23 Mai 2016 à 13:06:18
Hey tout le monde. J'ai trouvé je pense comment récupérer les infos qui nous intéresse et je suis en train de me pencher sur le comment les afficher à un certain endroit du site. Pour éviter de trop en dire ici, une âme charitable serait-elle dispo en MP que je puisse exposer là où j'en suis ? Merci d'avance.

De même je cherche encore comment les afficher, j'ai aussi eu droit au "NAN" jusqu'à ce que je lise le forum et apprenne que je ne suis pas sur le bon chemin :p
Je devoir donc me creuser un peu plus la tête même si pour le moment je n'ai plus trop d'idées que je n'aurais pas encore expérimentées.

En tout cas merci pour le défi :D


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: EtAk0 le 28 Juillet 2016 à 12:24:16
Bonjour tout le monde, après avoir tenté plusieurs requêtes je reçois un message d'erreur non mentionné dans ce topic. Je reçois l'erreur Access denied for user '****'@'localhost' (using password: YES) . Je crois comprendre que c'est en rapport avec les droits accordés (pas besoin d'un bac +5 =D). Suis je sur la bonne voie ou bien vais-je voir la police débarquer chez moi ^^ ?


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: pixis le 28 Juillet 2016 à 12:27:56
Ben un access denied, ça peut être une bonne et une mauvaise nouvelle. Bonne nouvelle parce que t'as fait un truc pas prévu, mais mauvaise nouvelle parce que, comme tu l'as si bien dit, tu n'as pas les droits.
Je ne sais pas où tu en es à côté de ça, quelles sont tes autres avancées, donc je ne peux pas te dire si oui ou non tu es sur la bonne voie. :p


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: EtAk0 le 28 Juillet 2016 à 13:35:06
Bon merci de ta réponse, a priori ce n'est pas la bonne voie puisqu' une requête telle que GRANT ALL ON... m'indique le message "petit chenapan" ^^. Je vais chercher autre chose, bonne journée.


Titre: Re : Hacking - Grand sondage hebdomadaire
Posté par: overdose_92 le 13 Décembre 2019 à 20:26:53
Est-ce que je suis le seul à m'être perdu sur une faille php ?

Hello by the way, premier message sur le forum.
Merci NMS pour tes challenges, ils sont vraiment intéressant !