NewbieContest

la je plante completement car je ne sais absolument pas ou se trouve le .htaccess
il peut etre n'importe ou et je ne vois abolument pas comment trouver l'emplacement.Il y a un technique ou pas??

euh j'pense pas qu'il s'agisse d'une faille .htaccess - 'fin j'peux m'planter hein... - par contre j'avoue pas comprendre grand chose à ce qu'il faut faire loll, c'est quoi le but là ? :p

bah le but est de trouver le fichier .htaccess qui va te permettre d'avoir aussi le fichier .htpasswd qui contient (en theorie) le password qui te permet de valider mais je ne vois pas comment obtenir ce fichier:twisted:

ouais mais là c'est un formulaire e-mail donc à mon avis y doit plus falloir exploiter ce truc là moyennant un scripting quelconque pour recuperer une info, 'fin j'en sait rien, ça me gave loll...

qui peut m'aider j'arrive franchement pas.Je suis dans le repertoire contenant le lien "password" cette page est donc proteger par le .htaccess .Je pense qu'il faudrait recuperer le .htaccess ce qui donnerait le chemin vers le .htpasswd mais je ne vois pas comment **orthographe !** possible de le recuperer car pour cela il faudrait se connecter au ftp du site se qui n'est pas possible sans mot de passe.Donc si vous pouviez m'indiquer un autre chemin a suivre pour trouver le .htpasswd ou si je suis a l'ouest me prevenir **orthographe !** sympas :/

Indice : "Include" ;) (ps : cette faille est temporairement invalidable, par contre vous pouvez reussir a choper les password, mais vous ne pourrez pas les apliquer alors vous etonnez pas).

Pour ceux qui cherchent cette epreuve :

Vous avez reussi si
-le user commence par un "a"
-le pass commence par un "c"

Histoire que vous ne cherchiez pas poru rien, c'est normal que ces infos ne fonctionnent pas apres dans la fenetre de htaccess, pour la simple et bonne raison qu'elle ne fonctionne pas je suis en train de la remettre en service.
Je pense que j'aurais fini de faire tout ca ce soir !

En attendant, si vous n'avez pas trouvé le fichier des password, la ca marche toujours vous pouvez les trouvez...Suivez l'indice ;)

Si j'ai bien compris, il faut obtenir ************* pour savoir où est le .htaccess ?

C'est une très bonne idée jenova, mais trop compliquée ;) l'épreuve est ici plus "basique" !
Le .htaccess tu sais où il est forcément, vu qu'il protége je répertoire auquel tu n'as pas accès.
En revanche c'est ptet un autre fichier associé au .htaccess qu'il faudrait trouver ;)
Et pour ça il suffit de chercher, et d'utiliser ***************^^

Bon ok j'ai tout compris :)
Mais maintenant petit probleme ^^
J'ai fai un script php pour voir ce qu'il y **orthographe !** dans admin et je l'ai upoadé sur mon ftp. Ensuite j'applique ********* mais rien ne se passe, sa reste toujours sur Accéder à l'interface du site :/
Je n'sais plus quoi faire la :/
Une aide s'il vous plaît :cry:

Disons que ce n'est ici qu'une *********, dans le sens où elle ne te permettra pas d'accéder au contenu d'"admin/" (je l'ai volontairement bloquée pour corser l'épreuve, toutes proportions gardées bien entendu ^^).
En revanche, elle te permettra peut-être d'accéder à un autre répertoire où il y a des infos intéressantes ;)

oulala sa yé jsuis pomé lol
Faille include, acceder a un autre repertoire :/
Jvais pas le deviner cette autre repertoire donc me faut utiliser la faille include pour le trouver...
Comment faire :idea:

Et ben si :lol:
C'est pas très très dur non plus hein... ^^

Le deviner ? :/
Ba elle sert a quoi lla faille include...
Jcomprend plus rien sa m'enerve !
On peut pas deviner où se trouve un repertoire c'est pas possible !
J'ai essayé /hkep2/htaccess mais c'est pas sa.
Jsuis paumé sa me soul! :evil:

Donc a partir de ce moment la c'est plus du hacking c'est du hazard!

Héhé je crois que vous ne réalisez pas à quel point le hacking est avant tout un travail de recherche... rien ne tombe tout cuit dans le bec. Il faut pratiquement tout le temps tenter de deviner des choses, que ce soit la manière dont fonctionne un script, ou bien le nom d'une table SQL, ou bien encore le nom d'un répertoire où peuvent se cacher des infos intéressantes...
J'ai volontairement bloqué la faille include pour qu'elle ne marche que sur un certain répertoire, répertoire que vous devez trouver. C'est avant tout pour vous montrer que le hack est surtout une histoire de patience et de persévérance... Alors oui vous pouvez juger ça comme du hasard, mais c'est comme ça : deviner fait partie des étapes de la plupart des activités de hacking.
Et là je dis qu'il suffit de réfléchir pour y arriver. Les répertoires cachés n'auront pratiquement jamais des noms tordus tels que "fqsdf456" mais bel et bien des noms explicites et fréquemment utilisés. A vous de savoir lesquels.

J'ai télécharger john the ripper mais il est vérolé. C'est normal?

Si c'est hacktool, c'est normal les logiciels comme celui sont assimilés a des "virus" mais il n'en est rien sinon telecharge le sur le site officiel http://www.openwall.com/john/
Sinon pour cette epreuve alors il faut réussir a trouver le nom d'un repertoire, suis pas bon aux devinettes :)

Moi non plus et en plus on sais pas si il se trouve dans /admin ou avant ...

si le fichier se trouve sur le site pourquoi est ce qu'on ne le vois pas en faisant un scan avec intellitemper??

Intellitamper ne vous donnera jamais la localisation de ce genre de fichiers, et pour cause : il ne fait qu'explorer tous les liens trouvés sur un site donné ! Vous ne verrez jamais aucun lien vers un fichier de type htaccess/htpasswd, faut pas rêver! Et plus généralement, si un fichier quelconque (html, php, js, txt...) n'a aucun lien pointant sur lui dans le site, Intellitamper ne le trouvera pas !

Ah si ça tu peux le deviner... que se passe-t-il si tu essaies d'inclure le répertoire admin/ ? Tu n'as pas un message sadique qui apparaît? ^^  Cela veut donc dire qu'il ne faut pas chercher dans ce répertoire mais bel et bien en trouver un autre. Je vous aide un peu, il est effectivement dans hkep2. Une fois que vous l'aurez trouvé, il faudra utiliser l'include en n'oubliant pas que l'include est dans hkep2, donc pas besoin de préciser le chemin complet depuis la racine du site vers le répertoire en question mais juste le chemin relatif à l'intérieur de hkep2.

J'ai trois p'tites questions:

-est-ce bien dans le dossier hkep2 que se trouve le dossier contenant le .htpasswd?
Si oui:
        -est-ce que le dossier commence par un point ( '.' ) ?
        -pourquoi tous les dossiers commencants par '.ht' donnent obligatoirement un FOBIDDEN?

Merci d'avance!

1ère question : oui (et je l'avais déjà dit précédemment)
2ème question : non
3ème question : parce que :lol: plus sérieusement, ça vient de la configuration apache, dès que tu lui donnes un .htaccess à manger en url il t'envoie bouler, même si le dossier/fichier .htaccess en question n'existe pas!

j'ai beau cherché tous les noms de dossier possible je ne trouve rien .SVP un petit indice sur le nom!!!

Le nom du fichier, j'espère que tu l'as deviné sinon c'est que tu n'as pas encore saisi ce qu'il fallait faire dans l'épreuve ;)
C'est le nom du répertoire où est situé ce fichier qui pose plutôt problème! Et ça c'est à toi de le trouver ;)
(sachant que bien sûr je n'ai pas mis un nom tordu! ^^)

Relisez le forum...
Tout est dit, sauf la faille elle-même, mais là aussi c'est évident... (peut-être même cela a-t-il été dit avant, je n'ai pas cherché).

Donc résumons nous, il faut :
1 - une faille archi-connue
2 - un fichier impliqué dans la gestion des protections htaccess (y a pas photo)
3 - un répertoire où se trouve le fichier.

Un peu de réflexion et de tâtonnement devrait vous permettre de trouver.
Perso, j'avais résolu cette épreuve il y a longtemps alors qu'elle était différente. Je l'ai refaite hier et j'ai trouvé le nom du répertoire au 2e essai. Cogitez deux secondes : que contient le répertoire en question ou si vous préférez, avec quoi a-t-il un rapport ? Donc si c'était vous, comment l'appelleriez-vous ? Allez, une demi-douzaine de noms ou une dizaine maxi.

Quand vous aurez trouvé le fichier dans ce répertoire, la suite viendra d'elle-même.

La victoire est à portée :)

bonjour a tous!tous d'abord je viens de lire les 6pages et he trouve toujours pas
peut etre ece que je cherche du mauvais cotés donc se serais sympa si vous pouriez rectifier mes ereurs svp
d'abord il nous faut le fichier *******
pour l'avoir il faut se servir de la faille-dont-on-ne-doit-pas-prononcer-le-nom(celle qui est très connu lol)
donc ...**** on met autre chose
ex: ...****
je suis pose que dans se fameus dossier il y a pa de fichier index donc comme on veu un fichier precis on fais
...***** ?

et j'en profite pour préciser que grace a se site je suis love des challenges maintenants donc merci merci merci!!!!!!!

Tu y est presque, le nom de ton premier repertoire n'est pas le bon ;)
Reste plus que ca a trouver :p

A l'aide :lol:

J'ai vu sur le forum que il y avait la faille include dans dans le challenge 2. Et comme je ne savais pas ce que s'était que cette faille je suis aller dans la partie "Article" et là j'ai trouve mon bonheur.
Donc je me met à tester la faille en entrant ce lien comme c'est marqué dans l'article:

http://www.newbiecontest.org/index.php?page=http://www.google.fr

Et sa me renvois vers la page d'acceuil du site  !!!!=( Et dans l'article c'est marque que si sa fais cela, et bien sa veut dire que le site ne possède pas la faille !!!:shock:

En gros j'ai besoins d'une petite luimière pour savoir le bon lien à rentrer!!!
(Et j'ai cherche sur google mon ami et y m'a pas aider!!:cry: Tu parle d'un ami pas très bavard pour donner les reponses)=D

=D JaK =D
En ésperant apprendre d'avantage.

En gros les administrateurs de ce site ne sont pas fous. Il y a bien une faille include, mais elle est simulée pour ne laisser passer que la (les) page(s) nécessaire(s). Imagine sinon si tu pouvais inclure un script à toi, le serveur serait déjà mort... :lol:

Il faut donc trouver la bonne inclusion pour que ca fonctionne ;)

Bonjour,
Je pense avoir trouvé le nom du dossier (403 forbidden), donc si j'ai bien compris il faut que j'arrive a bypasser cette protection via une faille connue afin de récupérer un mot de passe et pouvoir ainsi accéder à la zone admin puis récupérer le htaccess, trouver le htpasswd, décrypter le mdp puis valider. Le problème c'est que je n'arrive pas à trouver l'endroit où appliquer la faille, alors je me demandais s'il n'y avait pas un autre dossier (ou page) caché qui serait succeptible d'être faillible? A mon avis c'est moi qui doit mal m'y prendre dans l'application de la faille...

Salut,

j'ai un petit problème avec cette épreuve, enfin j'ai récupéré tout ce qu'il fallait, accès à la page, récup du mdb, etc.
JTR tourne comme un ouf depuis quelques heures, a priori je pense qu'il bruteforce comme il le faut, si on est d'accord qu'il s'agit d'un mdp unix... Juste pour savoir si je ne perds pas mon temps

merci

Commande pour JTR :

john -i pass.txt

Avec le fichier txt de la forme :
login:passcrypté

(dit et redit)

LOL TU FLOOD LORD... **orthographe !** pas besoin de la réponse ça me servirai à quoi .  mais des indices j'en veu bien .

Des indices, des indices, y a deja 10 pages dans ce topic ou tout a deja ete dit plusieurs fois ...
Apprenez a lire et a reflechir ... et si on comprend pas ce qui est ecrit on cherche avec google si on pense que cet indice peut etre utile. il faut un minimum essayer de comprendre comment est structuree l arborescence des repertoires Nux par exemple.
ca sert a rien de valider une epreuve en essayant mille trucs sans savoir ce que l on fait.

Bonjour à tous, je suis inscrit depuis très peu sur NC et j'en ai déja appris beaucoup. C'est passionnant. :cool:

J'ai réussi cette épreuve, mais il y a une question que je me pose.
Quel est l'interêt de placer les deux éléments d'une protection htaccess dans deux répertoires différents ? Est-ce que ce cas se trouve fréquemment en situation réelle, où est-ce que c'est juste l'occasion d'exploiter la faille include ?

Bon courage à ceux qui cherchent encore !

ca fait bien 1h que je cherche ce foutu répertoire!
si jamais je le trouve, je paie une photo de mon cul en train de bronzer sur le pacific pincess :evil:
oops oui je sais je craque un peu :(

une fois que tu aura trouve le compagnon du .htaccess tu aura presque trouver le dossier

Bonjour à tous,
Je n'ai toujours pas trouvé le nom du dossier :oops:
Alors 2 questions.
Le dossier comporte t-il 3 lettres?
Sinon est-il au pluriel?
Merci d'avance pour vos réponses
PS : Si vous n’avez pas envie de me répondre à mes questions abstenez-vous à la place de répondre à coté

Et quoi, encore ? 10 dollars et un Twix, aussi ?

Cette épreuve, c'est du pur guessing. Faut juste deviner un nom de répertoire. C'est tout. rien de plus. Et pourtant, il y a douze (12) pages de commentaires à ce sujet. Est-ce bien raisonnable ? Est-il vraiment utile de poser encore des questions à ce sujet ? Le seul truc qui pourrait encore aider, ce serait de donner la réponse.

Tout le monde te répondra à côté. D'abord parce que tout a été dit au sujet de cette épreuve, et également et surtout parce que le fait de demander de ne pas faire quelque chose aura systématiquement l'effet inverse. (Ne touche pas à ça, petit. J'AI DIT, NE TOUCHE PAS A CA ! ... Ah ben oui, je t'avais dit de pas toucher.)

**orthographe !** ceux qui cherchent encore, dites vous bien une chose : cette épreuve n'apprend pas grand chose. Enfin si, quand même, mais il n'y a pas besoin de la valider pour avoir compris. Alors pourquoi s'échiner ? Je signale au passage que l'afterwards contient un unique message, et c'est pour féliciter les fondateurs et les admins du site. Allez, y'a tellement d'épreuves plus intéressantes et enrichissantes sur NC...

Sans rancune... ;)

On peux pas la supprimer cette epreuve ?

D'ailleurs ou pourrais pas supprimer automatiquement toutes les epreuves aui arrivent a 10 page sur le forum ...

Perso je serais assez d'avis, non pas de la supprimer, mais de la refaire en plus intelligent. Parce que là c'est clair que ça ne sert à rien sauf à se prendre la tête.
Ca implique évidemment le reset du score pour tout le monde.

ce qu'il faudrait faire (enfin c'est mon avis) c'est faire le tri dans le topic d'aide et le limiter à 5 pages en ne gardant que les posts pertinents (le mien n'en ferait pas partie par exemple)

edit pour S0410N3 :

si on la refait en plus intelligent je vais pas y arriver, il faut  penser aux neuneux comme moi quand meme!!! mais pourquoi pas, je ne suis pas assez neuneu pour attacher une importance démeusurée aux scores je ne suis pas là pr ça, d'ailleurs je vais ouvrir un petit topic pour dire tout ce que ce site m'a apporté, je suis sûr que ce sera interessant d'avoir l'avis de tout le monde

Plus intelligent ne signifie pas nécessairement plus compliqué ;)
De mémoire j'ai moi aussi perdu un temps fou sur cette épreuve pour... rien.
Je pense qu'il suffirait de pas grand chose pour la rendre un peu plus pertinente.

euh...elle marche toujours l'epreuve ?
**No Sms** je j'ai trouvé la fichier ou y'a le mot de passe, mais deja il commence pas par c, il est tout bizarre, genre "hashé" en md5, mais le pseudo pour se logué, lui ne l'est, il commence bien par un a :O

j'ai le bon faut fichier ?
faut bien reussir a se loguer aprés ?

Edit par zours : et ça y est, le topic recommence à se remplir avec du 100% inutile, vu qu'il aurait suffit de lire les pages précédentes :rolleyes:... En plus, super, tu fais du cross-posting ('fin c'est pas tout à fait le terme ici) : tu postes et en même temps tu viens demander sur IRC. C'est quoi l'intérêt, franchement... T'aurais aussi dû nous envoyer des PMs et un mail, pour être sûr -_-.

Modération : et un texto, on peut aussi ? :D

Si le mot de passe te paraît hashé, il paraît normal d'essayer d'obtenir le pass en clair non ?

Salut,
Je vais peut-etre etre lourd mais comment vous avez trouvé que le fichier que l'on cherche est dans un dossier qui est dans hkep2/ :
C'est bien ça on cherche un dossier dans hkep2 ??
(désolé si j'en dis trop)

Modération : On cherche. Point final. Ca devient usant à la fin. Et personne n'a parlé de hkep2 dans l'énoncé. Alors on ne croit pas bêtement ce qu'on dit à la télé et on se met à réfléchir.
Je ne savais pas que le défilé du 14 juillet c'était aussi un défilé de boulets mendiants.

Ok désolé

un truc bizarre j'ai essayé plusieurs noms et il y a nu nom ou ca me met:
c'est grave docteur ^^ j'ai tout cassé:twisted: éhéh lol

Est-ce qu'il faut bien chercher dans admin/nomdudossier/lefichier ?

Bien tenté mais non

Bonjour,

Voila sur l'épreuve du .htaccess je sèche ^^ J'ai trouvé le chemin qui menait au .htpasswd très vite mais dedans ce qui est normal j'ai le login et le mot de passe, mais crypté :cry:. J'ai éssayé sur pas mal de site ( 7 environs ) de décrypter en pensant que c'était du MD5 mais la je dois avouer que je n'ai rien trouvé. Si quelqu'un pouvait me donner un indice afin de décoder le mot de passe se serait sympathique :)

Merci d'avance ;)

Non pas d'indice. Quelques recherches sur ce type de protection permettent de trouver la réponse. Et ça ne peut pas être du MD5, la raison devrait sauter aux yeux (lire un peu de doc sur le MD5 là aussi).

Bonjour,

Voila j'ai beaucoup de difficulté avec cette épreuve.

j'aimerai juste savoir ci ces une inclusion de ce style

Dossier/fichier
ou
dossier/dossier/fichier

J'ai lu plus haut que ce n'est  pas admin/dossier/fichier ce qui me fait penser selon un topic plus haut qu'il fallait chercher dans les arborescence de répertoires connus.

Pour ce qui est du dossier hkep2 faut t'il tenir compte de  cette indice ou ces du vent?

Modération : ci ces pas trot te demandez, appliques toit haie fée attention a ceux queue tue écrit

Excuse moi mes propos ci cela te vexe, mes je trouve que ta fixation sur les fautes est un peut déplacer sachant que sur ce topic je n'est fait que 3 fautes pour moi ce n'est pas trop mal en voyant certain topic qui ne sont ecrit quand langage SMS ou avec beaucoup de plus de fautes que moi.

Pour ma part je n'arrive pas a comprendre les gens que sous prétexte qu'il sont fort en français ce font une joie de reprendre toute personne qui n'est pas aussi bon que lui dans cette langue.

Je ne veut pas faire toute une histoire pour sa mes il est vrai qu'a partir du moment ou il y a très peut de fautes est que le poste est lisible je ne croit pas que ta réponses est justifier.

Pour ma part cela est une preuve de non respect des autres car oui j'ai de la difficultés avec le français (PEUT ETRE CAR JE NE SUIS PAS FRANCAIS ;) ) et toi na tu pas des lacune dans une branche ??

Voila mon avis j'aimerai juste que tu réfléchisse a ça est sache que je ne t'en tien pas rigueur.

Amicalement David.

PS: Est pour ce qui est de ma question initiale ? suis je sur la bonne voix?

Chacun ses fixations... Moi en ce moment, c'est la confusion ça/sa qu'on commence à voir partout que je ne peux plus supporter. C'est devenu viscéral.

Ceci dit : non, c'est pas aussi rapide de lire quand il y a des fautes (les critères qui font quelque chose de "lisible" n'étant pas aussi simples que ça). Le cerveau est vraiment très bizarrement conçu : si tu écris un mot avec toutes les lettres bien présentes mais complètement mélangées à l'exception de la première et la dernière (qui doivent être correctes), le cerveau interprète en général le mot à la même vitesse. En revanche, si le mot est mal orthographié, la vitesse de lecture chute de manière impressionnante. Alors, oui, il y en a (dont tu fais apparemment partie) chez qui la vitesse de lecture ne change pas, qu'il y ait des fautes ou non (et parfois, même si c'est écrit en SMS) : c'est ceux qui ne lisent pas vraiment, mais qui déchiffrent, un mot à la fois. Si tu lis vraiment, c'est à dire en laissant tes yeux courir le long de la ligne, tu te rendras vite compte que la moindre faute t'oblige à t'arrêter sur le mot pour le déchiffrer, parce que là, il n'y a plus le choix.

Sans rentrer dans les détails, vu que je ne suis de toute façon pas spécialiste, c'est dû à la manière dont notre cerveau  appréhende ça. Sur les mots connus et correctement écrits (ce qui a également un rapport avec le contexte dans lequel le mot est placé, donc parfois, une confusion c'est/ces va ralentir, par exemple), le cerveau ne "lit" pas vraiment le mot. Il repère la longueur, les lettres de début et de fin, et quelques autres paramètres (nombre de lettres hautes et lettres basses, etc...). Sur un mot incorrect, cette méthode rapide ne peut pas fonctionner : on est obligé de déchiffrer. C'est un processus beaucoup plus lent, qui fait appel à des fonctions différentes : replacer le mot dans son contexte, identifier son rôle dans la proposition...

Bref, pour résumer : si, c'est important de bien écrire. Il y a peut-être un certain acharnement de notre part ici, mais il faut uniquement voir cela comme le signe que de plus en plus de gens écrivent n'importe comment, et dans bien des cas s'en contre-foutent.

J'aimerais également que tu réfléchisses à ça, plutôt que de vouloir faire (et très mal en plus) la morale à un modérateur qui te faisait la remarque plutôt gentiment (moi par exemple, je suis souvent moins gentil).

Tout à fait d'accord avec zours, je vais juste vous donner un exemple de ce qu'il dit: (Phrase assez connue), essayez de la déchiffrer:

sleon une édtue de l'Uvinertisé de Cmabrigde, l'odrre des ltteers dnas un mot n'a pas d'ipmrotncae, la suele coshe ipmrotnate est que la pmeirère et  la drenèire lteetrs sinoet à la bnnoe pclae. Le rsete peut êrte dnas un dsérorde  ttoal et vuos puoevz tujoruos lrie snas porblmèe. C'est prace que le creaveu  hmauin ne lit pas chuaqe ltetre elle-mmêe, mias le mot cmome un tuot.

Sinon je trouve quand même que badboys59 n'a pas fait tant de fautes que ca non plus ;),  (par rapport à certains), (le pire c'était "ces du vent" :P)

Bonjour,

Pour résumer ce débat, je comprend ton opinion après ton explication. Mes essayer de comprendre les personne qui font des fautes sens le vouloir. Pour ma part je relit toujours mes poste que je corrige avec un plugin firefox (pas très bon certes :) ) J'essaye de faire le moins de fautes possible et d'entendre toujours les même remarque sa me donne envie de ne pu poste sur les forum.  

Vous n'imaginer pas comment cela peut être vexent (du moins pour les personne comme moi) d'entendre cela régulièrement malgré les effort fourni pour qu'il y est le moins de fautes possible.

Il ne m'est pas possible de retourner a l'école vie familiale donc travaille :O .

Voila pour ma part je suis désoler de voir que ce monde n'est régie que sur quelque règle et que l'intolérance est de rigueur.

L'effort est fournie de ma part par mon auto correction (dans la limite de mes possibilité) j'espérerais juste que dans ce milieu qui ce dit contre l'intolérance, contre les réglé stupide (pour résumer) cela ce passerait mieux.

Voila qui est dit je suis vraiment désoler de ne pas vous comprendre pour mon cas (les écriture SMS ou comme le topic de "BAAL" je suis aussi contre )  mes je voit la chose de mon coté ceci n'engage que moi, mes du votre il est vrais que les fautes doive être déroutante au moment de la lecture. Un peut d'effort des deux coté devrait arranger les frustration pour les deux partie.

Amicalement edorus

Pour compléter ce qu'à dit zours, il faut savoir que l'orthographe peut aussi jouer un rôle majeur dans ta (future) vie professionnelle. Je m'explique : Tu écris mal, ou pire très mal, personne ne te dira rien ; par contre pour ceux qui te lisent tu passeras, d'une façon ou d'une autre, pour un "charlot". Regarde bien autour de toi, et tu verras qu'aucun poste à responsabilité n'est confié à des personnes ne sachant pas écrire.

Sur NC c'est pareil, mis à part qu'on te signale que tu pourrais faire des efforts.

Je ne lis pas les messages du forum qui sont très mal orthographiés : je sais au fond de moi même que ces messages ne m'apporteront rien. Par contre je me régale à lire certains "auteurs" (j'avoue que j'attends toujours leur prochain message avec impatience).

Pour résumer, si tu veux être un minimum crédible, rédige chacun de tes messages avec le plus grand soin (même si c'est pour raconter une énorme connerie).

J'aimerais juste rajouter à ça que tu ne dois pas être découragé si tu fais des efforts et qu'il reste des fautes, c'est la démarche à avoir pour s'améliorer!
Et aussi... mon message d'avant n'était pas une caricature du langage sms pour ceux qui n'auraient pas compris, juste un exemple de ce que disait zours: le cerveau humain ne lit que la première et dernière lettre de chaque mot, donc même la phrase que j'ai posté avec les lettres complètement inversées (à part la première et la dernière) est plus facile à lire qu'une phrase avec des fautes récurrentes comme les "er" à la place des "é" ou autre...

ouais enfin bref, revenons au sujet si vous le voulez bien :lol:
J'ai pas encore trouvé le fichier que je cherche, mais au moins je sais se que je cherche.
Je continue à manipuler l'url, et j'ai remarqué que:
-si j'inclus une page *************
-si j'inclus un page (n'importe laquelle, même inexistante) ******* :"Bien tenté, mais non..."
Bref je suis dans une impasse. Peut-être en faisant un schéma de l'arboressance que je connais, j'aurais un déclic...
Cependant, j'ai trouvé un truc qui me semble incohérent: la page ********* n'éxiste pas dans le répertoire **** !
Pouvez vous me dire pourquoi? (alors que part défaut elle est inclue dans l'url?)

Modération : Le forum n'est pas fait pour détailler toutes tes tentatives, même si ce n'est pas la bonne voie que tu cites. En effet, tu peux malgré tout donner des pistes sans le vouloir ou au contraire montrer que certaines pistes ne sont pas les bonnes. Ce genre d'échange doit plutôt se faire en privé le cas échéant, ...  ou pas du tout. Donc, chuuuuut.

Bonjour,
Je suis nouveau je connais un peu le monde du hacking ( ;)) mais là je bloque et je ne sais pas si je m'enfonce ou pas :
En résumé je dois /* trop détaillé, bouh ! */
En sachant que àtrouver n'est pas a****, c'est ça ?

merci d'avance de vos réponses !

Voilà c'est à peu prés ca oui  ;)

Personnellement j'aime bien pour les failles includes cherché la page connue (celle de démarrage),
hors la le système de protection (ou correction de la faille) ne nous laisse pas aller voir une page qui n'existe pas... il nous affiche directement la page par défaut (pour ne pas la nommer) cela ne nous laisse pas entrevoir si le chemin existe ou non ... pour après reprendre le chemin qui nous intéresse

en cherchant cette page et la solution en même temps je suis tomber sur un dossier qui donne sa :

je suppose qu'il y a un second dossier dans celui-ci
dite moi si je me plante
Je suis rester volontairement vague pour ne pas trop en dire, et j'espère être rester compréhensible

PS2: ne vous fatiguez pas a essayer de me corriger les  fautes d'orthographe, j'ai le plomb de cette case qui a sauter quand jetait petit, j'utilise le correcteur de Google, mais pour moi un mot es une suite de lettres qui forme un sons donc je reste incapable d'écrire correctement (ce qui ma value de ne pas avoir mon bac) mais pour le reste mon cerveau fonctionne correctement (p't'être un peut trop porté sur le cul ).
en regle générale je n'utilise pas le langage SMS, mais j'aime bien les onomatopé comme '**No Sms** pour papa ou snif ou ouaf ouaf ... bref je m'écarte du sujet

Le message d'erreur n'a aucun rapport avec l'epreuve (tout du moins a l'epoque ou je l'ai faite...)
Ca veut juste dire que le serveur n'a pas pu répondre à ta requète, pour une sombre raison.
Ne te fie pas à cette erreur, et si jamais tu la revoie, recharge la page, normalement, la requete devrait passer.

Enjoy

The lsd

Salut, ca fait 2 ans que je bloque sur cette épreuve (et oui, rien que ca).

Ca m'a laisser le temps de tester pas mal de truc, parmis les path par défault, les path connus, et bien sur les path qui "ne peuvent pas étre ca" mais que j'ai essayé quand méme!
Et depuis tout ce temps, je bloque...
Je pence que je suis complétement à coté de la plaque, sinon j'aurais dû trouver depuis le temps... Mais que voulez vous, quand on s'est fait une idée, quand on se la repasse dans la téte pendant plusieur heures, on finis par ne plus voir le reste...
Alors j'aimerais bien un petit indice complémentaire par mp, histoire que je lui régle son compte une fois pour toute à cet enfoiré!  :D

Merci ^^

Suis-je sur la bonne voie si je tombe sur "bien tenté mais non..."?

oui  :wink:

Aprés quelques instants passés à recherché le répertoire voulu, une question persiste (surement trés bête mais bon :D):
- Doit on considérer que le fichier voulu se situe dans http://www.newbiecontest.org/epreuves/hacking/ep2/ ?

Cela me semble logique mais j'ai quand même un doute...

Merci de votre attention.

oui tout a fait mais il me semble que cela a déjà été dit plus haut... =|

Pourquoi être aussi agressif ? D'autant plus qu'on parle bien de ce répertoire et que si l'information est erronée elle aurait du être supprimée... :rolleyes:

Salut,

Je commence à retomber assez souvent sur mes pas.
Je tombe sur Bien tenté mais non... et d'après les post précédents, je pense ne pas être trop loin, mais ensuite, je ne sais vraiment pas ou est ce que je pourrais aller.

J'ai le droit a un little indice ou je sort  :?: :?:

Bonjour,


j'ai download john the ripper pour decrypter le mot de pass mais j'y arrive pas


je tape sa dans linvite de commande:

je me place dans le repertoire de john the ripper apres je fais

john-386.exe --single pass.txt


dans pass.txt j'ai mis  :   admin:passcrypter


mais sa me donne adminXXX - adminYWW


X, Y, W coreponde a des chiffre diferent



merci de m'aider


amicalement
spprod

C'est pas tout à fait ce que ça te donne. Pour être précis, la réponse doit ressembler à :
guesses: 0  time: 0:00:00:00 100%  c/s: 751  trying: admin1969

Ce qui veut dire, en gros, que john a fait le boulot, qu'il n'a pas trouvé le pass, et que le dernier essayé est adminXXXX. Après, on peut se demander comment il se fait que john rende les armes si rapidement, et la réponse est dans la documentation :


Du coup, forcément, c'est rapide mais ça n'a aucun résultat. Pourquoi ne pas le lancer avec un autre mode (ou pas de mode spécifique du tout) ?

Essaye peut être avec cain, personnellement je le trouve plus simple d'utilisation 8)

non en faite j'ai reusis

Merci de votre aide ;)

Challenge validé  :p

Dur dur  =|
Mais sinon le nom du dossier il a un rapport avec quoi? Parce que la je désespérè  :( 
J'ai tester tous les noms de dossier que j'ai l'habitude de donner, tous les mots se rapprochant de htaccess & de htpasswd, rien a faire...
Enfin ce que je veux savoir si il faut changer le page = ???? ou mettre le nom du dossier directement dans l'url(enfin apres le ep2 quoi :) )

Assure-toi d'avoir bien compris l'épreuve (la faille et son exploitation) avant d'essayer des noms de dossiers. Sinon tu risques de perdre ton temps !

je confirme ce que dis WiebeN... Je me suis pris la tête pendant plusieurs là-dessus, et ça me gonflait de faire du guessing qui ne menait manifestement à rien...

J'ai donc laissé tomber quelques jours, et en essayant de résoudre une autre épreuve, je suis tombé sur un site qui m'a permis de finir celle-ci... Au final, mon guessing était correct depuis le début, mais je ne cherchais pas au bon endroit ;)

Les épreuves suivantes sont moins barbantes, tu reviendras sur celle-ci un peu plus tard ;)

bonjour, voila sa fais quelque temps que je but sur cette faille htaccess mais je ne sais pas comment mis prendre malgres que je connais le fonctionnement.

Modération : il faut lire les 7 pages précédentes, et comprendre qu'on n'aidera a priori pas davantage sur cette épreuve, qui comporte déjà toute l'aide qu'on peut donner.

rectification : jais pris conscience qu'il existait un moyen pour bypasser la protection aux niveau des droits, suis-je sur la bonne voie ?

Bonjours,
si j'obtient une erreur :

Forbidden

You don't have permission to access /epreuves/hacking/ep2/??? on this server.

est ce que j'ai bien trouvé le bon repertoire ?
il n'y a "plus" qu'a utilisé la faille non ?

je seche un peut la

Non... cherche ailleurs... renseigne toi mieux

Salut,
Pour cette épreuve c'est assez dur de trouver le nom du répertoire j'ai mis plusieurs semaines pour le trouver. Il faut laisser tomber cette épreuves et tu y reviens dès que ta une idée. Il faut avoir un peu de chance.
                                    =D

Pas d'accord, avec un peu de jugeote et de tests on finit par trouver ce fameux répertoire... le tout est de ne pas laisser tomber justement, même si on peut s'accorder quelques heures, quelques jours avant de reprendre, là oui :wink:
M'enfin il n'y a rien de bien compliqué...

Après avoir testé des dizaines de répertoires probableset tout ceux qui me passaient par la tête (je sais je suis pas bon au devinette!), j'ai trouvé une autre méthode sur google, mais sans succès.

Je voulais savoir si je devais approfondir cette faille un peu "limit" (comprendras qui pourras) ou si je devais continuer le guessing.

Merci, Mogg.

Ca marche aussi comme ça ;)

Alors là tu me rassures parce que je n'en pouvais plus d'essayer tout un tas de répertoires!
Il ne me reste plus qu'à faire des recherches plus approfondies sur cette faille.

Les gars j'ai une question qui vous semblera toute bête. Qui aurais un log pour me permettre d'entrer le bon mot de passe?  J'ai trouvé le fichier en question et son contenu n'est pas directement compréhensible, la preuve en est que ça ne valide pas, je trouve que ça ressemble tellement à "mdr". SOS

Moi j'en ai bien un, mais comme ça fait partie de l'épreuve...
Je voudrais pas te donner la réponse si facilement et je ne veux pas gâcher ton plaisir de la réussir par toi-même.
Effectivement, il y a une seconde partie qui est la chose la plus commune d'ailleurs sauf chez notre ami free.fr.
Renseigne toi sur ce point et tu aura vite ta réponse... à moins que quelqu'un te donne la réponse...

Je seche depuis une semaine sur cette épreuve :'( quelqu'un d'autre peut me confirmer que la page affichant l'erreur à un lien avec la solution de cette épreuve:
Un mp d'aide serai le bienvenue :'( je vous en prie :'(

Tu n'as pas assez de points pour qu'on puisse t'envoyer un mp

Je commence à devenir dingue sur cette épreuve !!

J'ai essayé plusieurs dizaines de noms de fichiers courants, aucun ne veut passer ! >_<

Je dois avoir un soucis dans mon utilisation de l'include c'est pas possible .....

Est-ce vraiment un nom de répertoire bateau ?

ou ma méthode est tout simplement mauvaise ?

Merci, j'en ai vraiment marre de cette épreuve, j'ai essayé d'utiliser la méthode [...] aussi mais j'ai pas trouvé de netcat .... J'en ai ras le bol, tous les liens de tous les sites que j'ai trouvé étaient morts !!

Salut,

Je pense que tu dois relire un peu le topic, surtout la première page, ca te donnera de gros indices sur ce que tu dois chercher.

A bientôt ;)

Qu' elle végétation c'est un arbre " stéganografier"  ...  :shock:

Je voudrais savoir si cette ''faille alternative'' marche toujours?

J'étais sur le bord de devenir fou avec les répertoires alors je me suis tourné vers cette piste. Je me suis informé sur cette faille à mon ami google et il a été assez gentil pour me donner son fonctionnement. Le problème c'est qu'elle ne marche pas :cry:. Alors, vous n'avez qu'à me répondre oui ou non et cela va me permettre de savoir si le problème est devant l'ordinateur  :P ou que le challenge a été protégé à ce type de faille.

merci pour les réponses

Apparemment non, l'alternative ne fonctionne plus du tout.
Correction : elle fonctionne toujours mais pas avec les outils tout fait, un petit exploit et ça passe tout seul.

Reste la première voie qui reste exploitable.
Bon courage !

Par outils tout fait, tu parles de netcat? C'est de ce côté que j'ai regardé et à chaque fois que j'envoie une requête, il me dit : forward host looked up failed: Unknown host: Connection timed out

Je suis dans le champs avec netcat ou c'est juste ma requête qui n'est pas correct?

Dsl si j'en dit trop  :?

L'épreuve fonctionne donc si tu as une erreur c'est que ce n'est pas le bon fichier/dossier.

Je ne vois pas ce que l'outil fait de plus/moins que l'exploit! Si quelqu'un a une raison à m'apporter je lui en serais reconnaissant.

Juste une mise à jour pénible d'un outil qui supprime la possibilité, rien de plus...
Je me suis fait avoir, mais j'ai compris l'erreur  =)

En gros, c'est beaucoup mieux, ça force à bosser un poil au lieu d'utiliser un logiciel.

C'est sûre que ça force à coder un exploit. Du coup l'épreuve devient un poil plus compliqué et plus intéressante.

Bonjour à tous,

nms quand ta écris qu'il fallait trouvé un autre répertoire, c'est devenu ballo !! ^^

Mais simpa l'épreuve avec le répertoire admin bloqué...

Can i get a hint in english please,i can t translate all comments from french to english...

Yes you can!
Else I think the only hint that this topic gives is that you have to find the correct directory (feeling AND/OR logic), and then to do what you have to do  :D

Good Luck

Je sais pas si c'est ça la faille mais on peut accéder à l'admin sans passer par la faille include (sans avoir le mot de passe)

Bonjour,

J'ai effectivement aussi réussi l'épreuve sans passer par le dossier. Et donc sans mot de passe.

Je ne sais pas si c'est une erreur dans l'épreuve donc je préviens.

Bon ça commence à me saouler ces posts inutiles "Ouais j'ai réussi d'une autre manière" blablabla !

Regardez les autres épreuves, et taisez vous ! Il y a DEUX épreuves .htaccess ! DEUX ! Celle là tout le monde connait la technique ! Elle a été dite et re-dite sur le topic ! Mais l'autre épreuve, il faut la résoudre d'une autre manière. Donc, peut être qu'en réfléchissant deux secondes, on peut se dire que la manière "sans mot de passe", et ben elle est peut être pour l'autre épreuve !

Vala, ça fait du bien ! Il fallait que ça sorte, parce que bon, quand même quoi... Il suffit de réfléchir deux secondes...

Enjoy

The lsd

Bon décidément, je dois être une sacrée quiche parce que j'ai beau rentrer des noms dans le bouzin, rien ne m'indique si je suis sur la bonne voie. Si le nom de ce foutu répertoire nécessite une certaine culture informatique, je suis un peu désavantagé, même si j'essaye de me rattraper.

J'ai essayé, comme suggéré dans l'indice, tous les répertoires pertinents de l'arbo nunux, mais là j'en peux plus: je nage plus en plein brouillard, mais dans la colle. Et aucun des postes précédents ne m'est vraiment utile... :cry: je pense pourtant avoir bien compris le principe de la faille include...

Y a-t-il un domaine précis de la culture info à creuser pour trouver ce fichu nom ?

Attention attention... N'est pas quiche qui veut. NC a déjà sa quiche officielle et indétrônable.

hello,

alors j'ai trouvé la faille et j'ai réussi à l'exploiter malheureusement l'invite de commande sous windows xp ne m'affiche pas tout le texte... du coup je ne peux pas tout copier...

est c'que quelqu'un aurait une solution pour copier l'entier de la réponse sans qu'il manque la première moitié ?

il me manque tout ce qu'il y a avant ça :

                content_xml.open("GET", "content/mods/shoutbox.php?refresh=1", t
rue) ;
                content_xml.send(null) ;
                content_xml.onreadystatechange = function()
                {
                        if (content_xml.readyState == 4)
                        {
                                document.getElementById("chat_post").style.displ
ay = "block" ;
                                document.getElementById("chat_controls").style.d
isplay = "block" ;
                                document.getElementById("chat_post").innerHTML =
 "<table>" + content_xml.responseText + "</table>" ;
                                document.getElementById("shoutbox_loading").styl
e.display = "none" ;
                        }
                }
        }
}

Merci d'avance

LOL hé ben, ça c'est de la modération vite fait bien fait x)

Salut, je ne trouve pas du tout ce qu'il faut faire  :( j'ai essayer /* censored par the lsd : et non c'pas pour celle là, c'est pour l'autre */ ='( . une aide SVP ?

ben déjà.. T'as même pas essayé tout ce que tu savais faire...

de quoi ? je te suit pas

Désoler double post.
De l'aide svp ?

Y'a un bouton «modifier» qui sert à ça.


Toute l'aide possible est déjà donnée dans les multiples pages de ce fil. De même qu'il n'est pas anormal de passer du temps à valider une épreuve. Et quand je dis passer du temps, je veux dire qu'il est possible d'y passer plusieurs semaines, mois, voire années.

Ne devrions-nous pas songer à locker certains topics d'aide ?
Pour toutes les premières épreuves surtout en hacking les 5 dernières pages de chaque topic ne sont que des demandes d'aides alors que tout a été dit ou des "j'ai réussi un conseil persévérez".

Certes si jamais il y a un problème sur une épreuve ça sera un peu plus dur à signaler... mais en même temps ces épreuves sont tellement essayées que ça passera pas inaperçu et c'est très rare que les premières épreuves tombent soudainement en panne...

Ou au pire faire un peu de nettoyage!

Ahaha, une invocation de the_lsd !

On parle de moi ? =)

Je suis pas du tout pour locker des fils, déjà parce que c'est pas fair play pour ceux qui ont besoin d'aide (Pourquoi on supprimerait certains topics d'aide et pas d'autres ?), et ensuite, moi ça me passes le temps de balayer les topics un peu trop chargés =)

Enjoy

The lsd

mdr,j'ai eu droit a un petit message "Et la marmotte elle met le chocolat dans le papier d'alu..." :D

Bonjour, j'ai salement buter pour cette épreuve, je tiens à dire que vous n'êtes pas obliger de faire des devinettes pour la résoudre, renseignez vous sur les façons de bypasser un htaccess autre qu'avec la faille include, vous aurez plus de chances à mon  avis.

Edit de the lsd : oui enfin le but de l'épreuve c'est de trouver le bon chemin pour l'include, donc on fait avec l'include...

salut juste un petite question pour les admin est ce qu'on a le droit de faire un petit script qui cherche ce fameux répératoire ?

C'est quand même écrit en ROUGE CLIGNOTANT sur la page d'accueil qu'on a pas le droit...

Enjoy

The lsd

Bonjour,

ca fait un bout de temps que j'avais pas réessayé celle-là, mais alors elle m'énerve vraiment !


Alors la je sèche... Même après avoir lu le topic, je n'y arrive pas !
Est-ce que je peux juste savoir si le dossier se trouve a la racine du site, ou dans le répertoire ep2 ?
Et aussi, combien y a-t-il de sous dossiers ?

Du genre c'est page=***/***/fichier_ici ou page=***/fichier_ici ?

Merci =)

/* Modération : visiblement, tu n'y arrives pas non plus après avoir tenter de scanner le serveur, ce qui est pourtant interdit par une petite phrase rouge de la page d'accueil. À dans 3 jours. */

be careful...big brother watching you :!:

-HS-
 =D :cool: on scan pas le serveur  :!: 

Dommage ceci dit... Vous pourriez attribuer des points a ceux qui trouvent des failles sur le site, et qui préviennent les admins..

Jdi ca jdi rien ;)

-Stop HS-

Cependant, imho ceux qui scannent le site malgré les interdictions sont ceux qui n'arrivent pas à récolter les points d'eux mêmes, alors de là à découvrir des failles sur un site créé et administré par des passionnés de sécurité informatique...

Ceci dit pour répondre à à_coeur, le mieux est d'essayer ;)

Merci, mais c'est bon, réussi =)

et je croyais pouvoir trouver des dossiers, je ne retenait que BF interdit... pas scan avec des outils =)
Bref pas grave =)

Personnellement je n'ai pas eu besoin d'autre chose que ma console MS-DOS :)

Bonjour,

Je bloque sur cette épreuve depuis un certain temps déjà.

Suivant l'indice de départ je cherche du coté d'un path du type '/etc/***/***' comme sur une arborescence linux 'standard'...

Cependant, je n'arrive pas a trouver à l'aide des dossiers par défaut des diffèrents serveur web du monde connut...

Ce qui m'amène a me demander si j'ai fais le bon choix ?

Merci

Moi j'ai utiliser quelque chose qui s'appelle Telnet pour cette épreuve ;) après utilise Google et cherche

Ce n'est pas le but de l'épreuve d'utiliser cette faille là, il y a une autre épreuve pour ça. NC ce n'est pas un concours où il faut valider les épreuves à tout prix, peu importe la manière, c'est avant tout de la recherche et de l'apprentissage. Certes dans cette épreuve il y a une grande part de guessing et ça peut être frustrant, mais je trouve ça dommage de passer par un moyen détourné pour valider l'épreuve et ainsi ne pas comprendre la faille.

Je sais sauf que je ne pensé pas a cette faille, je croyer c'était un .htaccess qui fallait bypass a la volé ^^'

Bonjour à tous,

Je voulais savoir si avoir ce message me permettrait de rester optimiste quant à la résolution du problème:

"Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, webmaster@newbiecontest.org and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log."

Courtoisement

Petit a petit l'oiseau fait son nid... =D

Le pass ne semble pas être du md5,c'est pas très "usual"
Je me trompe ou tout les sites que je visite, me dise des bêtises?

lol
Mais j'ai fais tout les noms qui me passaient par la tête... rien ne marche...
J'ai regardé sur mon disque dur et j'ai testé le nom de tout mes dossiers... (enfin une grande partie ^^) ça ne marche pas non plus...
Si j'ai bien compris, il y a deux (voir plus) dossiers : un a**** (qui est verrouillé car on se prend un "bien tenté mais non") / et un ***** qu'on doit deviner... non?
Il n'y a pas quelqu'un qui veut faire un pendu avec moi pour trouver ce nom de dossier? :D

Ben... cherche d'autres sites.
devinette: un hash de 13 caractères c'est encodé en .....?

dsl je vais passer pour un boulet mais en realiter lorsqu on tombe sur la page qu on ne peut pas acceder
on tombe sur quoi??? car j ai fait avec /* modéré : et d'une, y'a un forum spécial pour en parler, et de deux, tu n'as pas utilisé la méthode attendue */  et je suis directement tombé sur le passe ? mais sur un relle site je serrais tombé sur quoi?

Bonjour, juste une petite question, le .htaccess est placé dans le dossier qu'il est censé protéger c'est bien ça? Par exemple ici admin est protégé donc logiquement le .htaccess est placé dans ~/.../admin/.htaccess ?

Pour ce qui est de la faille include, je vois pas trop l'intérêt, on doit include un fichier à nous qui met en clair le .htaccess?

Bonjour,

C'est mon premier post alors un peu d'indulgence  ;).
Je suis un peu perdu sur cette épreuve. Je vois la faille /* modération : censuré */. Quand je veux essayer /* modération : censuré */ il me dit que c'est bien tenté....
J'ai essayer également l'épreuve du .htaccess numéro 2 (reloaded)

Pouvez-vous me dire si je me trompe.
Pour celle là je vois bien /* modération : censuré */. Par contre j'ai tenté /* modération : censuré */ mais il me jette à chaque fois.
Pour l'autre épreuve je sens plus le coup du /* modération : censuré */.
Déjà si je suis dans le vrai cela serait déjà pas mal lol.

Après pour les outils HEADERS j'utilise "En-tête HTTP en direct" (il ne marche que pour la capture...) et altérer données (pour l'écriture mais c'est pas l'idéal à configurer). Y'en a-til encore un meilleur ? (Si oui pas besoin de nom, la recherche est de rigeur).

Par contre un indice pour /* modération : censuré */ serait pas de trop. J'ai tenté tous /* modération : censuré */ et je ne trouve rien.

J'essaye de faire les épreuves dans l'ordre d'où mes interrogations.
Dernière chose je pense avoir compris le fonctionnement du htaccess (j'ai fait pas mal de recherche) et ne post pas ce message à la va vite  :D. Bon je sais vous aller me dire que si j'avais vraiment tout compris j'aurais réussi l'épreuve. lol

Merci.

Premièrement, ne met pas toute ta démarche : qu'elle soit fausse ou vraie. Pose seulement ta question!
Ensuite, il y a 10 pages dans ce forum d'aide qui répondent à peu près à tes questions / raisonnements. Avec ça, tu devrais être en mesure de trouver la bonne piste à suivre ;)

Bonjour, j'ai un petit soucis sur cette épreuve: je pense avoir trouvé le fichier à trouver, j'ai donc un nom qui commence par a et un pass qui commence par u. Mais quand je les rentre dans l'authentification, je me fais jeter ! Normal ou ne suis je pas sur la bonne piste ?

Salut,

Tu es sur la bonne piste (et t'as même fait le plus chiant dur).
Il te reste une dernière petite étape, le mieux pour la résoudre est de se renseigner (pour changer :þ)

Bonne chance !

Merci !

Je vais pousser mes investigations alors!

edit : trouvé ! Merci :)

ya quelqu'un qui peut m'aider à cette épreuve, par ou commencer?

Tout d'abord, il y a le forum d'aide dans lequel tu as posté. Ensuite, tu fais comme les autres épreuves d'avant : tu trouves la faille et tu l'exploites. Si tu ne sais pas comment, Google t'aidera c'est certain ;)

Bonjour a tous, 2eme post de la journée, nuit blanche sur NC, déprime.

Dans l'idée, je vois très bien la faille, je sais comment l'exploiter, mais le vrai problème est l'emplacement du fichier.
J'ai beau tenter depuis environ 1 semaine tout ce qui est logiquement possible pour le petit webmaster que je suis,
mais je me heurte a des messages d'a(i)moniac !

Le problème avec cette faille, c'est que l'on n'est pas amené a chercher comment la résoudre mais comment se prendre la tête je trouve. On peut penser que le simple fait de ne pas la réussir obscurcisse mon jugement, mais je pense sincèrement qu'il faudrait revoir cette faille et remettre en avant le cote résolution de la faille et non le cote recherche d'un nom de dossier...

Mettant inscrit il y a apparemment 2 ans, je viens cependant juste de commencer (cette semaine) a résoudre les challenges de ce site. Dans le parcours que j'ai effectue, je pense qu'il y a tout de même quelques problèmes au niveau réalisme... Je comprends très bien la difficulté, mais je suis certain qu'on pourrait améliorer certains challenges.

voila, je ne voulais pas terminer cette faille avec l'autre manière de faire, je voulais voir ce que l'auteur nous proposait, mais je dois abandonner car je ne trouve pas le nom du dossier après plus de 300 tentatives d'après mon script (pas d'erreur de script, c'est juste que je manque de logique a priori).

C'est vraiment dommage, j'aurai voulu apprendre a faire ce genre de chose.

PS : dsl pour les accents manquant, clavier QWERTY
PS` : idée d'amélioration (bah oui, critiquer pour critiquer serait idiot...) : améliorer la gestion du feedback, je pense notamment a une regex plus apte a re-diriger l'utilisateur ou a rendre un feedback cohérent
PS`` : Si jamais je pouvais me rendre utile a l'amélioration de certains challenge, je serais ravi de participer. Pour rappel, le nombre de points sur un site ne peut en aucun cas présumer des compétences ;)
PS``` : J'aime bcp ce site. j'étais sur HackBBS avant (qui est très intéressant aussi) et je dois dire bravo a tous pour la patience et le dévouement de certains modos, et bravo notamment aux dev qui nous procure ces moments de bonheurs

Mais si on enlève la recherche du nom de dossier, cela devient beaucoup moins réaliste non et pourtant un peu plus bas tu dit ca :


Je trouve ca légèrement contradictoire enfin bon !

Et puis avec 10 pages de topic d'aide je pense que ca devrait amplement suffire...

Je comprend ce que tu veux dire, mais j'ai vraiment tente de trouver le répertoire.
Je pense connaître relativement bien quels types d'endroits peuvent contenir ce genre de fichier,
aussi j'ai essaye avec mes humbles connaissances de trouver par le relatif et l'absolu.

Apres si tu me dis que le répertoire est vraiment réaliste, je me tais :)

Edit : Bon, bah j'abandonne en silence... (les hommes devraient savoir lorsqu'ils sont vaincus... Le saurais-tu Barti, le saurais-je ?)

Oui assez réaliste en tout cas suffisament pour qu'un bon nombre de personnes aient trouvé...

Moi j'ai troué le pass hashé, mais quand je télécharge john the ripper sur le site officiel, mon antivirus supprime le .exe donc je peux pas l'installer, donc pour l'épreuve...  =(

J'ai trouvé le pass haché, malheureusement je ne sais pas le  décrypter. J'ai entendu parler de john the ripper, malheureusement je ne sais pas m'en servir. Mes tentatives étaient vaines. Pourriez vous m'aider à le décrypter.
En attendant je vais aller lire de la doc sur .htaccess. A ma connaissance le hash d'un pass ne fais pas 13 caractères, est ce qu'il y a plusieurs méthodes de hachage pour un htpasswd ?

Je sais pas méthode tu as utilisé , mais moi , /* modéré : désolé, ça fait partie du jeu. */

J'ai eu un login qui commence par a et un pass qui commence par un U en majuscule. Toi aussi ?

Si tu veux parler du mot de passe va dans les afterwards, là l'idée c'est pas vraiment de donner une lettre par jour pour faire deviner à ceux qui trouvent pas de la bonne manière.

Mais je peux pas aller dans les afterswards, car je ne peux pas décrypter le mot de passe. Peux tu m'expliquer comment tu l'as décrypté toi ?

Ça je pense que c'est à toi de savoir comment faire rendu là.

Bonjour à tous,

Je viens quérir vos conseils afin de voir si je suis surla bonne route ou complètement dans le gaz, Donc arrêtez moi si je suis dans le faux (et aussi si jamais j'en dit trop)

Je suis parti de la supposition que le .htaccess est dans le répertoire admin donc inaccessible. Je doit donc directement trouver le htpasswd qui peut être globalement n'importe où.
J'en suis donc à essayer d'associer un peut toutes les arborescences qui me passent par la tête (y compris les arborescences standard que pet me proposer google) à travers ce que je pense être une faille include. Je commence à manquer d'inspiration et je voulais votre avis avant de passer à une arborescence de degrés 4...

Question bonus: Normalement tous les indices qui n'ont pas été effacés sont juste, mais je commence a douter du /etc/ et du hkep2.

Merci d'avoir pris le temps de lire ceci.

EDIT: EN fait c'était très con, je m'en veut de pas avoir trouvé plus tôt (moi j'aurais pas écrit le dossier avec les même lettres) Par contre là je bloque sur comment exploiter le mdp mais j'y travaille.

Si c'est bien une faille include,
pourquoi /* modéré : c'est une épreuve, n'exagérons pas trop */ ne marche pas??

Les failles include, ce n'est qu'un nom générique, une classe de vulnérabilité. D'une part, ce type de failles n'est pas limité au PHP. Ensuite, même en PHP, elle ne se manifeste pas forcément de toutes les façons attendues. Son effet peut être grandement limité, par exemple par la configuration système (ce qui pourrait être le cas en l'occurrence), ou par des tests de validité réalisés dans le code. Chercher dans la nature des failles include en utilisant ta méthode (i.e. en tentant d'inclure une page extérieure au site) est extrêmement réducteur, et surtout laisse passer beaucoup de sites faillibles malgré tout.

Et puis, en l'occurrence, c'est une épreuve. En admettant qu'une faille include y soit présente, il est fort possible que la faille soit simulée (ben oui, on n'a pas forcément envie de compromettre tout le site).

Bonjour,

J'avoue que je suis sur cette épreuve depuis longtemps... J'ai bien compris le principe et la manière de la résoudre. Cependant, comment trouver le chemin vers le st-Graal?
J'obtiens bien un petit encouragement : Bien tenté mais non...

Y a-t-il un moyen de deviner?
Faut-il réellement testers toute les possibilitées?  :rolleyes:

merci
 

Encore une épreuve qui encourage le brute force pour sa résolution : il m'a fallu presque une centaine d'essais pour trouver la bonne requête.

J'obtiens le message :"bien tenté mais non"... Suis je sur la bonne voie?

Bonjour tout le monde, j'ai un petit soucis avec l'épreuve. Je sais qu'elle marche très bien, mais j'ai un soucis avec Firefox pour la résoudre. Je connais l'URL nécessaire, mais j'ai l'impression que Firefox me la bloque :
"La connexion a été réinitialisée.
La connexion avec le serveur a été réinitialisée pendant le chargement de la page."

Je n'ai ce problème qu'avec l'URL pour résoudre... Y'a-t-il un moyen de régler ce problème sous FF ?

Merci D'avance

vraiment cool ce challenge je cherché vraiment trop loin pour rien mais maintenant il me reste a decrypter ce password et c'est plutôt dur dur là :/

EDIT: ouah! je suis vraiment trop con! je cherché a le decrypter alors qu'on pouvait passer par autre par ;)

Ouais, complètement d'accord avec Geo, épreuve à revoir : avec Netcat, c'est fait en 2mn.
Je n'ai pas trouvé le mot de passe hashé, la flemme de faire du bête guessing.

Doit-on impérativement passer par "johntherip" pour décrypter le mot de passe? parce qu'il ne fonctionne pas sur mon ordinateur ( peut être à cause de windows 7 64 bits )

salut
l'epreuve je l'ai deja resolu mais la methode proposée est différente de celle que j'ai utilisé moi j'ai utilisé une faille semblable  a celui de l'épreuve sur les http headers d'ailleurs le meme logiciel puisque la faille .htaccess est une faiile /* modéré */.

Mais le probleme est que la solution proposé parle de include alors je me demande si c'est moi qui ai utilisé la mauvaise methode pour l'epreuve

NdM : lire les afterwards, merci.

Pour ceux qui s'embêtent à chercher le bon dossier (pas trop d'intérêt à mon goût, ou bien à mettre dans une épreuve distincte), sachez que cette épreuves /* modéré */, et qu'il y a donc plusieurs moyens de la valider.

Salut a tous il y a deux façons de réussir ce challenge n'est ce pas ? via T***** et la faille connue.

Censurez moi si c'est trop explicite.

Salut, toi je parie que t'as pas lu le topic avant de poster... Ni même l'afterward. Ni même celui de l'autre épreuve.

après plusieurs test au niveau de l'url j'obtient: " Bien tenté mais non... " suis-je sur la bonne voie ou il s'agit là d'une réponse relative à NC globalement?

Merci

Le mieux c'est que tu relises un peu le sujet avant de poster (je l'ai fait), il y a une réponse vraiment précise à ta question.

Au temps pour moi.

Cette épreuve contient en effet une partie de guessing, mais n'est pas tordue pour autant  ;)

Perso, c'est une phrase d'akhenathon dans les... allez... 4 premières pages, qui m'a fait réellement tilter afin de trouver le nom du répertoire...

Je suis conscient des 12 pages (que j'ai lues) et de mon incroyable manque de logique mais j'ai toujours ce problème de guessing
Dans la source de la page avec le lien on a :
<a href="./admin/index.php">Accéder à l'interface d'administration du site</a>
on a donc bien un répertoire avant admin. Serait-ce /hkep2/  ?
on doit bien faire suivre /admin/ par une lsite de ./etc/p***** ?

Réponse courte: non

Vu la protection, tu connais le nom du fichier à trouver (normalement)

Y'a plus qu'à deviner le nom du dossier.

Relis bien ton message,y'a des trucs intéressants dedans  :wink:

J'ai trouvé le fichier en question, à force de tâtonner et grâce à quelqu'un  :wink:
Le pass n'est-il crackable qu'avec John The Ripper, ou un autre "bruteforcer" pourrait-il faire l'affaire ?

Hello.

La validation n' à-t-elle toujours pas été rétablie ? Juste pour être sûr que ça ne vient pas de moi car j'ai décrypté le bazar et le serveur ne veut pas le manger ;).

Eh bien dans la mesure où quelqu'un l'a validée il y a moins d'une heure, je pense que ça vient de toi.

Il y a beaucoup plus simple que d'essayer de bêtement cracker le pass...
Gardez ça /* moderated par the lsd : Je sais pas combien de fois je vais devoir le dire... S'il y a DEUX épreuves htaccess, c'est pas pour rien !  */

Re-edit: boarf, mea-culpa, mais s'il y a 2 chemins pour aller à l'arrivée, pourquoi ne pas prendre le plus court?

Ca tombe bien, je n'ai pas envie de tenter bêtement de cracker le pass ... D'autant que JTR ne fonctionne pas correctement sous ma distribution Linux (ou alors c'est moi qui l'ai configuré comme un gland, ce qui ne serait pas étonnant). Donc en gros, j'ai trouvé le .htpasswd et donc le mot de passe hashé mais honnêtement, je ne comprends pas comment le récupérer sous sa forme initiale :/
J'ai essayé tellement de trucs improbables que je suis un peu à court d'idées, on a beaucoup parlé de l'emplacement du htpasswd mais très peu de la façon de le décrypter. Si vous estimez juste de me donner un indice qui m'empêcher de passer cinq heures de plus sur google pour une bêtise pareille je vous en serai reconnaissant, sinon, tampis, je continuerai à m'éclater les yeux !

EDIT: Non finalement ne me dite rien, j'ai passé tellement de temps à chercher (toujours pas dormi et je suis sur l'énigme depuis 22h hier soir) que ça me foutrait les boules de trouver grâce à ça ... D'ailleurs je pense que je touche au but ! Mes excuses pour mon post inutile !
EDIT2: J'ai bien fait de m'acharner, j'ai trouvé ^^

Est-il possible de trouver le fichier en question, juste en manipulant l'url ?

essaye, tu verras bien ;)

J'ai testé tous les dossiers connus sous Unix. En vain /

Personnellement, je n'ai pas utilisé (du moins, la première fois) la méthode prévue pour résoudre ce challenge.

Tout ce que je peux te dire, c'est qu'il y a un répertoire que tu n'as pas essayé (ce qui m'étonne si tu es sous unix, tu devrais le connaitre) ou alors, tu ne l'as pas associé à ce qu'il fallait ;)

Oui je suis sous Unix, mais je dois passer à coté d'un truc  :rolleyes:

Je vais continuer à chercher tout simplement, merci pour ton aide ;)

Grooaa! Sérieusement, dans un cas de faille include on devrait pouvoir par essait erreur trouvé des fichiers non? Je veut dire si on trouve un fichier config on vas voir le contenu, or votre challenge ne donne qu'une possibilité puisqu'il ne fait que simuler la faille donc c'est ultra dur! Je suis exacte nan?

Quelqu'ub peut confirmer que le challenge est fonctionnel? Car je doute qu'il le soit...

Dernière validation par hybridecobaye, le 06/02/2012 à 10:26

J'ai trouver le pass via la methode (/* modéré */) mais en lisant le resumer contenant le pass je realise qu'effectivement je doit trouver via include le htaccess on je me demandais si le challenge etait fonctionnel

Le challenge est fonctionnel (et de mémoire, n'est PAS simulé).
Par ailleurs, merci de lire la FAQ qui a un paragraphe au sujet des épreuves cassées, et de faire un effort de rédaction, car tes messages sont à la limite du compréhensible.

Bonjour à tous,

Désolé du dérangement, j'aimerais juste un précision :
Je parviens (comme beaucoup sans doute) au répertoire qui renvoi le fameux "Bien tenté mais non..." j'aimerais juste savoir si je suis trop loin ou si je dois fouiller à cet endroit précis ?

Merci

Si tu as ce message, ça veut dire que tu as compris la technique ! Mais réfléchis bien à ce que tu cherches, regarde sur Google, et l'indice.
J'peux pas mieux t'en dire sans trop dévoiler.

Bon courage,

w8!

Je viens de trouver le fichier que l'on doit trouver, et sincerement je ne vois aucun rapport avec l'indice fournit (qui a d'ailleurs plutot tendance a nous induire en erreur qu'autre chose)..

Je m'explique: Etant utilisateur unix, en voyant cet indice j'ai passe beaucoup de temps a tester les dossiers par defaut (/root /var /etc) et les autres dossiers potentiels ou ce genre de fichiers pourraient etre stockes alors que le dossier au final n'a selon moi aucun rapport avec tout ca.
C'est vraiment par pur desespoir que je suis tomber dessus et je trouve cela bien dommage, il n'y a aucune logique la dedans, donc si j'avais un conseil a donner aux personnes qui y auraient passes plus d'une heure, ne cherchez pas bien loin, il suffit de penser que le mec qui a cree son site a mis son fichier dans un endroit en rapport direct avec ce qu'il contient....
Bref il me reste a decoder le mot de passe maintenant...

Si mon message est trop explicite, je comprendrais la censure, mais pour le coup il fallait vraiment que je poste ce message, trop de gens ont tendance a penser que lorsqu'on poste ici pour demander de l'aide c'est car on a la flemme de chercher et qu'on manque de connaissances ou autre, etant donne que je ne pense pas que ca soit le cas pour moi j'ai eu beaucoup le seum..
Et desole pour le clavier qwerty qui m'enpeche de mettre des accents...

Bonne recherche a tous, et meme si je rage, franchir cette etape qui semble tout bete fait quand meme plaisir !

J'ai finalement mis la main sur l'un des fichiers recherchés !

Je penses que j'ai eu de la chance car je suis tombé directement sur le fichier contenant le password et non pas sur le fichier indiquant où se situe celui avec le password...

bah sous vista et 7 il faut /* Modéré */ je fait expres de ne pas vraiment dire pour que vous cherchier un peut

NdM : dans ce cas, autant ne rien dire, merci.

Hum, je me suis pas tapé toutes les pages d'indices mais j'ai réussi à tombé sur une page avec un texte disant:


Je suppose que je suis pas loin, j'ai testé ce qui était le plus logique... Affaire à suivre, mais vraiment c'est un challenge très sympa :P

Au final, il faut en premier lieu que je trouve le bon nom...

Trouvé, c'est un peu bidon, mais logique.

Faut juste trouver le bon répertoire, le reste coule de source jusqu'à la validation.

Bon je dois avouer que j'ai commencé à m'énerver un peu avec la faille include, je ne sais pas si c'est fait exprès mais (je n'ai pas lu toutes les pages du topic, donc je m'excuse si ça a déjà été dit, juste les 2 premières) une autre solution existe. D'**orthographe !** il serait pas possible de donner un indice de plus dans la page de solution, car je dois avouer que j'ai essayé beaucoup de dossiers dans /etc/ mais je n'ai pas trouvé.

Edit : En regardant les autres challenges, j'ai vu qu'il y en avait un deuxième pour lequel on peut utiliser la meme solution donc je sais pas trop si ce que j'ai fait est "vraiment" bien pour celui-là.

J'ai réussis l'épreuve sans utiliser la faille include  =)
Comme quoi il y a plusieurs moyen d'accès au dossier admin =D

Et même que si tu avais lu les 14 pages tu le saurais et tu te serais dit que ça servait à rien de le redire!

Bonjour j'ai réussi a ouvrir le fichier contenant un mot de passe, cependant ce n'est pas celui utiliser pour valider l'épreuve ou du moins pas en l'état :S
Cependant je ne trouve pas la technique de décryptage je voudrais donc savoir si il existé un soft pour cela ?
J'ai déjà essayer JTR mais au bout d'une seconde il me trouve un mot de passe qui ne fonctionne pas ><

JTR marche très bien lorsqu'on l'utilise comme il faut.

Va faire un tour sur la documentation au besoin ;)

Raaah quel nom tordu au possible as-tu pu donner au dossier contenant ce .htaccess ! Testé tous ceux qui me passent par la tête mais rien n'y fait. Y-a-t il un moyen de trouver son nom ? Là faudrait quasiment faire du bruteforce ...

les ga help epreuve me soul   :oops: j ai utilise  le faille uclude di genre page=admin / .htaccess

Ce forum est français parlé.

Juste pour ceux qui font des essais à la chaîne pour trouver le répertoire, il y a une solution bien plus 'simple'.

Je me permettrais de donner ces quelques phrase :

Il faut aller dans l'impasse et regarder le ciel.
Puis celui utiliser celui qui fut perdu par la mère Michelle.

(Je me permet de donner cette méthode que j'ai trouvé beaucoup plus riche en enseignement - notamment le fait de /* Modéré. Et en plus, c'était faux */)

A mon modérateur : non ce n'est pas faux... On peut en parler en MP. J'ai validé par cette méthode.

Pour ceux qui bloquent sur le "include" sachez qu'il existe d'autres solutions, dont une autre faille qui elle par contre est vraiment assez chez les amateurs et qui est exploitable dans ce cas.

Bon ben moi je viens de valider l'épreuve !
Sans avoir accédé ni au .htaccess ni au .htpasswd (dont j'ai pourtant trouvé les adresses)

J'ai trouvé par une autre méthode (pas de bruteforce !)
En fait j'ai accompli le challenge en trouvant une faille dans l'épreuve !  :twisted: :twisted: :twisted: :twisted: :twisted:

Je vais aller mettre ça dans le after
Bon courage !

Bon j'ai réussi a avoir le contenu du .htaccess avec les identifiants mais impossible de me connecter avec :(

Hello tout le monde, bon je sais que ce topic est déjà pas mal amoché mais je suis là pour en remettre une couche, certains vont même me jeter des pierres... je comprends qu'il faut trouver le .htaccess dans les sous repertoires du ftp, mais petit problème pour moi, impossible d'y accède même en essayant d'utiliser la fameuse faille ... il y a t il un module qui m'aiderait j'ai utilisé tempar et cmd de windows mais rien à faire j'y ai toujours pas accès
merci pour vos réponses.

Bonjour/Bonsoir tout le monde =)
J'écris ce post car malgré une intensive lecture des 14 pages concernant le sujet, je n'arrive toujours pas à trouver le fameux répertoire. Je voulais demander si le "hkep2" me servira réellement dans la résolution de cette épreuve. C'est dommage car je voulais voire si je maîtrisais l'exploitation de la faille "très connue" (car oui, en tant que débutant, je n'ai encore jamais eu l'occasion de m'exercer sur cette dernière^^).
Je vous remercie d'avance de votre éventuelle aide, cordialement.

Bonjour à tous =)

Voilà, moi aussi je fais partie du grand nombre de personne qui n'arrive pas à passer cette épreuve.
Du coup, j'avais deux questions à vous poser :

• Comment peut-on trouver seul le nom du répertoire dans lequel se trouve le fichier ? (je parle ici de hkep2) pck c'est gentil de nous le donner, mais je ne pense pas qu'il existe un tel répertoire sur tous les sites ^^" Il y a bien des fonctions PHP mais faut réussir à les utiliser
• Est-ce que la commande nc ou NetCat peut être utile dans cette épreuve ? Parce que je m'acharne tous les jours à le faire avec cette commande mais en vain >.<

Merci pour vos éventuels réponses :-D

hkep2 ? Non ça c'est pas bon. C'est parce que l'épreuve a été refaite je pense, et le forum nettoyé de multiples fois. Donc il reste des mentions de ce dossier mais c'est une fausse piste.

Salut tout le monde,

Je reviens vers vous car je n'ai toujours pas trouvé de solutions à cette épreuve et ça me travaille quand même ><
J'ai vu sur internet que parfois /* Modéré */
J'ai essayé avec l'addon Live HTTP Headers mais le site me renvoit toujours "Bad Request" :/

Quelqu'un pourrait me dire si je suis au moins sur la bonne voie ? :s

Cette épreuve me tracasse quand même un peu la...
A un moment on parle de trouver le fichier .htacess est-ce toujours d'actualité ?
On parle aussi de faille include, en a-t-on encore besoin ?

Et pour finir est-ce que cela peut venir d'un problème au niveau des interprétation de requettes par apache ?
Je n'en dis pas plus car si c'est ça je vais me faire taper sur les doigts  :lol:

Bonjour,

/* Modéré : il serait temps de lire la FAQ. */

Bien à vous,

bonjour
après 54 essais de dossiers et fichiers ...toujours rien ....
j'ai essayé de trouver ce fichu dossier contenant les fichiers que l'on veut ,  dans admin   puisque c'est le dossier protégé par le .htaccess ....mais rien
pourriez vous juste me dire si le dossier cherché est bien dans admin?
merci

Cette épreuve n'a juste aucun sens, ni aucune réalité.
Je propose qu'on la mette en /dev/null ou qu'on la refasse (Je n'en vois pas l’intérêt)

Sinon, je file direct la solution tellement c'est débile...

Oui ciocciu faut trouver le dossier qui héberge le fichier machin. Mais juste d'où ça sort je ne sais pas.
Faudrait demander à Folcan imho...

On fait quoi ?

Y'a un moyen de la refaire sans guessing, et sans qu'elle soit solvable par la même méthode que Reloaded. Faut juste se sortir les doigts. :-)

ok merci je continue de chercher
effectivement , je suis d'accord avec vous(bon j'y connais encore pas grand chose =D )...
  peut être pourrait on faire en sorte que le fichier soit dans un repertoire "habituel" c'est à dire un répertoire que beaucoup de gens utilisent afin de montrer qqchose de fréquent parce que là j'ai l'impression que ce dossier a un nom tordu (ou alors **No Sms** chose d'éviednt m'échappe ce qui est largement possible aussi =D )....le but est aussi de chercher j'imagine
donc je m'y recolle
merci encore

Folcan ? L'est encore vivant lui ?


Au moins mettre un fichier un peu plus réaliste, de souvenir, c'est un peu tordu, ça se fait en 15 secondes.

Enjoy

The lsd

c'est possible ça ?! :?: :?:
trouver un nom tordu en 15s
..... :oops:

Je ne pensais jamais poster ici mais il faut avouer que la remarque de ciocciu est pertinente ma fois :D

Moi je me suis paluché une dizaine de fois ce topic en entier avant de trouver. Ce qu'on ne te dis pas, c'est qu'il faut également décrypter les posts. Rien que pour ce calvaire l'épreuve devrait compter double :D

oui ferbos ...je suis prêt à me lancer dans la partie decryptage dès que j'aurais trouvé ce foutu fichier...
j'ai essayé tous les mots qui me venaient à l'idée mais je pense que **No Sms** chose m'échappe c'est pas possible autrement
en relisant le forum j'ai bien compris qu'il fallait trouvé le nom du dossier (qui n'est pas admin)...mais tous mes essais sont un echec

 :? :?

Je parlais de ta remarque que "tordu" et "15s" n'étaient pas compatibles.

Sans trop en ajouter, il faut essayer en se disant que la réponse n'est pas farfelue.

ok ...
got it !!!!  =D =D
effectivement le nom n'est pas farfelu..... bien relire les 1eres pages du forum notamment celles de janvier 07
j'attaque le décryptage
merci pour vos aides

La notion de réalisme est toute relative. J'ai bien dit sans guessing.

Bonjour.

Je voulais écrire en ce message en PV à S0410N3, mais je n'ai pas le droit de le faire.
De plus, je n'ai pas trouvé de section "contact"...

Je viens de découvrir un bug sur cette épreuve.
Il est possible de contourner la protection .htaccess sans faire d'injection et assez facilement.
Je ne dévoile rien ici pour ne pas spoiler, mais merci aux admins de me contacter.

Bonjour !
Comme je sais que certains doutent de la possibilité à résoudre cette épreuve, je viens dire qu'effectivement elle est faisable.
Elle est fourbe, et l'indice donné n'en est pas du tout un en fait, mais en se creusant la tête cela se fait.
Donc bon courage =)

franchement sur 16 pages de discussion il pourrait y avoir un peu plus d'indications,  plus d'1h de lecture vraiment pour rien, que de temps de perdu.

vous aider vraiment pas ceux qui en on besoin,  c'est pas très cool.

Sur les 16 pages, la résolution a été donné au moins 1257 fois. Après, on donne pas tout non plus hein, faut pas éxagérer.

Enjoy

The lsd

Hello,

Je débute sur le site et franchement je kiff. C'est vraiment passionnant.
Pour cette épreuve je me permets de poster car il m'a particulièrement marqué.
J'étais persuadé mordicus que le .htaccess était inviolable (vieille école) et quand je me suis trouvé face à cette épreuve j'étais complétement dérouté.
Du coup j'ai lu ce forum, enfin cette partie, et j'ai fais une longue recherche sur google.

Bah je suis tombé de haut.
Quand on connait l'astuce, il faut pas plus d'1 minute pour passer et c'est d'un débile...  :rolleyes: un jeu d'enfant !

En fait ce qu'il y a d'écrit plus haut donne des pistes mais bien plus de fausses pistes.
Pas la peine d'allumer sa VM de Kali ni de partir en explo profonde.
Revenir à l'essentiel, le simple, la base.

Voilà pour mon indice.  ;)

Comment déchiffrer quelque chose sans connaître la clé  mais en connaissant la méthode de chiffrement ?

Ben j'ai envie de dire, tout dépend du chiffrement :)
Mais chut, on va pas spoiler les autres challengers ;)

Enjoy

The lsd

Je comprends pas comment ça se fait que personne n'a eu de problème pour déchiffrer le mot de passe.
La méthode de chiffrement qui a été utilisé nécessite bien une clé et à moins de l'avoir ou de la deviner je ne vois pas comment on peut déchiffrer ce machin.

Pour cette épreuve j'avais fait la méthode du flemmard  :lol: et donc j'ai rien eu besoin à déchiffrer  :rolleyes:

Je pars du principe que chaque épreuve à un truc à nous enseigner. Or appliquer deux fois la même méthode n'est pas très intéressant.

J'ai vraiment un gros problème avec cette épreuve !
J'ai beau avoir lu et relu toute les pages de ce topic, je n'arrive toujours pas à réussir ce niveau malgré les incalculables tentatives que j'ai pu essayer.
Si je conclu tout ce qui se trouve dans ces pages nous avons :
Deux solutions : Normal - L'autre

• Faille très connu
• Ça parle du compagnon d'.htaccess
• Quand on est pas loin du but nous avons un nouveau messages qui s'affiche

Malgré le fait que je connaisse le type de faille et le nom du compagnon d'.htaccess, je n'ai pas eu ce nouveau message pour me dire que je ne suis plus très loin du but... :?

• Méthode qui affiche directement le mot de passe  :shock:
• Ça se passe dans un console MS-DOS

Quand j'entend ça j'me dit que j'suis vraiment nul parce que ça fait assez longtemps que j'me spécialise dans tout ce qui est faille web et je n'arrive pas à trouver une malheureuse faille ******  :evil:

Pour finir, entre les personnes qui affirment quelque chose et d'autre disant que c'est une fausse piste qui nous enduient tous en erreur... on sait plus quoi faire  :cry:

Avec ta méthode normale, tu es bien parti ;)
Il faut "juste" trouver le truc exact pour le compagnon d'.htaccess !

Enjoy

The lsd

Merci pour ta réponse, je viens de trouver, j'ai passé 2 nuits blanches juste pour ça x)
A tout ceux qui liront ce post et qui sont en galère depuis un long moment sur ce niveau ; ne pensez pas compliqué, c'est tout bête

Bonjour, je suis un nouveau newbie tout juste arrivé (que de pléonasmes), et j'en apprends ici, j'en apprends.... Que du bonheur. Merci pour le taf!

Passons.

Je me permet d'apporter ma petite aide sur cette épreuve, ayant moi aussi tournée en rond pour chercher le nom de ce fameux dossier.


Ce n'est pas exactement le nom d'un dossier connu qu'il faut chercher, mais plutôt comment pourrait être nommé,arbitrairement , par un linuxien, un dossier contenant ce genre d'informations...
Si seulement un fichier, et/ou une commande pouvait nous donner une indication sur le nom utilisé....


En espérant rester dans les clous,

Amicalement, moi.

Cette épreuve me rend fou...
J'ai d'abord essayé de regardé dans le premier nom de dossier qui me venait à l'esprit. Bien tenté mais non...
Ensuite j'ai essayé tous les noms de dossier qui me passaient par la tête. Vraiment tous (au moins une 50aine). J'ai vraiment aucune idée de ce nom de dossier.
Un petit indice svp

Réussi en quelques minutes ;-) le nom de dossier n'est franchement pas compliqué qd on sait quel fichier on recherche mais cela a été dit et redit ;-) même dans les 1ères pages du topic ;-)

Intéressant comme épreuve, j'ai bien aimé

J'ai reussi l'epreuve via telnet, et on dirait bien que ce n'était pas comme ça qu'il fallait procéder... Merci de m'éclairer

Les afterwards sont là pour ça

bonjour,
**No Sms**'est pas si c'est moi ou pas mais on me dit que le document a été déplacée de façon permanente "moved permanently" donc est-ce normal ou pas svp ?

L'épreuve marche très bien pour moi

Bonjour,
Premier post sur le forum, en espérant ne pas me faire gronder.
Si j'ai bien compris, les réponses sont modifiés par des modos (j'imagine) par des "*******", donc je vais me permettre de donner en clair les réponses :3

J'ai pas eu le courage de lire les 17 pages, mais j'ai réussi a passer l'épreuve par un moyen moins.. conventionnel.

/* Modéré : c'est pas parce que les modérateurs cachent les réponses qu'il faut les dévoiler... */

bonjour à tous (et à toutes),
Je trouve ce site génial car j'ai pu apprendre pas mal de techniques, malheureusement, après avoir ingurgité courageusement les 17 pages " d'entraide " je constate que je n'aurais pas la solution.

J'ai pu comprendre en lisant tous ces post que le répertoire était "à la linux", malheureusement n'ayant touché à ce genre d'OS je ne pourrait jamais finir cette épreuve.
J'ai testé toutes combinaisons possibles et inimaginable des noms du genre "etc, lib...." (google a chauffé  :P)

Mon intérêt n'est pas d'apprendre a me servir de linux (pour le moment, chaque chose a son temps. Comme on dit toujours : il ne faut jamais mettre la charrue avant les bœufs), c'est de comprendre toutes les failles et de les exploiter. je n'ai pas souvent vu des architectures de sites avec des noms de ce genre, je pense que là, vous télescopez le problème.

sachez que si ce nom de répertoire est évident pour certains, ce n'est peut être le cas pour tous. PENSEZ A TOUT LE MONDE !

Il y a plusieurs méthodes et techniques pour résoudre cette épreuve. Ne t'en tiens pas au forum, moi par exemple, j'ai résolu cette épreuve de la manière non prévue. Ma copine aussi, et elle n'a pas cherchée en même temps que moi (et à bien des années d'écart :rolleyes:).

Renseigne toi en profondeur sur les vulnérabilités liées à l'épreuve, parait que tu sais faire chauffer Google.

Et mets toi à Linux bon sang !!

Pas mal cette épreuve, et finalement beaucoup moins compliquée qu'il n'y parait.
le nom du répertoire est franchement facile à trouver. lorsque ce sera fait, et je ne doute pas que vous allez y parvenir, vous vous en rendrez compte.

pour la deuxième partie de l'épreuve j'ai été impressionné par JTR. je suis bluffé par ce genre d'outil.
courage à tous.

Bonjour,

merci tout d'abord pour cette épreuve qui me rend dingue car je connais bien cette faille et la hiérarchie des dossiers sous Linux mais j'ai eu beau tout essayé rien y fait.. Je me suis dis qu'avec votre indice de chercher par exemple dans /etc/ il serait simple mais là c'est vraiment du pur guessing.. Pouvez-vous m'orienter vers quel dossier chercher ? 1) /var ? (car j'ai tout testé).

Cordialement.

Elle est pourrie cette épreuve de toute façon...
Le dossier commence pas un p.
Le fichier à toi de le trouver.

Après la méthode d'.htaccess reloaded doit toujours d'appliquer aussi à celle là. (A moins que ça ait été changé ? La flemme de tester)
Donc bon, soit tu fais l'autre et valides les deux d'un coup, soit déjà tu trouves comme ça... mais il faudra quand même trouver une autre méthode pour l'autre.

Bonjour,

j'ai fais differente epreuves du site, j'ai pas des masses de point ( genre 50 a tout casser ) et je voudrai comprendre comment on bypass un htaccess si presence d'une faille include.

jusque la j'ai plutot bien compris les explications dans la partie aide du site, cependant je n'arrive pas a l'appliquer sur cette exercice.

j'ai un dossier A**** qui me renvoie " bien joué mais non:-)" du coup je me dit que je m'oriente mal.
quelqu'un pourrait m'aiguiller pour celui la histoire que je tente le challenge .htaccess2 tout seul par la suite svp ?

Il n'y a rien de spécial à comprendre, juste trouver le path vers le fichier à inclure qui comprend le machin a priori intéressant.
Je ne sais pas trop quoi dire de plus après mon post précédent sans spoiler.

Bonjour,

J'ai trouvé le fichier en question et, du coup, le login et mot de passe.
Par contre je ne peux pas les utiliser pour atteindre le code de validation de l'épreuve.

Est-ce que je dois envoyer mon résultat à quelqu'un qui peut valider mon épreuve ? Ou est-ce que je me suis arrêté trop tôt ?

Merci d'avance pour votre aide  ;)

will3minf0

hmmmm, si tu les as trouvés, tu devrais normalement presque pouvoir accéder à la page de validation :)

Enjoy

The lsd

Voilà c'est fait!
Merci à the lsd pour m'avoir fermer les mauvaises routes ;)

will3minf0

Hello,

Je dois vraiment être un boulet, j'ai trouvé le bon path, donc le login et le password, mais je sais pas quoi en faire x)
Le couple login/passwd n'est pas ok pour accéder à l'interface d'administration du site et le mot de passe associé au login n'est pas le bon pour clôturer l'épreuve.

I'm lost, please h3lp.

Merci d'avance :)

je viens de passer sans trop de problème ce challenge. (un peu de recherche et ça se fait assez facilement)

mais... contraitrement à totu ce qui se dit dans ces pages du forum, je n'ai pas eu besoin de trouver un repertoire, je n'ai pas eu besoin de trouver le .htpassword, je n'ai pas eu besoin de déchiffrer le password et  je n'ai pas utilisé de login user/mot de passe.

la faille que j'ai exploitée est donc différente que celle que l'on est supposé trouver?  :?:

Hello,

La réponse a déja été donnée, sur ce topic, et dans le topic afterwards de ce chall. Je te laisse chercher :)

Enjoy

The lsd

Bonjour,

Cela fais actuellement 3 jours que je cherche ce PU**** de dossier !!!!!!
Je peux avoir un p'tit coup de main ? Sinon je vais tarter mon écran :) MERCI !

Et bien du coup je souhaite bon courage à ton écran :)
Je pense que 18 pages de topic sont amplement suffisantes.

Bon courage !

... Merci  :lol:

Bonjour !

Le répertoire est-il toujours d'actualité? Après avoir analysé les 18 pages du topic, le seul répertoire qui me parait valable pour cette épreuve ne me met pas un "Not Found" mais un "Internal Server Error"

Bonjour,
Après test, l'épreuve fonctionne.
Bon courage !

Merci !

Après m'être penché dessus un peu plus longtemps j'étais dans le vrai dès le début mais je cherchais pas au bon endroit. C'est le soucis quand on modifie la barre de l'url, on se rappelle plus trop ce qu'il y avait au début  :rolleyes:..

Bonjour,
j'ai enfin le répertoire et le fichier,
je l'ouvre il fournit le login et le mdp
mais ..
- les identifiants saisis dans l'interface ne donnent rien d'autre que la fenêtre de connexion rechargée vide
- le pass n'est pas la soluce du challenge
- le pass ne ressemble pas à un hashage connu (de moi en tout cas) ni de google ni d'outils en ligne
j'avoue que je sèche un peu ...

et merci pour tous ces challenges :)

Bonjour, es-que le challenge .htaccess marche **orthographe !**, après plusieurs test je n'est pas trouver

Quelqu'un peux m'aider s'il vous plaît je commance a décourager

Bonjour,
Je viens de tester cela fonctionne