On comprend le titre à l'exécution... Sauf si on est un vieux de la vieille.

Je crois que c'est la seule épreuve dont la difficulté s'accroît avec le temps.

kk1 conné 1 outi simple ss linux pour faire du chifrage/dechiffage rsa ?????

Oui, j'ai bien cerné le script, et le site en général...
J'ai bien trouvé la faille, pépére, mais même quand je fais "l'union", et bah ça me met toujours:

Donc peut être que la faille n'est pas le seul élément important à savoir sur ce mini-site ... je dis ça ... =°

Tomiv > Tu sembles être sur la bonne voie. Tu recevras ce message dès que tu mettras des parenthèses ")"  "(" dans ta requête.
C'est un filtrage pour éviter que tu altères les données présentes. Tu peux en déduire que tu n'as pas besoin d'aller chercher "trop loin" au niveau de la syntaxe.

Peut-être es-tu passé à côté d'un élément important. As-tu bien cerné le site dans son ensemble ? Parfois, on passe à côté de choses importantes, parce qu'elles nous paraissent banales. Refais un petit tour d'horizons de ce mini-site de sondage

Trouvé. (cette loi marche du tonnerre : Postez sur le Forum, et vous trouverez la solution)

Effectivement, ça se débloque après un certain temps.


" Pas de guessing ", ça veut bien dire qu'il n'y a rien à "deviner" (genre noms des fichiers,tables,champs, etc). Vous confirmez ?

Coucou.

Je poste de plus en plus souvent dans "aide".


Je viens d'essayer cette épreuve (j'ai, du moins, trouvé une faille), et en tentant quelques petits trucs (pas plus d'un essai toutes les 2 secondes, et requetes classiques), je me suis retrouvé face à une erreur 403 (forbidden).

Résultat, je retrouve cette erreur dans toutes les épreuves de hacking maintenant (comme si j'avais été mis sur liste noire), mêmes les épreuves résolues (:10080)



Erreur globale, ou associée à mon IP ?

C'est fait.

La faille ne suffit pas. Il faut commencer par voir le site dans son ensemble, et essayer de comprendre comment il fonctionne.
Très bonne épreuve, car, même si c'est un cas qui doit se trouver rarement sur le net, elle fait bien réfléchir sur le "comment ça fonctionne" d'un système.


(par contre, je maintiens que les commentaires du genre "chenapant", etc ... devraient être ajustés, ou retirés)

Coucou

Encore un problème de compatibilité entre le parseur de l'épreuve et mon cerveau.

J'ai trouvé la faille. Pas encore le moyen de l'exploiter.


A mes yeux, il y a des tonnes de moyens pour la résoudre, mais j'ai l'impression que c'est verrolé jusqu'à la moelle.


Je m'explique :

- Dans l'épreuve, on trouvera deux tables (l'une affichée, l'autre devinée)
- Quand je tente un exploit sur une table X qui n'est pas l'une de ces deux tables, j'ai le message tout à fait légitime : "Tsss on touche pas aux autres tables, chenapant".

- Mais quand je tente un exploit sur l'un des deux tables incluses dans l'épreuve, j'ai tantôt le message, tantôt je ne l'ai pas (selon les fonctions que j'utilise), alors que, dans tous les cas, je touche aux "bonnes" tables.
J'ai l'impression que le système veut "forcer" à utiliser l'indice fourni dans l'intro de l'épreuve, alors qu'il y aurait visiblement d'autres moyens


EDIT : ça ressemble a un problème de parenthèses

Oui j'ai entamé ça.
D'ailleurs, j'ai un peu de mal, à cause de port utilisé ... mais ça va le faire

(par contre je jure que j'ai fait classique de chez classique ...)


EDIT : Pour ceux qui auraient, comme moi, trouvé la faille, mais seraient bloqués au fameux message, pensez à virer le cache de votre navigateur, et à vous reconnecter au site

Bonsoir.

Tout d'abord, désolé du (léger) déterrage.


J'ai trouvé une (la ?) faille dans le code, et j'ai donc tenté l'exploit.
Cependant, je n'arrive qu'à un " Non non non, il faut trouver la faille d'abord! ;-) "

... ce qui m'embête un peu, car j'ai testé plusieurs variantes, de la plus "classique" (oui, vous devinez laquelle), jusqu'à une ébauche d'un "bruteforce léger".
Es-ce que j'ai oublié quelque-chose, ou es-ce que je brûle encore des étapes ? (j'ai vraiment essayé plein de mots clés pour montrer que j'avais bien trouvé)



Bon, en attendant, je vais pouvoir résoudre l'épreuve suivante. Par contre, je vois pas comment on peut le faire à la main (36*L essais ... si j'ai bien trouvé le bon truc).

Mais je peux justement le faire pointer sur le site que je veux.


Plus concrêtement (et toujours dans l'esprit "ne pas donner d'indice") :

Si j'ouvre moi-même le mail, et que je clique sur le lien qui s'y trouve, je parviens à /* faire quelque chose d'encourageant, on va dire plutôt */
En revanche, ma méthode ne fonctionne pas sur Google Chrome, ni sur Safari (du à la gestion des é****ts des navigateurs)

Quand j'envois, en revanche, le mail à l'admin, il ne se passe rien (même plus de "tu es sur la bonne voie").


Dans le doute, j'ai encodé les caractères de différentes façons (ça fonctionne bien vers ma boite hotmail), mais ça ne change rien.
J'ai l'impression que l'épreuve ne fonctionne que selon une méthode précise.




On a bien convenu que le "bot" cliquait sur tous les liens contenus dans le mail envoyé, vrai ?

Pour ceux qui s'embêtent à chercher le bon dossier (pas trop d'intérêt à mon goût, ou bien à mettre dans une épreuve distincte), sachez que cette épreuves /* modéré */, et qu'il y a donc plusieurs moyens de la valider.

Merci de ta réponse.


Quand je dis que j'arrive à "faire pointer", je parle bien entendu de faire pointer vers son propre site (simple lien http) PUIS (redirigé) vers mon site perso. Et sur le principe, cette méthode fonctionne très bien (si le lecteur du mail, clique). J'ai tenté sur un site bidon, puis sur un serveur perso. Sur mon site perso, je récupère "ce que je veux récupérer" quand j'essaye moi-même ...

C'est toujours la difficulté : Savoir sous quels critères l'épreuve est validée (j'ai voulu jouer la carte du réalisme, mais visiblement, il y a un "truc")

Hello.

J'ai trouvé la faille. J'ai pu confirmer, juste en insérant du code inutile (vous savez de quoi je parle), et la page m'a bien répondu que j'étais sur la bonne piste, que ça suffisait pas, etc ... (donc il y a une vérif directe, sans passer par un bot, du moins à ce niveau là)

Je suis donc ensuite passé à l'application : Là encore, je donne pas les détails, le net est assez documenté sur ce cas là.


Le soucis : Ma méthode semble fonctionner (pointée vers un script perso, ça récupère ce que je veux), mais je n'ai aucune réaction de la part de l'épreuve, quand je tente de piéger l'admin.
Au mieux, j'ai eu droit à des gâteaux qui sont "venus tout seuls", mais dont la valeur était vide.

Pas d'amélioration en renouvelant l'opération.



Donc ma question : Y a-t-il une subtilité à prendre en compte, ou es-ce que j'ai progressé dans l'épreuve et que l'histoire de mes gâteaux vides est une erreur ?


Merci d'avance.