Il est possible d'accéder au profil challenge d'une personne en cliquant sur le lien adéquat à côté d'un message forum.

Mais ça n'est pas le cas lorsque l'on visite le profil forum d'un utilisateur (ce qui se produit après avoir reçu un MP, par exemple). Pour accéder à son profil challenge, on doit accéder au formulaire de recherche dans le classement.

C'est laborieux.

Bisous.

Salut,

Parce que newbie contest est un site francophone, je me dis qu'on pourrait remplacer "tutoriaux" par "tutoriels" dans les menus du haut puisqu'on aime la langue de Molière.

Bisous

Tu le ferres ce gros poisson d'avril ?

Salut,

L'idée est intéressante, mais malheureusement j'ai déjà une personne privilégiée à qui j'accorde le peu de temps que j'ai la volonté d'accorder.

Je salue en tout cas l'initiative de te rapprocher de quelqu'un pour en apprendre plus ainsi que d'y accorder autant d'heures. Je ne suis pas du genre à compter le temps passé à faire ce genre de chose, mais l'ordre de grandeur que tu donnes a l'air assez conséquent.

Si tu ne trouves pas de mentor, tu peux tout autant trouver quelqu'un qui a les mêmes centres d'intérêts que toi et qui pourras te motiver à apprendre des choses passionnantes.

Bon courage dans tes recherches.

Le lien de laxa est génial, j'ai appris plein de choses !

Cela dit je ne l'ai pas terminé. Il faut dégager, je dirais, un peu plus d'une heure pour visualiser ces slides qui, de par leur ton humoristique, font preuve d'une très belle pédagogie à mon goût.

Allez les visionner !

J'ajouterai encore : l'idéal dans ces cas-là, si tu estimes que le sujet ne vaut pas la peine d'être soulevé en public, ce serait d'essayer de contacter l'administration par IRC. La messagerie privée est désactivée pour des raisons historiques et je reconnais que c'est peut-être déroutant si on veut s'adresser à un administrateur pour mettre au clair ce genre de chose.

Au final Hikachu, il y a à mon sens trois choses qui importent :

- À défaut de supprimer ton mail de confirmation, fais en sorte de protéger suffisamment ta boîte mail pour éviter que ton compte sur NC ne se fasse compromettre. Je pense que c'est un conseil qui a toute son importance au vu du défaut de sécurité que tu as relevé (on n'est jamais très prudent) ;
- Considère que NewbieContest est avant tout un site de défis à caractère informatique et non spécifiquement orienté sur la sécurité de l'information. Je t'invite plutôt à visiter https://w3challs.com/ qui est un site au même objectif mais qui propose clairement des défis orientés sécurité, ce qui n'est pas exclusivement le cas ici (cf. les catégories d'épreuves stéganographie et logique) ;
- On espère que tu trouveras sur ce site du contenu intéressant malgré le fait que NC soit un site qui a la particularité d'être ancien. Ce que tu trouveras, je pense, rarement ailleurs. Tu n'as qu'à te faire une idée en regardant la date d'inscription de the lsd.

A+

Salut !

À part ça j'ai reçu un mail de confirmation d'inscription, dans lequel mon mot de passe était renseigné en clair. Je trouve ça vraiment moyen pour un site sur la sécurité informatique, ça perd vachement en crédibilité!

Il n'y a priori pas beaucoup de souci à se faire si le mot de passe est mémorisé dans une variable qui est détruite à la fin de l'inscription. En bref, le mot de passe n'est pas conservé sous sa forme claire et je peux même te dire qu'il est sévèrement condensé.

Ensuite, le modèle de sécurité des sites web évoluant constamment, je comprends que tes remarques soient tout à fait légitimes...

... Mais je n'ai jamais lu nulle part que NC était un site sur la sécurité informatique. Quelqu'un peut m'éclairer ?

J'ai voté la troisième option.

Je me demande s'il ne serait pas intéressant, pour certaines épreuves, de fournir de la documentation sur le genre de problème à résoudre ; un peu comme le carré de Vigenère incohérent.

Parce que s'il s'agit de maths pointues auxquelles plusieurs challengers n'auraient jamais fait face, je me demande sincèrement si Wikipédia leur serait d'un grand secours. Je dis ça car ça n'est pas mon cas et j'ai toujours eu du mal à comprendre les articles de Wikipédia, même sur des notions que je connais un peu...

.

Dans la fenêtre des intermodular calls, il suffit de taper "MessageBox" pour filtrer sur l'API éponyme.

[clic droit -> "Search For" -> All intermodular Calls"]

Lorsque tu listes le code désassemblé de ton binaire, avec OllyDbg, tu peux faire un clic droit -> "Search For" -> All intermodular Calls" de mémoire.

Sinon, lorsque la MessageBox a "poppé", tu mets le binaire sur pause et tu affiches la pile des appels. Toujours de mémoire.

Hello,

Lorsque l'affichage de la MessageBox est effectif, il n'existe pas d'état actuel puisque ton programme est toujours en exécution pour gérer l'affichage de la MessageBox (la redessiner, traiter les mouvements de ta souris, et j'en passe).

http://venom630.free.fr/geo/tutz/securite_informatique/cross_site_tracing%20%28vieux%20tutoriel%29/

Par exemple pour le C on doit écrire un main. Est ce que c'est la même chose avec l'assembleur ?

Ca dépend. Si tu utilises gcc pour l'édition de liens, tu as effectivement intérêt à exporter un symbole "main". Si tu utilises ld, c'est _start qu'il te faudra exporter (comme sur le lien fourni par Xioth).

Dans les deux cas tu as forcément un point d'entrée par lequel ton binaire commencera. Avec gcc tu auras également un _start, qui se contentera d'appeler main() par lui-même, avec les arguments qui vont bien (argc, **argv, **env...).

Voici un Hello World à la printf, c'est-à-dire sans passer par les syscalls, et en liant notre code avec la libc, donc :

Code:

% cat helloworld_libc.asm
bits 32

extern printf

section .data
format db 'Hello world!', 10, 0

section .text
global main

main:
        push ebp
        mov ebp, esp
        sub esp, 4
        mov dword [esp], format
        call printf
        xor eax, eax
        leave
        ret

% nasm -f elf helloworld_libc.asm
% gcc -o helloworld_libc helloworld_libc.o -m32
% ./helloworld_libc
Hello world!

C'est comme ça que tu écriras tes shellcodes, si tu décides de les faire toi-même !