[Lanselius]

'jour les challengers

J'ai moi aussi un petit problème pour valider l'épreuve : j'ai trouvé les failles et compris la manip à executer. J'ai uploadé le script de Romano sur mon compte free et mon exploitation marche très bien (free me marque que la fonction validation() n'a pas été déclaré donc j'en juge qu'il a essayé de l'executer). Par contre quand je teste ça sur le site de l'épreuve, ça ne semble pas marcher

Je ne comprends pas du tout d'où ça peut venir, alors si une âme charitable pouvait me contacter par MP pour comparer mon mode opératoire avec le sien, ça m'aiderait beaucoup

[muadhib]

Pour répondre a cekica (en retard de quelques mois c'est vrai ^^) Tu es sur la bonne voie, c'est justement la seul chose qui me manque pour valider l'épreuve, autrement le reste j'ai trouvé comment faire.


Edit:
Oh rage, Oh désespoir, sa me dit que j'appele pas la fonction j'ai beau mettre <?, <?php, mettre; ou pas apres mon code, rien de rien, je cale a mort. Je vais essayer encore et encore, mais la j'ai la haine, j'ai tout trouvé sa marche sauf sa ^^.
Aller on perd pas contenance et on y retourne, toute fois si quelqu'un passe et voit mon probleme, qu'il m'indique juste comment l'appeler (car c'est simuler).
Merci d'avance


Edit(2):
Enfin valider; pensez a metre <? code; ?> sans oublier les espaces, conseil d'ami

[shade]

J'ai trouvé la faille include, et la faille au niveau des v**** gl*** qui en découle, mais j'arrive toujours pas à include du code php, je manque encore quelque chose ?

Il y a une autre faille en à trouver en plus sans doute...

[shp]

salut, est-il possible de bypasser ça?

Code:

<?php

include("common.php");

@session_start();
if(!session_is_registered("end")) { die("Accès interdit"); }

[Zmx]

Tu veux qu'on fasse l'audit a ta place ?

[shp]

bizarre que chertaines personnes demandant exactement ce genre de renseignements se font très bien accueil et d'autres comme moi se font remballer, bon de totues façons j'ai quasiment finis l'épreuve
merci encore

[toussa]

Salut tout le monde!
Tout d'abord, je tiens à saluer le créateur de l'épreuve, merci pour ce challenge

J'ai compris comment il fallait faire pour arriver à ses fins... Mais lorsque j'essai d'utiliser la faille *******, j'obtiens le message " n'abuse pas " du coup je ne peux pas faire ce que je veux...
Si quelqu'un avait l'amabilité de m'aider un peu (par MP ou en direct live sur le forum), ça serait cool...

[Zmx]

Grosso modo tu a bien trouvé la faille, mais pour eviter les debordement elle a été "encadré", et quand tu sort des limites "acceptable" de l'exploitation de la faille tu tombe sur ce message d'erreur.

Il te faut donc trouvé un autre moyen d'exploiter cette faille.

Ps: edit ton post, je trouve que tu en dit un peu trop

[Al3x]

Voilà j'ai un souci avec cette épreuve.
J'ai eu un warning au départ qui me disait qu'il n'y avait plus de place pour écrire un nouveau fichier sur le serveur.
Une fois qu'un admin ait fait de la place j'ai rééssayé de recréer un fichier, mais je n'arrive pas à y accéder avec la faille include malgré que j'arrive par exemple à inclure une image.
J'ai remarqué que le nom du fichier qui s'est affiché lors du warning n'était pas celui auquel je m'attendais : il y avait un décalage avec la date et l'heure française. Malgré la prise en compte du décalage je n'ai pas réussià inclure le fichier que j'avais créé.

Mes questions :  Est-ce que l'épreuve fonctionne encore ? Si oui, comment fait-on pour deviner le nom du fichier ?

Edit : Ayé j'ai validé. Merci d'avoir répondu _o_.

[_o_]

Mes questions :  Est-ce que l'épreuve fonctionne encore ? Si oui, comment fait-on pour deviner le nom du fichier ?

Réponse habituelle : oui, bien sûr, l'épreuve fonctionne. Et non, le serveur n'est pas tout à fait à l'heure  (mais l'heure de qui, en fait ? Y'a pas que des Français inscrits ici. Et quand bien même, pourquoi tout le monde devrait être synchro à la milli-seconde près ?). Mais ce décalage n'est pas grave, il est extrêmement facile de connaître l'heure du serveur sur cette épreuve. Quant à deviner le nom d'un fichier... ben, ça fait peut-être partie du challenge, non ?

[ezork]

Bonsoir.

J'ai une idée qui serait de bypasser strip_tag().
Je suis sur la bonne voie, ou je me suis égaré?


Ezork.

[Iansus]

Personnellement, je crois que tu t'égares.
Sinon, je n'ai toujours pas compris pourquoi certains utilisent netcat, car j'ai trouvé tout ce qu'il fallait trouver, et il me reste juste à connaître l'heure du serveur.
A moins qu'un fichier protégé dans un dossier par htaccess ne soit pas "readable"...

Correction: épreuve réussie, sans netcat !

[ThunderLord]

Joli détérage de topic et post inutile par ailleurs (comme la plupart de tes posts).

Sinon, je n'ai toujours pas compris pourquoi certains utilisent netcat

Peut-être parce qu'il veulent faire le challenge "à la main" au lieu d'utiliser bêtement des outils préconçus.

[freko28]

Ouai enfin ton post de "réponse" n'est pas beaucoup plus intéressant/utile hein...

[ThunderLord]

Certes, l'utilité de mon post reste contestable. Néanmoins, je pense avoir répondu à sa question ou plutôt à son incompréhension qu'il avait par rapport à l'utilisation de netcat.

Ensuite si j'ai bien compris, c'est un topic d'aide où l'on pose des questions lorsqu'on est bloqué. Dans son post, je ne vois pourtant aucune question mais plutôt sa progression personnelle dans l'épreuve, ainsi que des hypothèses.

Je ne doute pas que celle-ci intéresse grand monde, mais il me semble à mon humble avis qu'un post comme celui-ci n'aide en rien et que son avancement personnel ne doit pas être exposé dans un topic d'aide tel que celui-ci car il pourrait souvent donner des pistes bonnes ou mauvaises, même si ce n'est pas le cas ici.

Par contre freko28, j'avoue que ton post était lui on ne peut plus intéressant et utile à la communauté de NC et je t'en remercie.