[ddos]

**No Sms** Tous
j'ai pas trouvé la fonctionne valide() dans le script

je sais pas comment je peux valider cette épreuve

[MyT]

La fonction valider() est dans la version en ligne pas dans le code source 

[himotepe]

Je pense avoir trouvé une faille dans la fonction anti-flood, avec le ****_*_*********_***, mais ça à pas l'air de fonctionner
J'arrive juste a faire une erreur SQL...
Je suis sur la bonne voie ou bien..?

ou bien...


je suis dans le même cas que toi, bien entendu ça fonctionne parfaitement en local, mais online c'est une autre histoire; je me demande si la requête effectuée online est bien la même que celle dans les sources fournies.

Je suis dans la bonne direction ?

EDIT : au temps pour moi, une simple différence de configuration, ça à l'air de marcher niquel dans cette voie! c'est l'heure de scripter...

[wiwiland]

C'est énervant, un exploit en local peut parfaitement fonctionner, mais sur le serveur il faut se contenter de "Calmos "
L'exploit doit tenir en 3 caractères alphanumériques ou quoi ? o_O
Je vois très bien comment appeler la fonction de validation mais il me faut d'abord passer ce "Calmos " qui doit certainement être une fois de plus une vérification en regex...

Edit : ça ne sert à rien de paniquer, en fait ce n'était pas si dur que ça en réfléchissant un peu...
Les différents messages de ce topic en disent peut-être un peu trop...
En tout cas c'est faisable avec presque rien, et zéro parenthèse.

[can0z]

EDIT: Je tombe sur "calmos " en fait...

[Asteriksme]

ok !

[zangdar-64]

Le calmos m'a relativement bien calmé, du coup je suis un peu à cour d'idées....

[sending13]

salut.

Pas évidente celle-ci..

Le "Calmos" il calme c'est sûre.. Le truc c'est qu'en attaquant(testant) les 3 tables avec X requêtes SQL en direct ou via popup(), rien ne passe (même pas un morceau d'information extirpé..que des erreurs Sql ou tss ou o_O ..., peut être qu'il y a quelque chose que je ne vois pas? , une xss ? car si toutes mes injection Sql sont bloquées enfin presque (le flood passe mais j’extrais rien ), je ne vois pas trop par ou passer   pour récupérer le login/pass !

[G.Unik0der]

Visiblement cette épreuve est selon moi un peu trop stager. j'ai 2 méthodes d'injection qui marche en local dont une sans parenthèse mais encore la on me répond calmos . Sans doute je vais trop loin dans ma requête j'essaie de faire simple pourtant je vois pas comment faire simple quand d'après mes réflexion il n'y a aucune façon d'afficher la réponse de notre requête.
 

[BashOo]

Salut,

J'ai bien trouvé et exploité la faille pour récupérer le login et le pass. J'arrive à me connecter. Jusque la tout roule

Je pense avoir trouvé ce qui doit être modifié pour appeler la fonction valider

mais je vois pas comment contourner les : o_O et tsss...

Est-ce que je dois continuer à tenter de bypasser ça à la brutale (j'entends par brutale: par la même méthode qui me retourne les o_O et tsss...) ou est-ce que je dois passer par un autre endroit pour modifier cette valeur ? (genre enregistrer quelques choses et revenir dans la partie admin ?)

Enfin voilà j'ai testé beaucoup de choses et j'arrive à rien...

EDIT : Valider Toute la difficulté de l'épreuve est la...

[Lord357]

Hello,

Bon j'ai décidé de demander de l'aide parce que cette épreuve va finir par me rendre désagréable ^^

Pour la récupération des informations de connexion, pas de problèmes. En revanche pour l'injection de la fonction, je misère depuis quelques temps maintenant. Je sais ou c'est, je vois bien ce qu'il faut faire c'est assez évident mais il me manque le moyen

J'espère ne pas trop en dire.

- J'ai tenté de /* Modéré : Pas de démarche, même fausse ! */ ... mais bien évidemment non ...

- Niveau piqure, je pense avoir fait tout le tour de ce que je pouvais toucher. j'ai regardé /* Modéré */ ... Je crois qu'à force le source je le connais par coeur haha.

- J'ai exclus /* Modéré */ parce que ça me parait hautement improbable.

Donc je suis à cours d'idée, et je pense qu'il me manque une compétence, pourtant j'en ai lu des tartines et des tartines ! Un mot, une pièce ou un ticket resto pour m'aiguiller, manger et rester propre serait le bienvenu ! Merci

[Lord357]

Okay, lol. Je reformule, je sèche sur les "tsss". Les o_O, je sais pourquoi, c'est marqué dedans ! Ca marche en local chez moi sans tsss pourtant ...  C'est pas du jeu Finalement la source est totalement différente, je crois qu'on peut dire ça

En échange, donnez-moi une piste, un mot clé, j'ai TOUT TESTE même si je peux pas mettre les noms (modérés), jeter moi une pierre mais seulement si y a un mot dessus, mayday mayday, aide-moi, help, et même en japonais je te le sors, je t'appelle maitre pendant une semaine si tu veux ! Je masse ton cou, je te pistonne pour un bon poste, je fais un <insert ton pseudo>thon pour que tu puisse te payer des jet ski et tout.

Je vend pas mon corps parce qu'il te plaira pas, considère ça comme une aide alors rends moi la pareille m***** !  Ici, en mp, par avion, ULM, sous-marin ou simple bouteille à la mer, cette épreuve me rend fou alors faites un p'tit geste

[AntiChrist]

nne direction ?

EDIT : au temps pour moi, une simple différence de configuration, ça à l'air de marcher niquel dans cette voie! c'est l'heure de scripter...

Fini. Sûrement le meilleur indice donné sur ce topic.