[Zmx]

Hello,
j' aurais une p'tite question, si l' on tombe sur un beau sécurité: filtre activé on doit poursuivre dans cette vois ou on fait fausse route ?
Nan mais **No Sms** quand même là ça m' énerveuh ^^.

ça veux dire que tu a trouvé ou frapper, mais que utilise un "truc" qui active filtre.

Tous le jeu est de contourné ce filtre, donc.
Et dans la V2, le filtre est encore plus mechant

[DarkBoss]

ça veux dire que tu a trouvé ou frapper, mais que utilise un "truc" qui active filtre.

Deja merci de ta réponse rapide.
Je veux bien mais j' ai essayer avec et sans ' ou " ça fait la même, je ne pense pas qu' il y ai besoin de javascript dans ce cas, j' ai lu le tuto sur comment contourner un filtre et toujours rien.
Bon j' en tire les conclusions et m' en vais googler, enfin si tu as un petit indice ( pas un gros un, parce que je voudrais reussir cela quand même par moi-même. ) il serait le bienvenu

[gransteck]

Quelle idée de mettre un mot de passe aussi long

[Atchoum]

Heu... La je doit étre out parce que j'obtiens une chaine de caractère décimaux d'une longueur hô combien significative, mais que je n'arrive pas à "convertire" en quelque chose d'interressant... Ca me parait étrange que m'a chaine ne soit pas composé de caractére hexadecimaux, mais ca à la rigueur... Enfin bref, j'ai le pass au bout des doigts et j'arrive pas a valider...
Quelqu'un pour me recadrer?

[Lanselius]

Tout a fait normal, tu es sur la bonne voie, tu t'es juste un peu raté dans ton injection... Revoie-là, et tu obtiendras une chaîne de cette même longueur significative, mais comprenant des caractères hexadécilaux cette fois 

[Atchoum]

Ouaip, aprés une nuit de someil, et vus la fréquence de certain chiffre dans ma chaine actuel, je crois que j'ai compris. Merci, je vais revoir mon injection.

Edit: le serveur free est down pour l'instant (erreur 500 avec n'importe quelle requette sur n'importe quelle page).

Edit: ca y est! le mot de passe était vraiment abusé

[shp]

ouah génial cette épreuve!!!! Je tiens à féliciter le créateur car l'épreuve est très réaliste.
En plus elle est pas insurmontable lol suffit de coder un petit exploit
Encore merci pour l'épreuve

[syltrox]

Faille trouvé  mais impossible de mettre des ' et " .... 
Je ne comprend pas ce que vous pouvez faire avec un exploit est ce que quelqu'un peut m'eclairer en m'envoyant un MP ou un mail a cette adresse /** edit par the lsd : on balance pas de mail comme ca ! Tu veux te faire spammer ou quoi ? */
Merci d'avance ça me fera avancer

[WiebeN]

C''est là le but de l'épreuve... Trouver comment contourner cette protection ! Au lieu de demander la réponse par MP demande plutôt la réponse à google. C'est à ça que servent les épreuves, elles soulèvent un problème qui est forcément solutionnable. Il faut donc se documenter pour trouver par quels moyens on peut détourner la protection (ou autre) et c'est cette recherche qui est importante !
Bonne chance.

[syltrox]

Non je ne vous demande pas la reponse mais je ne comprend pas a quoi sers un exploit... Et je demande des explications la dessus 

[WiebeN]

En hacking en général les épreuves (et pareil dans la réalité) se divisent en 2 parties:
1)Détection de la faille
2)Exploitation de cette faille

La deuxième partie peut être très courte, en une seule manipulation (c'est le cas pour la plupart des premières épreuves de hacking): trouver un dossier, faire une injection pour s'authentifier etc. Cependant parfois l'exploitation de cette faille nécessite de nombreuses manipulations(des milliers voire des millions) ou des calculs complexes. Dans ce cas il est nécessaire de coder un exploit pour faire les manipulations à notre place (la plupart des languages de programmation peuvent faire l'affaire c'est selon les affinités du codeur). Ça peut te paraitre un peu flou pour l'instant :tu dois te demander quelles sortes de manipulations ou calculs on peut bien faire faire à notre script. Pour cela la meilleur façon de comprendre est d'étudier le SQL et plus précisément les problèmes de sécurité liés au SQL.
Bonne chance.
++

[syltrox]

Ok merci pour tes explications

[smirnox]

Bon alors je pense avoir trouvé l'astuce pour l'injection SQL, plutôt facile. Par contre, je ne vois pas quelle requête on pourrait injecter pour trouver le pass. J'en ai essayé plusieurs mais les mots clefs sont bloqués par le soit-disant filtre visiblement (into, select, ...). Donc après si le but c'est de trouver le pass admin avec une requête SQL sans tous les mots clefs qui permettent de le faire, un petit indice ne serait pas de refus. Et ce n'est pas que dans cette épreuve qu'il y a ce problème.

merci

[_o_]

Donc après si le but c'est de trouver le pass admin avec une requête SQL sans tous les mots clefs qui permettent de le faire, un petit indice ne serait pas de refus. Et ce n'est pas que dans cette épreuve qu'il y a ce problème.

Le problème ? Mais c'est justement le but de l'épreuve que de contourner le filtre. Donc, oui, c'est un problème, mais c'est à toi de le résoudre. Donc potasse la doc MySQL pour trouver comment passer à travers le filtre existant, et accroche toi, parce que la version n°2 de cette épreuve est pire...

Autre chose : tu es inscrit depuis deux jours. Certaines épreuves demandent beaucoup de temps de résolution, ce n'est pas un QCM à rendre pour la fin de la semaine. Non, les réponses ne sont pas forcément instantanées.

[smirnox]

non la franchement .... un indice serait le bienvenue.