[yannis51]

same que nementon

Edit de the lsd : Alors c'est utile comme post tiens... Vachement intéressant !

[Nementon]

Owi, ca c'est de l'edit qui tue ! 

Mais par contre c'est etrange quand meme, cette histoire de source chelou, je me sent un peu délaissé la, t'aurai pas une idée lsd ?

(Non, non, je ne suis pas frustré  )

[the lsd]

Pas encore réussi l'épreuve, je peux pas aider (et puis accessoirement, j'ai pas le temps). T'as vérifié la configuration de ton service PHP ?

Je vois pas pourquoi le script aurait été mis à jour (et puis je peux pas vérifier surtout  )

Continues à chercher ou passes à autre chose en attendant.

Si quelqu'un qui l'as réussi voulait bien vérifier (à tout hasard), ce serait sympathique.

Enjoy

The lsd

[Nuco]

C'est tout à fait normal, je vois ce dont vous parlez et j'avais essayé de voir ce que je pouvais en faire, mais au final ce n'est pas là qu'il faut frapper.

Accessoirement, je vous conseille quand même de faire quelques épreuves plus validées avant celle-ci... 

[Nementon]

Ok, merci pour les infos !

[xaris]

bonjours a tous

alors j'ai presque fini l'épreuve je dit bien presque car j'ai bien tout se que nous avons besoin enfin les X parties partie du mdp
mais je doit pas être doué pour les ctrl-c ctrl-v car j'arrive juste pas a validée
est ce que une âme charitable voudrai bien me dire se qui vas pas (après lui avoir envoyer se qu'il lui faut ) par  pv  ou irc ?


voila merci d'avance :p

Edit : C'est bon j'ai réussi persévérance persévérance :p

[wouanou]

Bonjours,

J'ai téléchargé le code source, et ai trouvé une belle petite injection sql ( ), tous fonctionne parfaitement en local,
Mais malheuresement, tous mes tests en ligne echouent,

Le script a t'il ete mis à jour, et dans ce cas, les sources fournie sont t'elles toujours valables ? 

Cordialement,
Nementon.

Idem, sauf que j'en suis à trois injections SQL (sur deux pages différentes) exploitables en local mais pas sur le serveur. 

Sinon, j'ai vu qu'il y en as pas mal qui pollue la base user

Je viens d'y participer à l'instant, j'avoue et implore votre pardon mais c'était en toute bonne foi : il y a une Blind SQL Injection exploitable grâce à une erreur SQL en local, mais qui conduit à un enregistrement valide online.

J'y retourne, mais si l'auteur ou un admin passe par la, ce serait sympa d'avoir le script à jour, parce que là c'est un peu frustrant.

[WiebeN]

Dernière validation par jahman, le 07/09/2009 à 14:55

A mon avis les sources n'ont pas été changées et sont parfaitement en état de marche.
Si c'est pas les sources qui changent, c'est sûrement la config du serveur  

[HackTux84]

J'ai reussi a trouver le mot de passe admin mais je ne peut rien faire avec, je peut me logguer en tant qu'admin jusque la OK, mais je ne peut pas accéder a la parti "Administration", j'ai beau vérifier le mot de pass taper (j'ai changer la casse aussi) meme des Copier Coller mais rien n'y fait. Je ne comprend pas trop la.

[telipinu]

Bonsoir,
je relance le sujet suite aux difficultés que je rencontre sur cette épreuve... J'ai trouvé le pass admin, mais je ne vois pas trop comment accéder au répertoire admin. J'ai cherché une autre faille pour y arriver, mais je ne trouve rien... Si un petit indice qui n'en dit pas trop pouvait me mettre sur la bonne voie, ça serait top ! D'avance merci.
C'est un peu décevant de trouver l'accès admin et de bloquer sur une deuxième étape, mais cette épreuve est chouette !

[loic71]

Roh, tu dois y mettre de la mauvaise volonté...
Tu ne dois pas te poser les bonnes questions.
Google c'est pas de la merde hein, c'est ton ami 


Cette épreuve est excellente!
Le filtre sql est assez permissif pour qu'on puisse se faire plaisir...

J'adore cette épreuve!

Hum, si j'ai : "T'es sur la bonne voie mais c'est pas encore �a " Quand j'éssaie d'aller sur admin/index.php, je suis sur la bonne voie?  

[telipinu]

L'éternel réponse "l'ami google"... Enfin merci d'avoir pris le temps de répondre ^^

[Kyrah]

J'ai tous les éléments pour pouvoir valider ce Challenge.
Je respecte la forme proposée mais je n'y parviens pas ...  

Y a t-il une subtilité dans la syntaxe à adopter ?

C'est un peu rageant de terminer l'épreuve et de passer limite plus de temps à trouver comment la valider qu'à la résoudre.
Un membre de NC peut-il me contacter pour m'indiquer où se situe mon erreur.

Merci !  

Edit: Merci à Ashita, les + peuvent porter à confusion ainsi que les espaces entre, et sont bien là au final pour signaler qu'il faut concaténer les solutions.

[colli83]

Bonjour

Je vais tâcher d'être précis et clair.
J'ai déjà découvert le mdp admin.

J'arrive également, en testant sur un domaine personnel, à afficher le contenu de /admin/index.php
Cependant, cette méthode ne fonctionne pas en ligne. Je ne reçois que le fameux message stipulant que je suis sur la bonne voie mais que ce n'est pas encore ça.

Et j'ai beau tout retourner (le script, google,...) je ne trouve pas d'autre solution....
Si quelqu'un peut m'aider ici, ou via MP ça serait assez sympathique.

Sinon, ben, je n'abandonnerai pas.

Dans tous les cas, merci pour ces épreuves agréables.

[Asphator]

Si ça te marque ce message, persévère
Il doit te manquer encore un tout petit truc...