logo Homepage
+  NewbieContest
|-+  Challenges» Aide Crackme» Crackme - Serveur de base de données
Username:
Password:
Pages: [1] 2
  Retourner à l'épreuve    Imprimer  
Auteur Fil de discussion: Crackme - Serveur de base de données  (Lu 15295 fois)
Zmx

Profil challenge

Classement : 69/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 559


Voir le profil WWW
« le: 27 Novembre 2006 à 16:17:07 »

Si j'ai bien compris le "NCHackMe.exe" est une copie de celui qui sert d'authentification sur le server ?

Si oui:
- si on arrive a lui faire dire "Bravo" (sans la patcher) avec un pass/serial (c'est different?) il suffirais de mettre la meme chose dans la version Web?


Merci de votre attention.


Ps: j'ai bien un "truc" qui me fait dire "bravo" sur l'exe, mais qui me dit "incorrect" sur le site web.
Journalisée

_o_
Relecteur

Profil challenge

Classement : 42/54254

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 1258


Voir le profil
« #1 le: 27 Novembre 2006 à 16:24:36 »

Ca fait combien de temps qu'elle est postée cette épreuve ? Un peu plus de 24 heures ? Tu as passé combien de temps dessus, 10 min ? Définitivement, les épreuves de NC demandent un nombre minimum de neurones en état de fonctionnement, si possible pendant une durée conséquente.

Donc oui, il est normal que ce que tu m'as montré en pv ne valide pas sur le site. Et ce n'est vraiment pas une surprise, si on prend le temps d'y réfléchir deux secondes.

L'épreuve, elle est très intéressante je trouve, dans un domaine que l'on n'a pas encore vu sur NC. Et elle n'est pas compliquée du tout, à la portée de beaucoup. Profitez-en. :)
Journalisée

Les épreuves de hack de NC sont trop faciles ? Et pourtant ! Bienvenue dans la vraie vie : http://thedailywtf.com/Articles/So-You-Hacked-Our-Site!.aspx
Zmx

Profil challenge

Classement : 69/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 559


Voir le profil WWW
« #2 le: 27 Novembre 2006 à 16:26:19 »

Le probleme c'est que ce que je t'ai donné valide en local, d'ou ma question
Journalisée

alph1

Profil challenge

Classement : 53/54254

Membre Complet
***
Hors ligne Hors ligne
Messages: 178


Voir le profil
« #3 le: 27 Novembre 2006 à 17:03:48 »

Oui le NCHackMe.exe est "sensé" être une copie de l'original. Mais en réalité, sur le site ce n'est bien entendu
pas un executable qui vérifiera le password (c'est un script php).
Pour répondre à Zmx, en ce qui concerne ton post scriptum, je te propose de me poster ta solution, ainsi que ta démarche.
Journalisée

Physics is like sex. Sure, it may give some practical results, but that's not why we do it. (Richard P. Feynman)
phoenix1204

Profil challenge

Classement : 75/54254

Membre Complet
***
Hors ligne Hors ligne
Messages: 105


Voir le profil
« #4 le: 27 Novembre 2006 à 19:31:55 »

Allez je vais me faire l'avocat du diable... Zmx a raison, il y a plusieurs solutions qui permettent de faire afficher BRAVO. En sécurité il n'y a pas une solution... il y a toutes les solutions qui permettent d'arriver au but (demandez à Mr_KaLiMaN pour sa hack 24...).
Celle de Zmx (je ne la connais pas mais je sais que ce qu'il a écrit existe) est donc stricto senso UNE solution qui devrait valider... Néanmoins si on prend un peu de temps pour regarder un peu plus en profondeur ce que voulait l'auteur bah on trouve .
J'ai proposé une modification de l'énoncé à S0410N3 hier soir et si vous regardez le nouvel énoncé vous verrez que le code attendu doit être uniquement composé de caractères alphabétiques (ce n'est pas un indice)...

Quant à l'originalité de l'épreuve... bah on va dire qu'il y a une épreuve de la catégorie crackme que tu n'as pas encore faite _o_

++
Journalisée

___________________________________________________
In God we Trust -- all others must submit an X.509 certificate.
S0410N3
Administrateur

Profil challenge

Classement : 10/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1260


Voir le profil WWW
« #5 le: 27 Novembre 2006 à 19:46:58 »

En fait, je voulais prendre le temps de la résoudre avant d'envisager une quelconque modification.
Je l'ai donc faite dans l'après-midi et j'en suis arrivé à la même conclusion que phoenix1204.
J'ai alors prévenu alph1 et vu qu'il m'a laissé libre sur la modif et que je pensais que l'idée de phoenix1204 était plutôt bonne j'ai modifié l'énoncé en conséquence.

C'est juste pour anticiper et éviter les posts du genre "J'ai le bon serial mais ça valide pas". C'est tout.
Journalisée

Enjoy (copyleft de quelqu'un qui a trop parlé)

S0410N3

-------------------------------------------------------------------------------------
La folie est le prix à payer pour le temps passé à être trop lucide.
-------------------------------------------------------------------------------------
http://forum.hardware.fr/hfr/Discussions/Societe/francais-repere-repaire-sujet_19265_1.htm
Zmx

Profil challenge

Classement : 69/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 559


Voir le profil WWW
« #6 le: 27 Novembre 2006 à 19:52:50 »

Merci a alpha1 en tous cas

1) pour son epreuve
2) pour m'avoir répondu a mes interogation
Journalisée

_o_
Relecteur

Profil challenge

Classement : 42/54254

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 1258


Voir le profil
« #7 le: 27 Novembre 2006 à 20:19:30 »

Citation de: phoenix1204
Allez je vais me faire l'avocat du diable... Zmx a raison, il y a plusieurs solutions qui permettent de faire afficher BRAVO. En sécurité il n'y a pas une solution... il y a toutes les solutions qui permettent d'arriver au but (demandez à Mr_KaLiMaN pour sa hack 24...).
Et c'est également le cas de hacks dont les sources sont fournies mais qui ne réagissent pas toute à fait de la même façon sur le site (avec un message du genre «Tu est sur la bonne voie, mais...»). Que je sache, ça ne fait pas autant de tapage.

Citation de: phoenix1204
Celle de Zmx (je ne la connais pas mais je sais que ce qu'il a écrit existe) est donc stricto senso UNE solution qui devrait valider... Néanmoins si on prend un peu de temps pour regarder un peu plus en profondeur ce que voulait l'auteur bah on trouve .
C'est le fond de ce que je lui reproche (je vide mon sac un bon coup, et on en reste là). Je lui ai confirmé que l'épreuve fonctionnait, et qu'un peu de réflexion permettait de s'en sortir. Il me semble que c'est bien dans l'esprit des sites de Challenges de se triturer un peu la matière grise. Qui plus est, l'épreuve n'est pas très compliquée en soit, donc ça ne me gêne pas de réfléchir 5 minutes de plus pour valider. Y'a des épreuves franchement plus tirées par les cheveux.

Citation de: phoenix1204
Quant à l'originalité de l'épreuve... bah on va dire qu'il y a une épreuve de la catégorie crackme que tu n'as pas encore faite _o_
Pas validée, nuance ! J'ai travaillé dessus, donc je pense savoir de quoi tu parles. Non, je pense que ce crackme (27) est didactique. Bien évidemment, ce genre d'attaque est rarement aussi simple dans la vraie vie, reste qu'il  s'agit d'une bonne épreuve de base, accessible à tous, dans ce domaine. C'est aussi le but de NC que de faire dans la pédagogie, n'est-ce pas ?

Voilà, ce sera donc EOT pour moi à ce sujet (ou suivi en privé pour ceux qui veulent).
Journalisée

Les épreuves de hack de NC sont trop faciles ? Et pourtant ! Bienvenue dans la vraie vie : http://thedailywtf.com/Articles/So-You-Hacked-Our-Site!.aspx
sofiane
Profil challenge

Classement : 287/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 24


Voir le profil
« #8 le: 27 Novembre 2006 à 20:20:16 »

Cool cette épreuve. l'idée est bonne en tout les cas, et même très originale. Bravo !
Journalisée
alph1

Profil challenge

Classement : 53/54254

Membre Complet
***
Hors ligne Hors ligne
Messages: 178


Voir le profil
« #9 le: 27 Novembre 2006 à 20:35:00 »

Il est vrai que cette épreuve est du même type qu'un des crackme proposé par seven (rendons à seven
ce qui appartient à seven). J'avais trouvé l'idée absolument géniale et j'ai eu donc envie de faire une variante
relativement abordable qui soit le plus pédagogique possible.

Note pour ceux qui n'ont pas encore fait cette épreuve (celle de seven) : là aussi les solutions sont multiples
et certaines ne valident pas sur le site (on peut s'en appercevoir en lisant le forum).
Journalisée

Physics is like sex. Sure, it may give some practical results, but that's not why we do it. (Richard P. Feynman)
kango

Profil challenge

Classement : 314/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 45


Voir le profil
« #10 le: 29 Novembre 2006 à 16:40:56 »

Belle epreuve, efficace est instructive: pratique pour ceux qui comme moi ne comprennent rien aux crackme d'habitude
Ceci dit, j'ai passé plus de temps sur le coup des caract alphabétiques que sur le crackme en lui meme

C'est quel numéro l'épreuve de Seven?
Journalisée
Kowasu

Profil challenge

Classement : 457/54254

Membre Complet
***
Hors ligne Hors ligne
Messages: 142


Voir le profil
« #11 le: 23 Décembre 2006 à 11:50:55 »

Une petite erreur de validation...404.
Si un admin pouvait regarder, merci.

edit : ça y est, c'est de nouveau bon ^^
Journalisée

"Le démiurge est aussi bateleur: son oeuvre est illusion, son ordre est illusoire."
thrmgs

Profil challenge

Classement : 283/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 17


Voir le profil
« #12 le: 04 Janvier 2007 à 12:13:32 »

Salut,
Je croye comprendre se qu'il faut utilise (B..),mais si je crée mon shell.... il sera specifique a mon windows ?
Journalisée
alph1

Profil challenge

Classement : 53/54254

Membre Complet
***
Hors ligne Hors ligne
Messages: 178


Voir le profil
« #13 le: 04 Janvier 2007 à 12:35:06 »

Je pense que tu as bien compris la faille dont il est question ici. Mais là le but n'est pas d'obtenir un Shell, il faut simplement bypasser l'identification du "serveur".
Journalisée

Physics is like sex. Sure, it may give some practical results, but that's not why we do it. (Richard P. Feynman)
thrmgs

Profil challenge

Classement : 283/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 17


Voir le profil
« #14 le: 04 Janvier 2007 à 13:13:38 »

Oui ,mais je vois pas comment bypasser  l identificateur du serveur sans faire un jmp esp a l aide d un shell
Journalisée
Pages: [1] 2
  Retourner à l'épreuve    Imprimer  
 
Aller à: