[mathgl24]

Faire les épreuves plus simple pour toi serait déjà un bon début!

[the lsd]

Il faut quelques petites lignes de code à écrire mais trois fois rien.

Merci à THE ISD pour ce magnifique challenge

C'est un L comme Ludivine non ?

Ui ui, c'est bien un L minuscule

Enjoy

The lsd

[ugo22g]

Très bon challenge , que j'ai réussi avec pas mal de difficulté , mais très réaliste ...
Merci à THE ISD pour ce magnifique challenge


édit : je pensais a BALL , fautes de nom  

oui comment tu dit ? difficulté !!!

[harvey]

Plop,

Voici quelques questions sur la seconde partie de cette épreuve à laquelle je ne comprends décidément rien. Toute réponse ou commentaire sur l'une ou ou l'autre d'entre elles sont bienvenus.***

- Et oui, certains vont raler, la deuxième partie est principalement du guessing

Quelque chose indique-t-il plus précisément la nature de ce qui est à deviner (le nom d'une page du site, un numéro de 25 chiffres, une erreur de configuration, un type de faille original...) ou doit-on chercher à l'aveuglette ?
 

Il faut savoir que le webmaster sait quand vous récupérez son mot de passe. C'est à vous de deviner pourquoi

Je ne suis pas sûr de comprendre cette phrase.
Obtenir le mot de passe est le but de l'épreuve. Une fois qu'on l'a, le webmaster peut toujours réagir, mais c'est déjà trop tard.
Est-ce une allusion à quelque chose qu'il faudrait faire après, ou juste une indication sur la manière de le récupérer ?
L'accent de la phrase est-il sur "sait" ou sur "quand" ?

L'indice donné lors de la réussite de la "première partie" a-t-il vraiment aidé ceux qui ont résolu la deuxième ?

Le post de alph1 en première page laisse entendre que le résultat de la première partie n'est pas nécessaire pour passer la seconde. Y-a-t-il un enchaînement technique ou logique entre les deux (mis à part l'indice), ou sont-elles indépendantes ?


Enfin, the lsd encourage à formuler les demandes d'aide en privé, plutôt que sur le forum. Y-a-t-il une raison particulière à ça (le moindre indice pourrait rendre la solution triviale) ? Ou est-ce juste par crainte de voir le fil se transformer en boîte à réponses, ou toute autre raison non directement liée à l'objet de l'épreuve ?

Merci d'avance


*** Un avis éclairé sur l'accord grammatical de cette phrase m'intéresse aussi...

[awe]

Hello,

Quelque chose indique-t-il plus précisément la nature de ce qui est à deviner (le nom d'une page du site, un numéro de 25 chiffres, une erreur de configuration, un type de faille original...) ou doit-on chercher à l'aveuglette ?

Cherche un problème de conception. Pas besoin d'aller deviner le nom d'une page ou autre.
Je rajouterai que le bug en question n'est pas une mauvaise idée de l'auteur - au contraire - mais c'est l'implémentation de cette idée qui est catastrophique.
En effet la solution la plus logique ne marche pas... Je pense que la partie guess peut être énormément réduite en suivant ce conseil: *faire attention a la casse*. En prenant cela en compte il reste une petite part de guess mais c'est celle que l'on retrouve sur tout audit de site en blackbox.
Je trouve par ailleurs dommage que l'épreuve ne soit pas corrigée, rajouter une des fonctions les plus simples de PHP suffirait à régler ce fail de conception sans rien changer à la résolution technique attendue. Il est plutôt agaçant de passer à côté de la solution attendue pour si peu.

Il faut savoir que le webmaster sait quand vous récupérez son mot de passe. C'est à vous de deviner pourquoi

Je ne suis pas sûr de comprendre cette phrase.
Obtenir le mot de passe est le but de l'épreuve. Une fois qu'on l'a, le webmaster peut toujours réagir, mais c'est déjà trop tard.
Est-ce une allusion à quelque chose qu'il faudrait faire après, ou juste une indication sur la manière de le récupérer ?
L'accent de la phrase est-il sur "sait" ou sur "quand" ?

C'est une indication qui aide à réfléchir sur où et comment le récupérer.
Il faut comprendre que le webmaster a une trace de cette action, il n'est pas question d'anticiper une riposte de sa part, ou autre.

L'indice donné lors de la réussite de la "première partie" a-t-il vraiment aidé ceux qui ont résolu la deuxième ?

Le post de alph1 en première page laisse entendre que le résultat de la première partie n'est pas nécessaire pour passer la seconde. Y-a-t-il un enchaînement technique ou logique entre les deux (mis à part l'indice), ou sont-elles indépendantes ?

Oublie l'indice. Les deux parties sont tout a fait indépendantes. Il me semble même que certains ont trouvé la seconde partie en premier.

Enfin, the lsd encourage à formuler les demandes d'aide en privé, plutôt que sur le forum. Y-a-t-il une raison particulière à ça (le moindre indice pourrait rendre la solution triviale) ? Ou est-ce juste par crainte de voir le fil se transformer en boîte à réponses, ou toute autre raison non directement liée à l'objet de l'épreuve ?

Peut-être une sorte d'auto-flagellation de sa part 

Merci d'avance

J'espère que ça te sera utile.

Enjoy _oups

[the lsd]

Ben voilà, tout est dit ! J'ai quasiment rien à rajouter.

Pour préciser tout de même, le fait de faire attention à la casse, quand j'ai pondu cette épreuve, il y avait une subtilité qui faisait que c'était semblait logique de faire comme ca. Pas forcément en fait... Mais pas de nom de page bizarre à trouver. A mon avis, l'indice peut aider. Il suffit de tilter.

Le Webmaster peut connaitre le moment précis où tu récupères son mot de passe. A la seconde près. Pour info, il n'y a pas de système de log qui permette cela, c'est une opération banale du site Web qui lui donnera cette information.

Aucun lien entre les deux parties. J'aurais même pu faire deux épreuves différentes. Ça aurait d'ailleurs été plus simple, mais bon, c'est comme ça.

Enfin, ce n'est as de l’auto-flagellation (même si j'aime ça), c'est juste pour éviter les nombreux posts du genre "J'ai trouvé la faille de la première partie, ca valide pas." Une aide sur le forum ne ferait que spoiler inutilement.

Enjoy

The lsd

[harvey]

Merci pour ces réponses !
Ça permet d'éliminer certaines mauvaises pistes et de voir qu'il me manque vraiment quelque chose.

[etienne15]

Hello
J'ai l'impression d'avoir trouvé quelque chose qui me fait penser à une autre épreuve de la même catégorie (en rapport avec l'indice donné dans l’énoncé de l'épreuve).
J'en suis étonné parce que c'est rare sur NC.
D'autre part je ne suis pas sûr de bien identifier l'administrateur. Lorsqu'on fait une recherche par son pseudo, il y a plusieurs résultats. Comment savoir lequel est-ce ?
Suis-je sur la bonne voie ?

Edit: Bon, avec un peu (beaucoup ?) de persévérance et d'hypothétiques hypothèses, j'ai réussi à passer l'étape 1 En route pour la suite !

[the lsd]

Ton message d'erreur ne fait pas partie de l'épreuve. Logiquement les problèmes ne viennent pas de NC, c'est de ton coté que ça ne marche pas.

Enjoy

The lsd

[wiwiland]

Plop

J'ai trouvé une faille qui correspond aux différents posts sur ce topic ainsi qu'à l'indice présent dans la description de l'épreuve.
Je parle de celle avec le magicien qui enlève quelque-chose (ce qui correspondrait à la partie #1 selon The lsd).
Il m'est parfaitement possible de l'utiliser sur moi-même, tout fonctionne bien. Seulement, lorsque j'essaye de faire la même chose avec l'admin, ça ne fonctionne pas.
Y a-t-il une manière très précise de le solliciter ? J'ai fait comme indiqué sur le topic : au plus simple. Pas de fioritures. Mais je n'obtiens malheureusement pas le résultat escompté.

Merci pour votre aide.

[Simproxid]

Bonjour, j'ai trouvé la faille de la deuxième partie et son code aussi, mais mon problème maintenant est que quand je mets les cookies que j'ai reçu PH***SS**, ad**n, v**e avec leurs valeurs puis je me retrouve après connecter sur un compte nommé "a". J'aimerai bien savoir pourquoi et sur le PH***SS** il y a une phrase encoder en l33t qui m'indique que je suis sur la bonne voie je crois qu'il y a une erreur ... Merci de rectifier sa il y en a une ou si j'me trompe de pouvoir me donner un tout petit indice qui pourrait vraiment me mener sur la bonne voie .

[wiwiland]

Message à tous ceux qui ont la bonne logique et la bonne idée mais qui s'arrachent les cheveux sur la seconde partie :
Mettez tout en minuscules et ça passe -_-'
C'est vraiment frustrant. J'ai tilté quand quelqu'un a dit "une simple fonction de base de PHP pourrait régler le problème".

[sending13]

salut.

Quelqu'un peut il verifier ça svp ?

Quand on se log sous le pseudo: /* Modéré */ et en pass: /* Modéré */, perso j'ai: "Fatal error: Cannot break/continue 1 level in /www/ep25/connexion.php on line 43", est ce normal ?

[_o_]

Il n'y a guère que le concepteur qui pourra répondre.

[sending13]

salut.

Depuis le temps que je test cette épreuve, un nouveau message d'erreur a fait surface : "tutt tutt tutt ! On triche pas !"

>> Peut on passer par là ? <<

"root@hacking.newbiecontest.org" m'envoie un email, bizarre (j'avais fait le test pour récupérer mes ID ça n'avait pas fonctionné.. j'avais du me planter o_O ...)