[kevinator]

Bon voila , avec l'accord du webmaster, je recherche des failles sur son site.

J' en ai déjà trouvé des tonnes ( Upload, xss persistante, non persistante,...) je ne citerait donc pas l'adresse du site en question 

Je soupçonne maintenant un injection SQL par modification d' URL:
---Rien du tout---

Il est facile de faire planter cette requête SQL, le resultat apparait sur le site...

---Rien du tout---

Je tente donc une union et la il me sort:

---et encore rien du tout---

EDIT: Je repare mes erreurs...désolé !

[john81]

Tiens, marrant, ça ressemble à des épreuves de hacking de nc ça   

--zappé all by myself --

[kevinator]

OK donc c'est donc impossible...

Effectivement cela ressemble ressemble au épreuve du site, le site que je teste regroupe dailleur presque la totalité des failles présentent dans ces épreuves ! Le pire que j'ai eu c'est la faille Upload...
Je suis étonné que le site soit encore indemne... 
Le pire c'est que le webmaster en question possède quatre sites, avec exactement les mêmes failles sur chaqu'un d'eux...

P.S: J'espère que tu n'as pas cru que je trichais ? ( Sinon je t'envoie le site par MP )

[Al3x]

Tiens, marrant, ça ressemble à des épreuves de hacking de nc ça   

Sinon, ton erreur provient du fait que pour avoir un order by et un union il faut faire :
(select machin from truc where bidule order by x)
union
(select machin2 from truc2 where bidule2 order by x2)
sans oublier les parenthèses pour les 2 select. Donc, dans ton cas, le union est impossible (en tout cas, c'est ce que j'avais lu !)

Pas besoin des parenthèses pour un UNION.

[the lsd]

Ca correspond effectivement à une épreuve d'apres mes souvenirs... J'apprécie pas trop le fait de demander de l'aide (et qu'on y reponde) pour une épreuve, surtout en cachant cette demande !!!

Donc bon...

Enjoy

The lsd

[kevinator]

Voila the Isd, je viens de t'envoyer un message privé stipulant l'adresse du site en question, direct sur la faille en question. Jamais je ne réclamerais de l'aide de cette manière fourbe et malhonnête, jamais !

[john81]

-- zappé aussi --
Et pour Kevinator, j'veux bien te croire, mais bon, ça ressemble quand même super drolement à une épreuve de hack. Donc à la limite, essaye d'en dire moins, sinon ce topic deviendra le topic de l'aide pour l'épreuve en question.

[kevinator]

Désolé je pense qu'il faudrait effectivement fermer ce topic....
J'ai fourni à John81 et à the Isd des preuves que j'espère convaincantes...