logo Homepage
+  NewbieContest
|-+  Divers» Hacking» Autre moyen de bypass un htaccess ?
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: Autre moyen de bypass un htaccess ?  (Lu 12529 fois)
Cisco
Profil challenge

Classement : 31051/49528

Néophyte
*
Hors ligne Hors ligne
Messages: 7


Voir le profil
« le: 14 Avril 2013 à 17:56:35 »

Bonjour à tous,

je me pose la question si il est possible de bypasser un .htaccess autrement, au lieu d'utiliser la faille Include ?

cdt, Cisco
Journalisée
wiwiland
Beta testeur

Profil challenge

Classement : 84/49528

Membre Complet
*
Hors ligne Hors ligne
Messages: 175


Voir le profil
« #1 le: 15 Avril 2013 à 09:34:02 »

Le moyen le plus simple à mon avis n'est pas une faille include mais l'utilisation de la vulnérabilité créée par l'utilisation de /* moderated par the lsd : j'aime pas modérer les topics hors challenge, mais là, c'est clairement abusé... */
C'est encore le cas bien souvent, et de nombreux tutos sur le net préconisent l'utilisation de cette ligne dans la config Apache, ce qui est assez désastreux d'un point de vue sécurité.

Il n'y a pas qu'une seule façon de bypasser un .htaccess ceci dit, et toutes les ruses sont bonnes.
« Dernière édition: 15 Avril 2013 à 23:23:12 par the lsd » Journalisée
Cisco
Profil challenge

Classement : 31051/49528

Néophyte
*
Hors ligne Hors ligne
Messages: 7


Voir le profil
« #2 le: 15 Avril 2013 à 18:52:06 »

D'accord, merci beaucoup 
Journalisée
Cisco
Profil challenge

Classement : 31051/49528

Néophyte
*
Hors ligne Hors ligne
Messages: 7


Voir le profil
« #3 le: 15 Avril 2013 à 18:58:46 »

Petite problème avec Telnet, dès que je rentre un seul caractère , il me renvoi directement sur l'invite de commande donc impossible d'envoyer une commande...je suis sous Windows 8
Journalisée
Cisco
Profil challenge

Classement : 31051/49528

Néophyte
*
Hors ligne Hors ligne
Messages: 7


Voir le profil
« #4 le: 16 Avril 2013 à 18:30:37 »

UP
Journalisée
_o_
Relecteur

Profil challenge

Classement : 32/49528

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 1256


Voir le profil
« #5 le: 16 Avril 2013 à 19:03:11 »

UP

Heu.... T'es pas chez mémé ici. Si personne ne répond, c'est que personne n'a la réponse. Merci de conserver ce forum propre.
Journalisée

Les épreuves de hack de NC sont trop faciles ? Et pourtant ! Bienvenue dans la vraie vie : http://thedailywtf.com/Articles/So-You-Hacked-Our-Site!.aspx
the lsd
Administrateur

Profil challenge

Classement : 157/49528

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3026

poulping for fun & profit


Voir le profil WWW
« #6 le: 16 Avril 2013 à 19:25:08 »

oh gosh... Je pense que _o_ a dit le principal. Un peu de respect et de savoir vivre ne fait pas de mal.
Accessoirement, tu demandes quasiment explicitement la réponse à une épreuve, et EN PLUS, tu fait l'impatient...

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Cisco
Profil challenge

Classement : 31051/49528

Néophyte
*
Hors ligne Hors ligne
Messages: 7


Voir le profil
« #7 le: 16 Avril 2013 à 19:36:01 »

Bah pour moi deux jours c'est long non ? 
Journalisée
Xioth

Profil challenge

Classement : 468/49528

Néophyte
*
Hors ligne Hors ligne
Messages: 33


Voir le profil
« #8 le: 16 Avril 2013 à 20:21:53 »

Non, ce n'est pas long 2 jours, certains cherchent des informations pendant bien plus longtemps que ça sans venir quémander sur les forums.

Un peu de patience et de recherche, que diable.

PS : Quand on ne peut pas faire d'une manière, essayer d'en trouver une autre.
Journalisée

N'oubliez jamais la puissance de Google.

"Celui qui trouve sans chercher est celui qui a longtemps cherché sans trouver."
Gaston Bachelard
Cisco
Profil challenge

Classement : 31051/49528

Néophyte
*
Hors ligne Hors ligne
Messages: 7


Voir le profil
« #9 le: 20 Avril 2013 à 13:00:55 »

Oui mais mon problème c'est que dès que je met par exemple : GET www.site.com/admin/admin.php HTTP/1.0
il me retourne une commande invalide, donc ça m'handicape pour bypass le .htaccess ! à moins que vous connaissiez un autre logiciel comme Telnet.
PS : je ne compte pas encore utiliser Backtrack, mais bientôt ( j'ai une connexion en mousse ).
Journalisée
_o_
Relecteur

Profil challenge

Classement : 32/49528

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 1256


Voir le profil
« #10 le: 21 Avril 2013 à 15:00:20 »

Avant que tu te décides à balancer un up de mauvais aloi, j'ai un petit conseil : quand tu as un problème et que tu souhaites obtenir une réponse, mieux vaut l'exprimer clairement. Exemple :

Oui mais mon problème c'est que dès que je met par exemple : GET www.site.com/admin/admin.php HTTP/1.0

Dès que tu mets quoi ? Où ?

Citation
il me retourne

Qui ça il ? Comment te retourne-t-il quelque chose ?

Citation
une commande invalide,

Quel genre de commande invalide ? « grtzunhjqsd» ?

Alors qu'il est tellement plus simple, rapide et clair de faire un copier/coller de son terminal (en gras ce que je saisis au clavier) :
$ telnet www.newbiecontest.org 80
Trying 94.23.205.187...
Connected to newbiecontest.org.
Escape character is '^]'.
GET / HTTP/1.1

HTTP/1.1 400 Bad Request
Date: Sun, 21 Apr 2013 13:56:14 GMT
Server: Apache
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1
Journalisée

Les épreuves de hack de NC sont trop faciles ? Et pourtant ! Bienvenue dans la vraie vie : http://thedailywtf.com/Articles/So-You-Hacked-Our-Site!.aspx
Cisco
Profil challenge

Classement : 31051/49528

Néophyte
*
Hors ligne Hors ligne
Messages: 7


Voir le profil
« #11 le: 21 Avril 2013 à 17:31:48 »

Dès que je met justement cette commande : " GET www.site.com/admin/admin.php HTTP/1.0 " dans Telnet
ensuite Telnet me retourne par une phrase sur le logiciel que c'est une commande invalide, sans autres indications.
Cette commande lui semble invalide ( Telnet ) : " GET www.site.com/admin/admin.php HTTP/1.0 ".
Journalisée
_o_
Relecteur

Profil challenge

Classement : 32/49528

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 1256


Voir le profil
« #12 le: 21 Avril 2013 à 17:54:50 »

De nouveau des phrases sans queue ni tête. Tu as décidé de faire en sorte qu'on ne réponde pas à ta question ? Tu ne dis pas comment tu lances telnet (mais à la vue des résultats, je suppose que tu cliques sur une icône). Tu ne dis pas à quel endroit et/ou comment tu tapes «GET ...» (mais il est clair que ce n'est pas au bon endroit).

Tu as indiqué à telnet sur quel serveur et à quel port se connecter ?
Et tu as essayé la commande help ?
Tu as essayé de trouver une doc ?
Tu sais ce que sont le protocole telnet et un client telnet (non, ce n'est pas la même chose) ?
Tu sais ce que tu cherches à faire ?
Journalisée

Les épreuves de hack de NC sont trop faciles ? Et pourtant ! Bienvenue dans la vraie vie : http://thedailywtf.com/Articles/So-You-Hacked-Our-Site!.aspx
wiwiland
Beta testeur

Profil challenge

Classement : 84/49528

Membre Complet
*
Hors ligne Hors ligne
Messages: 175


Voir le profil
« #13 le: 22 Avril 2013 à 11:12:43 »

the lsd : Désolé, je n'avais pas vu le lien avec les challenges (ce qui est plutôt débile), je pensais que c'était une question plutôt généraliste. Merci d'avoir modéré mon post.
Journalisée
Pages: [1]
  Imprimer  
 
Aller à: