[SeVeN]

est-ce une bonne idée de faire du reversing sur cette fonction ?

Moui ca s'avere etre une très bonne idée

Tu peux developper ?

[Invit]

Tu peux developper ?

Ben justement c'est l'inverse

Bon ok...

[eldergob]

Bonjour tous le monde,

Bon j'essaye de brute forcé cette épreuve. Donc j'ai refait un page html avec le bout de javascript que j'ai modifié. Et donc j'ai quelques boucles pour générer le login et le tester.

Je lance ma page et le script mais Firefox m'interromps toutes les 10s avec une alerte parce que le script mais trop de temps à s'executer.

Y a-t-il moyen de neutraliser cette limite de temps.

Merci d'avance.

[zours]

Tu veux un conseil ? Ne fais pas en JS. Par définition, le bruteforce a besoin de rapidité pour pouvoir tester le maximum de possibilités. Avec du javascript, tu vas vraiment te faire mal...

[eldergob]

Bon google est notre meilleur ami .

Je répond à ma propre question:
1) Dans la barre d'adresse on tape: about:config
2) On cherche: dom.max_script_run_time
3) On double clique dessus et on le mets à 0.

Pour ce qui est de la vitesse, le JS me semble correct. Je fais afficher le login généré dans le champ login du formulaire . Et çà tourne assez vite à mon gout.

Et puis j'ai fait quelques test à la main avant pour voir les checksum générées pour essayer de réduire les possibilités. Du brute forcing intelligent quoi!

[Invit]

Il te semble mal puisque quels que soient les paramètrages de ton navigateur le JavaScript reste un langage interprêté, en l'occurence il existe énormément de solutions vérifiant l'algorithme et il s'agit de repérer la bonne à la main (il ne s'agit clairement pas de faire un brute-forcing directement sur le site, je re-re-re-précise au cas où, sait-on jamais.. Mais à priori puisque tu fais un brute-forcing "intelligent" tu as du le comprendre, ne serait-ce qu'en lisant les 11 pages du thread concernant la JS8 )

Le JavaScript te convient donc bien parceque tu as une machine rapide, sans quoi la solution la plus intelligente reste de faire un petit code en C/C++/Pascal/ASM/autre.. un langage compilé quoi..

D'autres part zours te répond en pensant bien faire, il prend un peu de temps pour te répondre t'es pas obligé de le zapper comme s'il disait une connerie.

cleverness--;

BufferBob.

ps : Y'a une faute dans ton bled, petite dédicace amakliclao, STH et Albert juste derrière où j'ai usé mes frocs & mes profs, où Prost m'a coursé sur la coursive, Pierrot pété la porte et Paul Vaillant vu dévaler Valo, J'ai toujours pas hacké Cézanne mais j'ai ces années à coeur.</dadykass>

[eldergob]

Je m'excuse platement si mon post à sembler zapper zours mais il me semble pas puisque je lui répondais à propos de la vitesse de javascript. J'avais très bien compris sa suggestion, pleine de bon sens, mais comme je suis le roi des flemmards je préférais modifier un script et le faire tourner sur mon navigateur plutôt que d'aller chercher un compilateur C, l'installer, modifier le script javascript pour le faire touner en C, etc...

De toute manière, il va quand même falloir que je le fasse parceque Firefox plante si on veut faire autre chose pendant que le script tourne (changer d'onglet, passer sur une autre application).

Et puis mon post avec la réponse à ma propre question était plutôt là pour faire profiter autres des connaissances que j'avais acquis en essayant de résoudre cette épreuve (c'est bien le but de ce site, non?)

Et effectivement, je ne brute force pas directement sur le site mais sur un page html/javascript que je me suis créée (j'ai pas envie de me manger un ban moi ).

[theverglades]

Bonsoir,

J'ai un peu le même soucis que eldergob...
J'ai codé mon BF en php, mais au bout d'un certain temps mon navigateur s'arrête alors que toutes les combinaisons n'ont pas été testées... Je ne pense pas que cela vienne du code (même si on est jamais à l'abri d'une erreur..)

Si quelqu'un dispose d'une idée (ou d'une solution ) , je veux bien qu'il la partage avec moi...

Merci.

[Zmx]

Oui, execute ton PHP en tant que script, et pas en tant que page Web.

[akhenathon]

en clair execute en ligne de commande parce qu'il n'y a pas de limite de tps et que c'est quand meme bcp mieux de faire ce genre de script en CLI que en tant que page web

[S0410N3]

Sinon faut mettre max_execution_time = 0 dans php.ini.
Il y a aussi un paramètre de timeout dans la config d'apache (httpd.conf : Timeout 0).

Mais je plussoie pour l'utilisation cli.

[akhenathon]

sinon tu peux aussi faire
set_time_limit(0);

[Nms]

Si tu n'as pas envie de tripatouiller le fichier php.ini, colle juste ceci au début de ton script :
ini_set("max_execution_time", "0");
A condition bien sûr que la fonction ini_set ne soit pas désactivée, ce qui n'est pas le cas chez Free par exemple.
Mais il va de soi que si tu veux coder tes scripts de résolution en php, il ne faut surtout pas les faire tourner chez un hébergeur. Installe Apache chez toi, ou php tout seul si tu ne veux l'utiliser qu'en cli.

[Nc_Magus]

j'ai essayé un véritable brute force en c++ (de ma création), apres une bonne journée, je n'avais fait que le cinquieme de toutes les possibilités, et j'avais deja des centaines de password "possible" . Donc j'ai arreté cela et j'ai tenté une approche par Dictionnaire, celui ci comprends pres de 85 000 mots en francais (sans accent) et aucun ne reponds a l'algorithme donc la je sais pus trop. Dois-je trouvé un dictionnaire plus complet? ou encore d'ajouté les mots qui comporte des accents et simplement retiré l'accent (donc é devient e) ? ou alors ce n'est pas un mot francais et ma technique est tout simplement désespérante? Aidé moi, sinon je sens que mon ordinateur va aller faire du saut en parachute ... sans parachute

[zours]

Bon...

Alors, si ton bruteforce est correct, il va te renvoyer un paquet de résultats. Mais pas trop pour qu'ils ne puissent être traités par un oeil humain (mine de rien, ça va super vite de parcourir cent lignes).

Donc, une fois que tu as tes résultats, tu les épluches et tu retiens tout ce qui te semble pas incohérent (genre "qljfsh").
Il t'en restera éventuellement une petite poignée, mais vraiment peu, donc de quoi tester lequel fonctionne.

Mais c'est vrai que c'est pas ce qu'il y a de plus évident, et qu'on nage un peu en eaux troubles