[Asteriksme]

J'ai aussi lu le post, c'est vrai que t'en disais beaucoup trop, cependant t'es pas si mal parti que ça, t'as juste plus qu'à comprendre à quoi sert 'ce qui doit bien servir à quelque chose' dont t'as pas encore trouvé l'utilité, faire des tests pour voir comment le tout se comporte, et tu devrais en venir à bout. Je répondrai pas à ta question parce que honnêtement déjà je me souviens plus bien de ta question, mais en plus si c'est ce que je pense présentement suffit de quelques essais pour trouver, si le reste est bon.
Bonne chance

[movgro]

merci beaucoup   en me recreusant les méninge j'ai compris pourquoi je n'arrivait pas a faire s'exécuter le script en java
mais je n'y arrive toujours pas  
pourtant j'y suis arrivé sur beaucoup beaucoup de site notamment /* moderated par the lsd : tu fais ce que tu veux, tu es assez grand pour savoir ce qui est légal ou pas, mais pas de lien ici */ (pour ne pas citer XD) il été fier le gas  
(d'ailleurs il faudrait peut être les prévenir lol)

j'ai mit d'autre caractère que ceux que l'on voit partout pour les failles *** car certains sont réecri en h***
mais la je voit vraiment pas comment  formuler rien qu'une bette alerte et j'ai vraiment essayé beaucoup de codes différent
j'ai juste remarqué que certain script que j'ai inséré sur l'épreuve permetté de bien les retranscrire dans le code source en ne les intégrant pas dans la p****.j**
et les caractère deviennes rouge, mais cela ne s'éxecutte toujours pas
et je sens que je vais partir en dépression   j'ai du exécutée plus de 2000 script mais sans aucun résultat  

tu ne pourrai pas m'envoyé un mp pour discuter et m'aider a avancé le schmilblik car j'ai réellement compris cette faille et son utilité et j'aimerai vraiment passer a la suite de cette épreuve  

mon probleme c'est juste une question de forme et pas de compréhension

merci d'avance  

[Olcan]

Contrairement à ce qui a été dit avant, il n'est absolument pas nécessaire de posséder un hébergement web quelconque.
En effet, le script php derrière le challenge n'établit aucune connexion vers l'extérieur (ce serait d'ailleurs une grosse vulnérabilité si c'était le cas), il se contente de "faire comme si", et si le payload envoyé est correct, ce qui doit arriver arrive...

En ce qui me concerne, j'ai émulé le serveur externe avec un truc du genre www.example.com (RFC 2606)

[Barti]

En effet, le script php derrière le challenge n'établit aucune connexion vers l'extérieur (ce serait d'ailleurs une grosse vulnérabilité si c'était le cas)

Ah bon et pourquoi ? Si la faille est simulée il n'y a aucun problème comme pour toutes les épreuves de hacking.

[Olcan]

En effet, le script php derrière le challenge n'établit aucune connexion vers l'extérieur (ce serait d'ailleurs une grosse vulnérabilité si c'était le cas)

Ah bon et pourquoi ? Si la faille est simulée il n'y a aucun problème comme pour toutes les épreuves de hacking.

Tout simplement parce qu'il serait alors possible d'envoyer quasiment n'importe quelle requête (y compris des requêtes malveillantes) vers n'importe quel site. Et dans les logs du serveur "victime", il y'aurait l'IP de NC. Ce serait un peu ballot, non ?

[Barti]

 

Tout simplement parce qu'il serait alors possible d'envoyer quasiment n'importe quelle requête (y compris des requêtes malveillantes) vers n'importe quel site.

J'imagine que les auteurs de l'épreuve auraient mis en place une sécurité parant ce genre de choses ça ne doit pas être bien compliqué, une simple regex peux résoudre ce problème.

[lanstrac]

salut ! bon si deja je tombe sur la jolie collection de portes je suis sur la bonne voie ?? 

[seap]

Première fois que j' ai autant de mal avec une épreuve ou j' ai pourtant tous les éléments...

Je sais quelle  est la faille et comment l' exploiter.

J' ai réussi a lancer ce que je voulais en ouvrant la porte .

Il me semble que mon seul problème est dut au fait que le bot ne veut pas de mon fichu lien que je lui envoi ...
pourtant je me suis envoyé un e-mail , et j arrive a faire ce que je veux .

Je tourne en rond   

[Asteriksme]

Salut,

On a bien vu que ça marchait du tonnerre ! mais même pour avoir un joli lien prêt-à-cliquer, le forum est pas fait pour ça donc la prochaine fois trouve un autre moyen please.

Relis bien le topic, je suis sûr que plusieurs posts parlent de ce à quoi il faut faire attention pour que ça marche. Garde à l'esprit qu'il s'agit d'une faille simulée (comme "l'injec SQL") donc ce qui marche chez toi ne marche pas forcément ici. Mais sois rigoureux, et tu devrais trouver.

Non on ne t'enverra pas le pass !

[neroptik]

Relis bien le topic, je suis sûr que plusieurs posts parlent de ce à quoi il faut faire attention pour que ça marche. Garde à l'esprit qu'il s'agit d'une faille simulée (comme "l'injec SQL") donc ce qui marche chez toi ne marche pas forcément ici. Mais sois rigoureux, et tu devrais trouver.

J'ai lu des pages , mais ça ne m'a pas vraiment aidé
mais please ne me dis pas que c'est prédéfinies : genre les espace compte , les On****  ...?

Pour finir  si tu pouvais répondre a ses questions:

-Est-ce du PhpBB ou juste HTML?(essayé mais marche pas)
-le Bot cliquera-il sur un lien hyper text (<a href=""></a>) ou il faut du JS aussi ?(essayé mais marche pas
)

merci

Apparemment tu ne lit même pas les phrases que tu quote. La faille est simulée donc pas de bot et il n'y a pas une infinité de bonnes réponses (pour peu que le maching soit un peu restrictif).
A propos de phpbb et html je ne comprends pas la question Oo.

[Horusyk]

La faille est simulée donc pas de bot et il n'y a pas une infinité de bonnes réponses

L'un n'empêche pas l'autre! Enfin bon si c'est comme le SQl ou j'ai mis 3 h a chercher la réponse alors qu'il avait juste un espace de moins.... ça ne m'intéresse pas , j'ai autre chose a apprendre ! surtout que là , ya plusieurs évènement , plusieurs espace et autre facteur(mettre des guillemet  ou des &quote;  ou le tout en caractere Hex...).chercher la vrai réponse alors qu'en la deja , je ne pense pas que ça soit bénéfique en quoi que ce soit

En tous cas , j'ai bien aimé cette épreuve ! lJ'ai appris des choses théorique et pratique, surtout le fait de chercher une faille , et savoir comment l'exploiter .C'est un peu facile car on sait que ya une faille , alors que en vrai ...^^

j'en ai terminé avec celle là , même si je ne valide pas !

A propos de phpbb et html je ne comprends pas la question Oo.

Bah du PhpBB (BBCode)c'est comme ce forum balise en "[][]" , alors que html c'est "<><>"

[clavats]

Bonjour à tous, c'est mon 1er post dans la parte aide, je me suis pourtant farcie les 10pages précedente mais j'ai tout de même une question:

-C'est donc une faille X** si j'ai bien compris j'aissai de la faire sur /* modéré : tu en dis trop */, or quand je regarde le code source de index ou l'url de contact.php certain caractère sont remplacer, c'est sans doute fait ex-prêt mais je ne vois donc pas comment faire je cherche cherche....

-il est possible de mettre du javascript dans un /* moderated par the lsd : hmmm je suis plus très sur, mais je crois que ca pourrait aider pour la résolution de l'épreuve (excuse moi sinon). En tout cas, pour avoir ta réponse, le mieux est d'essayer, non ?*/ ?

Merci

[marcel13]

Bonsoir, juste besoin de quelques eclaircissements:

J'arrive à provoquer l'affichage d'un gateau que je n'ai pas , c'est normal.

Je peux donc potentiellement dérober le gateau de l'admin si ce dernier clique sur une url forgée par mes soins. Si j'étais dans une situation réelle, je saurai être patient pour attendre un retour d'action de sa part via un script-cgi hebergé par mes soins mais ici l'épreuve étant simulée, comment est-ce géré en coulisse ?

Merci.

[D3vFreak]

J'ai trouver la faille il ne reste plus qu'a l'exploiter cette porte à de multiplesfacettes.

[memedinov]

Bonjour à tous !

Premier post pour moi sur le forum  

J'ai compris comment m'attaquer à la faille et à l'exploiter mais je suis toujours bloquer sur la partie 1
mon soucis est le même que le post  #136

je cite :" j'ai mit d'autre caractère que ceux que l'on voit partout pour les failles *** car certains sont réecri en h***
mais la je voit vraiment pas comment  formuler rien qu'une bette alerte et j'ai vraiment essayé beaucoup de codes différent
j'ai juste remarqué que certain script que j'ai inséré sur l'épreuve permetté de bien les retranscrire dans le code source en ne les intégrant pas dans la p****.j**
et les caractère deviennes rouge, mais cela ne s'éxecutte toujours pas
et je sens que je vais partir en dépression   j'ai du exécutée plus de 2000 script mais sans aucun résultat"

Je ne cherche pas à avoir la solution mais plutôt une orientation sur de la bonne doc pour outrepasser ce probleme de P****
j'entre pas dans les details par peur de spoiler si vous voyez ce que je veux dire

Cela fait 1 semaine et demi  que je suis sur l'épreuve j'ai effectué de bonne recherche sur google, lus de nombreux tutoriaux entre autre ceux de newbiecontest qui m'ont aider à bien avancer mais la je bloque.

Donc si un admin ou une personne ayant réussi à faire une simple alerte pouvais m'aider à m'orienter en mp pour que je puisse lui dire en details ou j'en suis sans flooder sur le fofo

Bonne journée et bonne chance à tous !