[Asteriksme]

Bonjour, je t'ai modéré, t'en disais un poil trop (remarque, vu comment le forum d'aide est rempli, je me demande si c'était bien nécessaire...) Pour les questions que tu te poses, sache que tu es sur la bonne piste, au niveau de la faille à exploiter, mais il ne faut pas le faire comme tu le penses, c'est un peu plus compliqué que ça. Mais je suis sûr qu'en lisant le forum en entier tu vas trouver ce qu'il faut faire Bonne chance.

[zouzou13]

Oui c'est pour cette raison que j'ai un peu dévoiler

Oui ca semble plus compliqué je tiens à féléciter le créateur du jeux !!
Y A t-il des tutos sur NC concernant mon probléme ? sinon bha je lirais le forum

Cordialement

EDIT: ce qui me fait rire c'est qu'en lisant tout le forum, j'ai constaté que la plupard parvenait à afficher une alert() alors que pour moi c'est tout simplement impossible ! si seulement je parvenais à récupérer une alert je pense pouvoir poursuivre ce jeux !mince

[radhan]

Rah ! Je sais que c'est tout con mais je dois loupé quelque chose.
J'arrive à faire une alerte tout marche bien j'ai le message, mais je n'arrive pas à afficher mes propres gâteaux, j'ai hébergé mon script pour récupérer le gâteaux du bot, je pense avoir bien emballé le tout lors de l'envoie par mail mais je suis automatiquement rediriger vers mon script après qu'on m'ait dit que le message a bien été envoyé, et je reçois un gâteaux vide...
J'ai du raté quelque chose, je pense être tout proche.
En passant merci à Nms pour cette superbe épreuves ! Vraiment réaliste et je comprends qu'elle puisse être très fréquente.

Edit: c'est bon >< je suis un boulet !

[hypnose]

Salut tout le monde

Bon alors cette épreuve me donne bien du fil à retordre..
Je sais qu'il faut faire une alert de type X**. Ensuite quand on a réussi à la faire il faut faire en sorte de récupérer le gâteau du BOT.

Ce que je voudrais savoir c'est :

- Si le script que j'ai est valide (donc si quelqu'un peut me le confirmer via msn par exemple ou directement ici, mais je ne pense pas que cela soit possible)
- Si il faut encoder le message à envoyer dans le mail ?

Je doute que ce genre de questions aient une réponse mais je préfère quand même essayer. Car après des jours passés sur cette épreuve et des heures à rechercher des informations sur la faille je n'aboutis à rien..  

[radhan]

Hypnose, je ne peux te répondre à ton message privé car je n'ais pas assez de points ><
Envoie moi ton mail par message privé si tu veux.

Un petit indice pour le moment : N'oublie pas que l'épreuves est simulée, même si très réaliste.

[florent]

Bonsoir, alors je me suis enregistré hier soir sur le site NC, et j'ai galéré sur celle la.

Alors il faut savoir que l'épreuve est vraiment intéressante, mais peut être difficile suivant le matériel utilisé.

Comprendre le fonctionnement est très simple étant donné le nombre de messages sur le forum, donc rien que en ayant le nom de la vuln c'est facile à résoudre* (et même sans regarder le forum vous devriez vous douter du truc)

*facile si on utilise le bon matériel, car si vous utilisez chromium sous linux vous ne vous en sortirez pas (probablement idem avec google chrome sous windows) j'ai donc passé un bon moment à tester des choses qui ne fonctionnent juste pas sous chromium.
(chromium 13.0.782.220 (Build de développement 0 Linux))

Alors que sous firefox le test est fonctionnel ducoup en deux temps trois mouvements l'épreuve est bouclé.

[S0410N3]

C'est quoi l’intérêt d'utiliser un navigateur pour résoudre ce genre d'épreuve ? Surtout à l'heure actuelle...
On ne sait même plus si il interprète ou pas ce qu'on lui passe en url (et même par derrière... slurp), et ça ne date pas d'hier...
Autant forger ses requêtes en dur pour être sûr non ?

[nado]

C’est moi ou amanda est down ? J’ai pas accès non plus aux autres épreuves sur le port 10080.

[_o_]

La machine virtuelle se porte très bien, merci pour elle. Par contre, elle est plutôt du genre anonyme, quoiqu'en pense /etc/services.

[nado]

Ok, donc c’est un problème de config, j’en prends note. Merci.

Edit : tout con, j’essayais d’y accéder en https…

[zibus]

Hello,

je pige pas trop où aller sur cette épreuve, j'arrive à faire de l'alert("toto") , de la redirection de page ... mais je ne vois pas bien la finalité.
Il est évident qu'on peut modifier le source (vu que les alerte marchent) mais après ?
Est ce que le fait de réussir à passer du code va me servir ou bien vais je dans la mauvaise direction (voire dans le mur !) ?

Merci.

 

[sending13]

Perso j'ai mis un moment à la trouver celle-ci! Pas si evidente!

Disons que si tu as vu que la source était modifiée, alors regarde encore y a un truc que t'as pas du voir...

[zibus]

Perso j'ai mis un moment à la trouver celle-ci! Pas si évidente!

Disons que si tu as vu que la source était modifiée, alors regarde encore y a un truc que t'as pas du voir...

Ben disons que j'ai l'impression d'avancer , j'ai même eu droit au "Bien vu! Mais ce n'est pas en ....." ce qui est tout à fait vrai d'ailleurs !
Le problème c'est que passer un lien vers mon site perso hébergeant un grabber pour récupérer à manger ,il ne se passe rien ... donc j'en conclus que ça n'est pas la bonne méthode .?... ou bien ma syntaxe est foireuse ... ou bien ma DEMARCHE est foireuse ???

[sending13]

La démarche est la bonne, la persévérance ! 

Le but étant de récupérer le cookie, mais pas le tien! 

[zibus]

Oui ça j'ai bien compris que ça n'était pas le mien, sinon un simple plugin de Firefox suffirait et puis c'est le cookie de l'admin qui ouvre la porte, c'est explicitement dit.
Apres il me reste a trouver la syntaxe qui va être interprétée par l'épreuve comme pouvant conclure à une réussite (vu que c'est de la simulation), mais faire une redirection vers mon site perso n'est pas interprété comme pouvant réussir donc je vais tenter autre chose...