logo Homepage
Pages: 1 [2] 3 4 ... 15
  Imprimer  
Auteur Fil de discussion: [Hacking - Toujours réfléchir... ...avant d'agir] Felicitations  (Lu 137285 fois)
Nms

Profil challenge

Classement : 74/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 794


Voir le profil
« #15 le: 02 Mars 2006 à 10:39:39 »

A mon avis, il n'y a pas d'erreur ds le code, regarde bien la source complète du passage en question :

Code:
$sql = "SELECT password FROM tadmin WHERE pseudo='".$login."'";
$req = mysql_query($sql) or die($sql."<br />".mysql_error());

// Si le login n'existe pas dans la base, on envoie sur une page d'erreur
if (mysql_num_rows($req) == 0)
{
header("Location: ./erreur_login.htm");
mysql_close();
return;
}
else
{
$rep = mysql_fetch_array($req, MYSQL_ASSOC);
}

// Sinon on compare le pass fourni avec celui de la base
if ($pass != $rep["password"])
{
$rep est bien défini avec le mysql_fetch_array. Donc amha il n'y a pas d'erreur
Pr ton autre méthode, envoie la moi par mail, je te dirai si c faisable ou pas. Si je penses à la même que toi, alors oui effectivement cela aurait pu être une autre méthode plus rapide, mais je l'ai bloquée volontairement :p
Dis moi ça par mail, je te dirai si on parle de la même idée.

P.S. : register_globals est activé sur free
Journalisée

Ex Newbie Contest Staff :
Nms
Status :
Concepteur d'épreuves
Citation :
Je ne sais qu'une chose : que je ne sais rien. (Socrate)
phoenix1204

Profil challenge

Classement : 75/54254

Membre Complet
***
Hors ligne Hors ligne
Messages: 105


Voir le profil
« #16 le: 02 Mars 2006 à 22:29:40 »

Milles excuses Nms... je devais etre bien fatigue a la fin de la resolution de ton epreuve Tu as entierement raison !!

Je viens de t'envoyer un mail...
Journalisée

___________________________________________________
In God we Trust -- all others must submit an X.509 certificate.
Nms

Profil challenge

Classement : 74/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 794


Voir le profil
« #17 le: 03 Mars 2006 à 00:07:47 »

... et je viens de te répondre!

Pas de pb pour l'erreur, ça arrive à tout le monde!
Journalisée

Ex Newbie Contest Staff :
Nms
Status :
Concepteur d'épreuves
Citation :
Je ne sais qu'une chose : que je ne sais rien. (Socrate)
TranceFusion
Profil challenge

Classement : 18283/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 1


Voir le profil
« #18 le: 03 Mai 2006 à 21:21:01 »

Je ne comprends pas... J'en suis à la 15 (j'ai validé la 14) et appramment les unions et les natural join ne marchent pas. C'est normal ?
J'ai juste réusssi a utiliser les opérateurs vraiment basique comme OR, AND et COUNT
Le serveur serait-il trop vieux pour ne pas supporter ce fabuleux opérateur qu'es UNION ? (et qui permettrait d'obtenir le pass en une seule requete...)
Journalisée
Ge0

Profil challenge

Classement : 16/54254

Membre Senior
****
Hors ligne Hors ligne
Messages: 377


Voir le profil WWW
« #19 le: 05 Mai 2006 à 09:28:52 »

Moi j'ai pas validé la 15, mais je sais qu'il faut pas utiliser l'UNION (une autre épreuve est faite pour ça).
J'ai eu un indice de Roman0, il m'a dit qu'il fallait brute forcer à la légère.
J'ai parfaitement compris de quoi il parlait mais je n'arrive pas à brute forcer car ils me disent login incorrect quand je fais mon injection dans le login...
Quelqu'un a-t-il un article intéressant qui peut me mettre sur la voie ? Mercii
Journalisée
waganono
Profil challenge

Classement : 205/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 26


Voir le profil
« #20 le: 11 Mai 2006 à 20:54:54 »

Salut

Je galère un peu pour la 14, en fait j'ai compris le petit truc, je forge mon cookie et mon login d'une manière spécial et alorsje détecte une erreur classique.
Mais l'epreuve dit qu'on peut valider sans exploiter à fond la faille. Donc je suis un peu perdu pour valider l'epreuve et passer à la 15 qui consiste à exploiter
le petit truc d'avant.
Journalisée
waganono
Profil challenge

Classement : 205/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 26


Voir le profil
« #21 le: 11 Mai 2006 à 21:05:40 »

J'ao oublié de préciser que j'ai réussi aussi à trouver un compte valide.
Journalisée
Wizzer
Profil challenge

Classement : 814/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 14


Voir le profil
« #22 le: 29 Mai 2006 à 20:42:24 »

Félicitations pour cette belle paire d'épreuves. Je viens de terminer la 15 à la main je suis complètement naze. Si quelqu'un la réussi avec un script j'aimerais bien qu'il prenne contact avec moi car ca m'intéresse.
Journalisée
alph1

Profil challenge

Classement : 53/54254

Membre Complet
***
Hors ligne Hors ligne
Messages: 178


Voir le profil
« #23 le: 08 Août 2006 à 14:42:14 »

Bravo pour ces épreuves !!!
Journalisée

Physics is like sex. Sure, it may give some practical results, but that's not why we do it. (Richard P. Feynman)
the lsd
Administrateur

Profil challenge

Classement : 189/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #24 le: 11 Août 2006 à 07:39:52 »

Ouf enfin finie ! Ca m'a pris une journee pour trouver ce p****n de mdp, a la main, certains sont temoins .

Maintenant qu'elle est finie quelqu'un pourrait me passer son script pour me degouter un coup ??

En tout cas bien joué Nms pour ces epreuves

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Gardel

Profil challenge

Classement : 668/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1012


Voir le profil
« #25 le: 12 Août 2006 à 18:21:45 »

Voila fini la 15 moi aussi

Ces épreuves étaient super réalistes, encore bravo à nms !!
Journalisée

Selon le postulat que les filles, c'est du temps accordé et de l'argent dépensé : Filles = Temps . Argent
Et comme chacun le sait, "le temps c'est de l'argent", donc : Temps = Argent
Par conséquent : Filles = Argent . Argent
Et parce que, "l'argent est la racine du mal" : Argent = sqrt(Mal)
On en déduit que : Filles = sqrt(Mal).sqrt(Mal)
Force est de constater que : Filles = Mal
Chilly
Relecteur

Profil challenge

Classement : 266/54254

Membre Senior
*
Hors ligne Hors ligne
Messages: 307


Voir le profil
« #26 le: 12 Août 2006 à 21:23:03 »

youpi j'ai trouvé  ! à la main aussi...
Journalisée

Non au langage SMS !!! http://sms.informatiquefrance.com
NiklosKoda

Profil challenge

Classement : 162/54254

Membre Complet
***
Hors ligne Hors ligne
Messages: 113


Voir le profil
« #27 le: 12 Août 2006 à 21:34:22 »

bon ba j'en remet une couche

un grand bravo a Nms pour cette epreuve en 2 parties.
vraiment tres instructive et realiste.

(ptin le md5 c'est long...)
Journalisée
yakamoneyee

Profil challenge

Classement : 1645/54254

Membre Complet
***
Hors ligne Hors ligne
Messages: 130


Voir le profil WWW
« #28 le: 18 Août 2006 à 17:16:39 »

ouf.. jviens de la réussir... en une heure... et à la main! si quelqu'un pourrait m'envoyer son script pas mess histoire de me dégouter un coup ce serait cool .

yakamoneyee
Journalisée

Diuuude
Profil challenge

Classement : 1915/54254

Néophyte
*
Hors ligne Hors ligne
Messages: 20


Voir le profil
« #29 le: 18 Août 2006 à 19:09:29 »

Pour la 14, je vois bien ce qu'il faut faire, mais impossible de trouver ce qui à réellement été émulé... un indice ?
Journalisée
Pages: 1 [2] 3 4 ... 15
  Imprimer  
 
Aller à: