|
wiser
|
 |
« le: 23 Juillet 2005 à 15:26:36 » |
|
Salut à tous,
Je me permets de vous demander de l'aide pour passer l'épreuve n°8...
Manisfestement, elle est la plus difficile du challenge JavaScript dans la mesure ou seules 33 personnes sont parvenues à la valider...
De mon côté, j'ai décortiqué le JavaScript, mais ca ne donne rien : il y a trop d'inconnus à mon goût (à commencer par la variable n, comment deviner qui du login ou du mot de passe sera le plus long ?)...
Si quelqu'un pouvait gentiment me mettre sur la voie...
Merci !!!!!!!
A+
|
|
|
|
|
Journalisée
|
|
|
|
|
|
Invit
Invité
|
|
« #1 le: 23 Juillet 2005 à 17:48:52 » |
|
Ben moi je crois que c'est un login de 6 caractères.
Mais je ne sais pas si c'est vraiment ça.
Je butes aussi sur celle-la.
|
|
|
|
|
Journalisée
|
|
|
|
|
|
wiser
|
|
« #2 le: 23 Juillet 2005 à 18:00:05 » |
|
Ouai, pour essayer d'inverser l'execution du JavaScript, je pars aussi du principe que n vaut 6 mais ca ne me donne pas grand chose...
Espérons que quelqu'un pourra nous guider...
|
|
|
|
|
Journalisée
|
|
|
|
|
|
Invit
Invité
|
|
« #3 le: 24 Juillet 2005 à 08:38:07 » |
|
Salut tout le monde,
Je coince aussi sur celle-là et **No Sms** seule quime manque pour les javascripts !!! J'ai un peu la flemme (et pas le processeur) pour faire 6 boucles imbriquées sur 90 caractères à peu près. La méthode brute force, c bien quand on a une super bécane ...
Au moins le nb de caractères serait charitable ...
Bon courage tout le monde !
|
|
|
|
|
Journalisée
|
|
|
|
|
|
wiser
|
|
« #4 le: 24 Juillet 2005 à 11:54:00 » |
|
Ben je pense que c'est ce que je vais finir par faire...  Je pense pourtant qu'il doit bien exister une méthode plus subtile, mais je ne la trouve pas  Donc, je vais encore poser la question à un collègue du boulot qui s'en sort plutôt bien avec ce genre de petit jeu, mais si lui ne trouve pas, ce sera la force brute. Cela dit, ca va me titiller de ne pas trouver la bonne méthode. M'enfin... |
|
|
|
|
Journalisée
|
|
|
|
|
|
Invit
Invité
|
|
« #5 le: 24 Juillet 2005 à 16:18:02 » |
|
brute force obligatoire  |
|
|
|
|
Journalisée
|
|
|
|
|
|
ddelec24
|
|
« #6 le: 24 Juillet 2005 à 16:42:14 » |
|
meme avec un petit pross, on doit trouvé la réponse assez rapidement. Effectivement, 6 caractères, et c'est un mot de passe que quelqu'un pourrais avoir, pas "éç_(s donc ca fait quelques solutions en moins  |
|
|
|
|
Journalisée
|
#futurezone on irc.worldnet.net
|
|
|
|
|
wiser
|
|
« #7 le: 24 Juillet 2005 à 17:13:51 » |
|
Ben en fait, selon moi, y a 2 possibilités :
- soit on garde l'ensemble des valeurs qui nous sont fournis dans le tableau "tab" (qui contient 76 caractères...), et on décide de ne pas définir la longueur du login, auquel cas, on est sûr de trouver la bonne réponse, mais effectivement le temps de calcul peut être un peu long
- soit on décide le réduire le tableau "tab" en retirant tous les caractères qui ne sont pas susceptibles de faire partie du login, on peut aussi choisir de manière completement arbitraire que le login fait 6 caractères, auquel cas, nous ne sommes absolument pas certains de trouver le login car rien ne nous le garantit, en revanche le temps de calcul sera forcément réduit.
Les bourrins, à vos claviers !
|
|
|
|
|
Journalisée
|
|
|
|
|
|
Invit
Invité
|
|
« #8 le: 25 Juillet 2005 à 07:52:03 » |
|
Arfff... Je savais po qu'on pouvait brute-forcer les niveaux, bah du coups... En cherchant dans le code on s'aperçoit effectivement que le bazar est validé par une fonction mathématique, laquelle possède à mon avis (j'ai pas posé l'équation loll) plusieurs solutions, sans parler des solutions 'abérantes' pour un nom de page, y a-t-il autant de pages html disponibles sur le serveur qu'il y a de solutions* ?  - je vais pas me prononcer plus là dessus - Là pour moi ça ressemble surtout à un effet de bord qu'avait pas été prévu par le(s) developpeur(s) de cette épreuve, mais ça a l'avantage de prouver que c'est une bonne méthode pour sécuriser un accès uniquement en JavaScript  (Le but c'est de finir le jeu ou de comprendre un max de choses ?) Donc effectivement, - uniquement - dans le but de valider le nivo, un brute-forcing s'avèrera à mon avis plus vite payant malgré tout (si on part du principe qu'on est pas au courant que le login fait 6 caractères alphanum, et encore plus vite si on en tient compte lol) |
|
|
|
|
Journalisée
|
|
|
|
|
|
Invit
Invité
|
|
« #9 le: 25 Juillet 2005 à 18:00:05 » |
|
En effet il y a plusieurs réponses possibles.
Mais j'ai pas encore trouvé la bonne pour la page.
Personne ne connaîtrait comment désactiver le Warning Script sous Firefox:?:
|
|
|
|
|
Journalisée
|
|
|
|
|
|
popop
|
|
« #10 le: 26 Juillet 2005 à 19:49:30 » |
|
mais il doit bien y avoir un moyen de passer les épreuves sans brute force parce que le but de ce challenge n'est pas de savoir qui a le meilleur brute force mais de tester ses propres capacité de hacker donc je suggere de continuer a cherché.De plus il n'y a aucune satisfaction a reussir a trouver un pass de cette maniere car en realiter c'est le logiciel qui fait tout pour vous ...
|
|
|
|
|
Journalisée
|
|
|
|
|
|
Invit
Invité
|
|
« #11 le: 26 Juillet 2005 à 20:00:57 » |
|
mais il doit bien y avoir un moyen de passer les épreuves sans brute force parce que le but de ce challenge n'est pas de savoir qui a le meilleur brute force mais de tester ses propres capacité de hacker donc je suggere de continuer a cherché.De plus il n'y a aucune satisfaction a reussir a trouver un pass de cette maniere car en realiter c'est le logiciel qui fait tout pour vous ...  Quel logiciel, ici on parle de javascript. Donc dans le cas de brute force on doit remanipuler le script pour qu'il nous sortes les réponses possibles. D'ailleurs je ne connais pas d'exe capable de faire du brute force sur du javascript.  |
|
|
|
|
Journalisée
|
|
|
|
|
|
popop
|
|
« #12 le: 26 Juillet 2005 à 20:10:03 » |
|
non je me suis tromper mais meme l'idee du brute force n'est interressante je prefererais trouver sans mais bon si vous voulez le brute forcer vous faite se que vous voulez
|
|
|
|
|
Journalisée
|
|
|
|
|
|
Invit
Invité
|
|
« #13 le: 27 Juillet 2005 à 17:15:40 » |
|
moi **No Sms** **orthographe !** **No Sms** je vi1 just de mi mettre **orthographe !** si en a qui peuvent me donner des conseil voir des sites ou ya des bonns explication merci d' avance. Petite question C **No Sms** la brute force ??? sa marche coment ?? merci je suis débutant lol
|
|
|
|
|
Journalisée
|
|
|
|
|
|
CommComm
|
|
« #14 le: 27 Juillet 2005 à 19:00:57 » |
|
Il n'y a malheureusement aucune autre solution que le bruteforce.
Cela ne veut pas dire qu'il faut essayer les milliers de solutions possibles en les envoyant au serveur.... Mais si le bruteforçage du serveur est interdit, il est tout à fait autorisé d'écrire un petit programme (C, C++, php, java, javascript, perl, VB....) qui va créer un fichier avec toutes les solutions possibles. Au lieu de tester avec tous les caractères, on peut essayer avec uniquement des lettres (min ou maj ou Nom Propre, ou MiX, à vous de voir), puis des lettres et des chiffres si les lettres seules ne marchent pas, et si on ne trouve pas avec les chiffres, on ajoutera alors les caractères spéciaux.
Une fois que vous avez vos solutions possibles, on va dire minuscules seulement pour faire simple, on jette un oeil et on en cherche une qui ait plus de signification que xgtuuyaz (à supposer que ce soit des minuscules uniquement). Et croyez-moi, il n'y en aura pas des dizaines à essayer... On peut aussi chercher celles des solutions qui figurent dans un dictionnaire (français ? anglais ? autre ?)... à condition d'avoir le bon. Mais le plus long et le plus sympa, c'est d'écrire le prog et de le tester pour être certain qu'il fonctionne correctement.
Bonne chasse
|
|
|
|
|
Journalisée
|
En essayant continuellement, on finit par réussir.
Donc plus ça rate, plus on a de chances que ça marche.
(Devise d'un newbie shadok)
|
|
|
|
|
IRC
Newbie Connect
Liens
Partenaires
Réglement
Goodies
L'incubateur
L'équipe
Hall Of Fame
