Outils en Ligne

Statistiques

Membres : 5582
Challenges : 149
Articles : 287
Messages : 1132
Chat Box : 925
Challengeurs : 3892

Derniers messages

1 | 2 | 3 | 4 | 5 |>

Posté le : mercredi 19 juin 2013, 14:41 XPATH - String Injection
Asch - 44 posts - 1220 Points - lamer	J’ai trouvé merci, j’etais juste etonné de pas pouvoir validé avec la solution donnée visible quand on a validé le chall. Frustré aussi car je l’avais testé et ca marchais pas chez moi. En fait j’etais derriere un proxy et donc la page ne s’affichais pas ^^" Du coup je viens de tester sur mon phone et miracle les mots d epasse sont affichés. Merci pour ta rep en tout cas.
Posté le : mercredi 19 juin 2013, 12:36 Web - Serveur : LDAP injection - authentification
Celtic - 2 posts - 855 Points - newbie	Tu peux toujours le faire sans connaitre de login valide. La je ne vois pas... La requete commencant par « (&(uid= » je ne vois pas comment éviter le controle de l’uid... Ou alors il y a un élément de la syntax de LDAP que je n’est pas saisi. tu as un "&" filtre pourquoi y mettre un " \| " ?! Ca me permet d’éviter le control du mot de passe, puisque (\|(&)(b)) est VRAI, sans manger une « Erreur de syntax » due à un mauvais parenthésage (Puisque le serveur refuse les requête du type (&(a)(b))(c) si je ne m’abuse). Aurais-je cherché trop compléxifié ma requête ? Edit : C’est bon je le tiens. Ma requête était bien fonctionnelle mais il me manquai effectivement un élément de syntax. Merci à tous
Posté le : mercredi 19 juin 2013, 11:03 Web - Serveur : LDAP injection - authentification
Meyo - 36 posts - 1905 Points - lamer	Bonjour, Tu peux toujours le faire sans connaitre de login valide. J’ai une remarque concernant ta requête, elle n’est pas tout à fait VRAIE. tu as un "&" filtre pourquoi y mettre un " \| " ?!
Posté le : mercredi 19 juin 2013, 10:52 XPATH - String Injection
Meyo - 36 posts - 1905 Points - lamer	Bonjour, Je viens de revérifier elle fonctionne très bien ! il y a aussi une autre syntaxe pour arriver à trouver les pass, il te suffit d’approfondir tes recherches de la syntaxe XPath.
Posté le : mercredi 19 juin 2013, 10:11 Web - Serveur : LDAP injection - authentification
spid3rman - 15 posts - 880 Points - newbie	arf dsl j’avais mal lu le sujet je croyais que tu parlais du blind :s virez mes 2 posts merci, j’aurai l’air moins ridicule
Posté le : mercredi 19 juin 2013, 09:58 Web - Serveur : LDAP injection - authentification
spid3rman - 15 posts - 880 Points - newbie	hello, pour trouver le login pourquoi ne pas tout simplement utiliser l’outil proposé sur la page du challenge ?
Posté le : mardi 18 juin 2013, 21:50 Web - Serveur : LDAP injection - authentification
Celtic - 2 posts - 855 Points - newbie	Bonjour, Je butte sur ce challenge depuis quelque temps déjà et l’impasse dans laquelle je me retrouve me pousse à mettre de côté ma fierté et à requérir votre aide. Ne connaissant à l’origine pas le principe de LDAP, j’ai étudié tranquillement la doc fournie. Grâce à ce support j’ai forgé lune requête ressemblant à ça (n’hésitez pas à m’éditer si le spoil est trop important) : (&(a)(\|(vrai)(b))) Cette requête, sauf erreur de ma part, sera évaluée à VRAI pour peut que a (ici le login) soit valide. Il ne me reste donc à priori plus qu’a trouver le login d’un utilisateur intéressant. Et la c’est le drame... J’ai passé en revue tous les login standards tels que admin, root et les id de base de SSO et dans tous les cas je récupère un "no such identifier". Le login d’administration est il particulièrement alambiqué ? Ma requête est-elle foireuse et dans ce cas qu’ai je raté ? J’aurais fort besoin de vos lumières. ps : excusez mon orthographe hasardeuse.
Posté le : mardi 18 juin 2013, 14:09 XPATH - String Injection
Asch - 44 posts - 1220 Points - lamer	Ma methode fonctionne, j’arrive a me connecter sous un compte subscriber. Bizarrement le premier compte que j’ai voulu hacké me sort un pass de minimum 20 caracteres. Bref, a creuser ^^ EDIT : Omg j’avais le bon passe depuis un moment ... La solution proposée ne fonctionne pas chez moi (beaucoup plus simple que ma methode en tout cas !) Vous appliquez un nouveau filtre sur l’URL ?
Posté le : mardi 18 juin 2013, 14:05 XPATH - String Injection
Asch - 44 posts - 1220 Points - lamer	.
Posté le : mardi 18 juin 2013, 13:45 XPATH - String Injection
Meyo - 36 posts - 1905 Points - lamer	C’est ça le challenge il faut trouver comment taper les passwords

1 | 2 | 3 | 4 | 5 |>

Derniers Posts

Utilisateurs

7 visiteurs en ce moment

Derniers Inscrits : kifo ag0nza amr ebada qnix azerty ilyasse danig

Chat Box

m31z0nyx
00:16 20/06/2013
Avec un outil ad-hoc
Pyrowww
23:32 19/06/2013
Ok merci, de ce coup-là, on se connecte comment ?
m31z0nyx
22:43 19/06/2013
Pour ce chall ce n’est pas par ssh en effet.
spump
21:47 19/06/2013
bah, non pas forcément en ssh, tout dépend du challenge
silverblade
19:50 19/06/2013
Oui, en SSH
Pyrowww
18:57 19/06/2013
Salut,
Quand on nous dit " via challenge01.root-me.org:54013."
On y accède comment ? SSH ?
Merci d’avance
Asch
15:43 19/06/2013
Merci pour ton explication
m31z0nyx
14:52 19/06/2013
La validation des solutions peut prendre quelques jours, il faut qu’un membre du staff ayant résolu l’épreuve relise la solution. (on n’a accès qu’au solutions des challs que l’on a validé)
m31z0nyx
14:50 19/06/2013
Asch : actuellement il n’y a rien de prévu pour notifier l’auteur (oui, ça manque ), mais tu peux consulter la liste des dernières solutions validées sur la page d’accueil du site.
Asch
14:23 19/06/2013
Comment savoir si une proposition de solution sur un challenge est acceptée ou refusée ?
Kiwhack's
22:43 17/06/2013
Regardez vos mp
f07h4ck37
21:44 17/06/2013
Moi aussi j’ai le même probleme ... snif
Kiwhack's
15:59 17/06/2013
Viens en mp remi
remi
14:58 17/06/2013
Merci g0uz pour ta réponse rapide, ceci dit je ne comprends toujours pas comment je peut me connecter avec mon terminal ssh
g0uZ
14:31 17/06/2013
@Celtic : lien corrigé
@remi : check http://router.root-me.org
f07h4ck37
14:22 17/06/2013
???? !!?? x@+
remi
14:11 17/06/2013
Bonjour, je suis nouveau sur le site et je n’arrive pas a me connecter en ssh pour les challenges de failles applicatives... La machine est elle bien up ?
PuNaNi
13:40 17/06/2013
"Notice : session_start() : ps_files_cleanup_dir : opendir(/var/lib/php5) failed : Permission denied (13) in /challenge/realiste/ch12/login.aspx on line 2"
xD
Celtic
11:13 17/06/2013
Salut,
Juste pour signaler un lien mort dans "SQL injection - numérique" :
Injection SQL : applicatif / Français
luckidu33
18:17 16/06/2013
Je viens de voir dsl^^’ Je suis sur l’irc
maf-ia
17:59 16/06/2013
Concernant le challenge de programmation "Suite arithmétique", il y a une petite faute dans le texte : "Vous avez 2 seconde pour envoyer" (il faut mettre un ’s’ ou alors ne laisser qu’une seconde )
g0uZ
21:48 15/06/2013
milca : http://router.root-me.org/
milca
21:33 15/06/2013
Je comprends pas le plus simple des shell ... je lis bien le mot de passe mais j’obtient toujours un echec de connexion lorsque que je le soumets
1nd3☠
19:13 15/06/2013
@RedCrach → Excellent le WebTV, j’ai appris plein de trucs ! Thx
g0uZ
15:18 15/06/2013
lucki : vient en parler sur IRC, je comprend rien a ce que tu as écris

Dernièrement

Dernièrement

Dernièrement

Dernièrement

Dernièrement

Dernièrement

Derniers messages

Liens utiles

Langue

Sponsorisé par

Derniers tweets

Dernières vidéos

Newsletter