Web - Serveur
[CLOS] Web - Serveur - LDAP injection à l’aveugle
Bonjour,
Les injections fonctionnent bien (lire la doc sur wiki.zenk-security.com), le mot de passe est bien extrait (en minuscule ou majuscule).
( ... ha, le charme désuet des expressions préfix à la mode LISP 😉
A partir de là, mon code génère bien toutes les possibilités, pour un brut force du mot passe sur la page d’authentification.
( ... le monde est binaire, les bons, les méchants, les Majuscules, les minuscules, les joies du case-insensitive ... )
Mais aucun mot de passe généré ne permet de s’authentifier sur la page d’authentication. 😕
( ... détection par empreinte md5 sur la page retournée et inspection des headers ... pfff )
Donc, je bloque avec la validation du mot passe sur ce challenge. En plus ce challenge est réputé plus simple que le XPath Blind,
que j’ai validé hier ... sgrogneugneu [censure]
Une aide bienveillante serait la bien venue ... j’ai du louper quelque chose dans l’extraction mais là j’ai plus d’idée.
[EDIT]
Un vieux post de 2013 dans le forum, nous explique que le mot de passe extrait
ne permet pas de s’authentifier sur la page d’authentification !
Challenge validé directement sur le site Root-me avec la version minuscule.
[CLOS]