0x0 Web - Server

dimanche 13 mai 2018, 01:48  #1
Java - Spring Boot
SushiMaki
  • 4 posts

Bonjour, cela fait plusieurs jours que je galère littéralement sur le challenge Java - Spring Boot. J’ai vu les fichiers json accessibles, mais je ne comprends pas en quoi cela peut m’aider. Si quelqu’un pouvait m’indiquer une piste, ce serait très gentil de sa part.

dimanche 13 mai 2018, 18:46  #2
Java - Spring Boot
Th1b4ud
  • 238 posts

Hello. Voila ce que nous dit le titre : "Metrics, une fonctionnalité dangereuse". As tu regardé ce que renvoi ’metrics’ dans la doc ? Apparement non car tu es passé devant de petits détails intéressants. Sur ce challenge, pas le choix il faut bouffer de la doc.

Bon courage ;)

samedi 2 juin 2018, 12:37  #3
Java - Spring Boot
SushiMaki
  • 4 posts

Bon, du coup j’ai lu et relu la doc, et j’ai compris que l’exploitation devait passer par les endpoints de metrics. J’en ai trouvé quelques un intéressants, mais rien qui m’aide beaucoup. Suis-je dans la bonne direction ?

samedi 2 juin 2018, 14:15  #4
Java - Spring Boot
Th1b4ud
  • 238 posts

Oui tu es dans la bonne direction. Prend les un à un et dis toi ce que tu peux faire avec

samedi 2 juin 2018, 23:57  #5
Java - Spring Boot
SushiMaki
  • 4 posts

Un endpoint (dont je terrais le nom) retient mon attention car il présente les variables d’environnement systèmes et plus particulièrement un username. Pour l’exploitation, est-ce que je dois passer par un protocole tier (SSH, TCP, etc.) ou rester sur le site web ? Merci d’avance pour cette nième réponse :-!

dimanche 3 juin 2018, 11:22  #6
Java - Spring Boot
Th1b4ud
  • 238 posts

Mauvaise piste. Ce n’est pas ce endpoint ;)

vendredi 14 septembre 2018, 13:59  #7
Java - Spring Boot
beubeuch
  • 1 posts

Bonjour,
Je suis également sur ce challenge, est-ce que l’analyse du fichier du headump en format hprof est une bonne piste ou je suis sur une mauvaise voie ?
En vous remerciant du conseil :)

vendredi 14 septembre 2018, 14:22  #8
Java - Spring Boot
Th1b4ud
  • 238 posts

A voir. Tu ne perds rien à essayer de chercher dedans de toute manière :)