Réaliste
Réaliste : The h@ckers l4b
Je voudrais savoir si je suis sur la bonne piste.
J’ai remarqué sur le site qu’il y a deux compte, le mien et celui de l’admin. Sa tombe bien selon la documentation du site, sa mentionne que la personne que l’on veut prendre possession doit avoir un compte. De plus l’admin est online comme moi :)
Le contact-us me permet de placer des balises IMG dans le message.
C’est la que je bloque, j’ai beau lire sur ce type d’attaque, je ne vois pas si je suis sur la bonne voie ou non.
Quelqu’un peut m’aider ?
Merci
Réaliste : The h@ckers l4b
j’arrive à déconnecter l’admin par exemple.Par contre, je suis aussi perdu. je ne vois pas quoi injecter pour avoir l’accès à la page exploits.est ce qu’un proxy http comme Burp est suffisant pour trouver les indices éventuels ?
Réaliste : The h@ckers l4b
Salut
Il faut bien lire les news du site
:)
Réaliste : The h@ckers l4b
salut,
réponse un peu tardive mais comme je viens de la valider à l’instant ; sans parler de filtre à proprement parler, on peut considérer qu’il y a un "traitement spécifique" effectué par rapport à la balise bbcode classique
Réaliste : The h@ckers l4b
Salut,
est-ce que l’administrateur consulte toujours les messages de contact sur ce challenge (est-ce que le robot fonctionne toujours) ? je butte depuis 2 jours dessus. Normalement j’ai tout ce qu’il faut : mot de passe admin, architecture (en bonne partie) du site, image du thème. Le seul problème c’est que quoi que je mette dans le formulaire de contact, l’admin ne fait rien. J’ai essayé de la faire charger une image de mon site, dans mes logs il ne s’y connecte pas. Donc je ne peux pas le déconnecter.
A+
Réaliste : The h@ckers l4b
Bonjour à tous,
HEEEEEEELP !! 🙂
J’en suis arrivé un peu comme tout le monde à :
* trouver la faille
* l’utiliser pour déconnecter l’admin
Mais je ne sais pas quoi "demander" à l’admin pour être en mesure de visiter la page des exploits. Je n’arrive pas à récupérer son cookie de session par l’intermédiaire d’un serveur externe..
Sinon, je pense que la solution à avoir avec ce système de journalisation ? C’est ça ?
Est-ce que quelqu’un peut me/nous faire avancer un chouilla ?!
Merci les challengers !
Réaliste : The h@ckers l4b
Bonjour,
Idem pour moi.
Après 5 jours sur le chall, je tourne en rond :
– j’arrive à déconnecter l’admin
– J’ai interprété la news mais je suis bloqué sur une page qui nécessite une authentification
– je n’ai pas réussi à trouve le mdp de l’admin (BF ou dictionnaire)
J’ai tenté différents éléments :
– analyser la structure et modifier le cookie (changer le path)
– énumérer les ressources (quelques fichiers intéressants mais je n’arrive pas à afficher le code)
Réaliste : The h@ckers l4b
MAIS... je suis le seul qui n’arrive pas à deco l’admin alors que j’ai tout le reste .....