Réaliste
Réaliste : Marabout
Bonjour,
J’ai une question sur cette épreuve, je ne sais pas trop comment la poser, pour ne pas spoiler. Si j’ai bien compris, il faut deviner le MD5 ? Je ne vois pas comment faire autrement. Mon problème c’est la magnifique fonction pour générer le salt. Je dois faire un bruteforce dessus ?
Cordialement
Réaliste : Marabout
Ok je viens de voir mon erreur. J’avais oublié la beauté du PHP !
Merci pour vos conseils.
@m_101 Je vois de quelle ressource tu veux parler maintenant :)
Réaliste : Marabout
Bon, ma solution n’a pas été retenue :(.
Car ils considèrent que j’ai exploité une vulnérabilitée du challenge qui n’était pas prévue lol.
Dommage, je récupérais l’entiereté de la base de données du challenge en fait :).
Bypass de filtre preg_replace() ^^.
Snif, plus accès à la bdd entière du challenge (ça a été corrigée) :p.
Réaliste : Marabout
Par contre je veux bien ton astuce pour ça m_101 :)
Réaliste : Marabout
Rien de folichon.
C’était une vulnérabilité sur le filtre. Le filtre remplaçait ’sqlite’ par ’’ avec un preg_replace().
Donc un simple sqsqlitelite a suffit à bypass le filtre et utiliser la LFI pour inclure la BDD ;).
Bref, plus utilisable donc je spoil rien ^^.
Réaliste : Marabout
Bonjour les challengers,
En tentant d’exploiter la faille, je tombe sur un Fatal error : Call to a member function prepare() on a non-object in /challenge/realiste/ch14/ on line 16
Est-ce normal ?
Merci d’avance,
@EDIT : Ce comportement est normal. C’est juste une erreur technique due à une mauvaise utilisation.
Réaliste : Marabout
hello,
Essayes de voir si quelqu’un peut t’aider sur IRC