Déface : Faille include 1

Moderator: Mod

Déface : Faille include 1

Postby THE-DEATH » Sat Nov 28, 2009 6:32 pm

[quote:60afa33c21="Le: Lun Nov 26, 2007 2:14 pm, Korigan"]
Grâce au nom de la feuille CSS il est possible de découvrir le nom de ce gestionnaire.
Bon, sinon ce n'est pas 'facile'...mais en tout cas 'faisable'
Étape 1: Trouver son nom
Étape 2: Chercher une faille rendu public
Étape 3: Si aucune faille trouvée, récupérer le source php sur le site de l'éditeur et les chercher à la main. Si jamais les failles sont corrigées(ce qui ne devrait pas tarder) elles seront fournis en attaché de ce challenge.
[/quote:60afa33c21]

[quote:60afa33c21="Le: Dim Juin 28, 2009 1:41 pm, nqqb"]
non regardes en bas du site powered by php image. après tu vas dans la section téléchargement de hackbbs, tu trouveras dans la section script php image âpres tu cherche.
[/quote:60afa33c21]
User avatar
THE-DEATH
 
Posts: 971
Joined: Wed Jul 23, 2008 10:49 am
Location: 127.0.0.1

Postby SPID3RMAN » Mon Dec 06, 2010 3:37 pm

je sèche un peu là, je ne trouve pas le fameux include, j'ai fait une recherche avec notepad++ mais je ne vois rien d'exploitable, je n'ai rien trouvé sur le net non plus :?
User avatar
SPID3RMAN
Projets
 
Posts: 121
Joined: Mon Oct 18, 2010 7:44 pm

Postby KEV-1 » Mon Dec 06, 2010 4:00 pm

notepadd++ t'aidera a trouver l'include en question, mais il faut maitriser les failles include en elles memes !!!

il y a des tutos, regarde bien, la lumiere apparaitra

bon courage.
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

Postby SPID3RMAN » Mon Dec 06, 2010 4:17 pm

je suis en train de me pencher sur tout ça, le pb c'est que je ne trouve pas l'include à utiliser, je ne peux rien inclure sur la page view.php endonnant d'autres va&leurs à "image" , j'étais parti là dessus mais apparemment ce n'est pas la bonne piste
merci du conseil, je m'y remets
User avatar
SPID3RMAN
Projets
 
Posts: 121
Joined: Mon Oct 18, 2010 7:44 pm

Postby GRIMMJOWBO » Mon Dec 06, 2010 5:32 pm

Mmm... Ce chall n'est pas très dur analyse bien les sources, il y a des includes vulnérables, un simple include de google suffit :) (J'avais include un script de deface comme ça mais c'est qu'un chall fallait pas que je m'attende à ce que ça le deface :) )
En plus c'est la même faille pour les autres challenges.
Au pire tu peux me mp si tu bloque.
A+ :wink:
User avatar
GRIMMJOWBO
 
Posts: 778
Joined: Fri May 07, 2010 7:14 pm
Location: France

Postby SPID3RMAN » Mon Dec 06, 2010 5:39 pm

ok merci je me replonge dans les sources
User avatar
SPID3RMAN
Projets
 
Posts: 121
Joined: Mon Oct 18, 2010 7:44 pm

Postby JAA09 » Mon Jan 24, 2011 1:10 am

je m arrache la tete dessus j ai essayer trop de chemin pour trouver la faille mais sans rien en retour, je ne sais plus ou cherher... un ptit indice svp :)
JAA09
Projets
 
Posts: 1
Joined: Thu Jan 20, 2011 3:22 pm

Postby KEV-1 » Mon Jan 24, 2011 10:51 am

[quote:38547ba23a="JAA09"]je m arrache la tete dessus j ai essayer trop de chemin pour trouver la faille mais sans rien en retour, je ne sais plus ou cherher... un ptit indice svp :)[/quote:38547ba23a]c'est dans les sources, on ne peut pas faire mieux
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

compte ou pas compte

Postby BIGZ » Thu Mar 03, 2011 9:26 am

Bonjour

J'ai commencé à passer un temps certain sur ce challenge et je me demande si la faille en include est exploitable uniquement avec un compte créée sur le site web. J'ai commencé à regarder le code et je ne trouve rien pour l'instant. Par contre j'ai fait une demande pour me créer un compte afin d'uploader des photos et je n'ai toujours pas eu de réponse. Ce qui m'intrigue c'est qu'il y a des utilisateurs qui réussisse à uploader des photos donc cela doit être possible mais pas sans compte d'où ma question...Est ce que la faille est exploitable sans compte ?

Merci

Bigz
BIGZ
Projets
 
Posts: 6
Joined: Sat Jan 15, 2011 6:57 pm

Re: compte ou pas compte

Postby KEV-1 » Thu Mar 03, 2011 10:28 am

[quote:538e93db44="BIGZ"]Bonjour

J'ai commencé à passer un temps certain sur ce challenge et je me demande si la faille en include est exploitable uniquement avec un compte créée sur le site web.[/quote:538e93db44]non[quote:538e93db44="BIGZ"] J'ai commencé à regarder le code et je ne trouve rien pour l'instant. Par contre j'ai fait une demande pour me créer un compte afin d'uploader des photos et je n'ai toujours pas eu de réponse. Ce qui m'intrigue c'est qu'il y a des utilisateurs qui réussisse à uploader des photos donc cela doit être possible mais pas sans compte d'où ma question...Est ce que la faille est exploitable sans compte ?[/quote:538e93db44]oui
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

Re: compte ou pas compte

Postby BIGZ » Fri Mar 04, 2011 6:37 pm

[quote:1a6bf408cc="KEV-1"][quote:1a6bf408cc="BIGZ"]Bonjour

J'ai commencé à passer un temps certain sur ce challenge et je me demande si la faille en include est exploitable uniquement avec un compte créée sur le site web.[/quote:1a6bf408cc]non[quote:1a6bf408cc="BIGZ"] J'ai commencé à regarder le code et je ne trouve rien pour l'instant. Par contre j'ai fait une demande pour me créer un compte afin d'uploader des photos et je n'ai toujours pas eu de réponse. Ce qui m'intrigue c'est qu'il y a des utilisateurs qui réussisse à uploader des photos donc cela doit être possible mais pas sans compte d'où ma question...Est ce que la faille est exploitable sans compte ?[/quote:1a6bf408cc]oui[/quote:1a6bf408cc]

merci, je me replonge dans ma recherche ;-)
BIGZ
Projets
 
Posts: 6
Joined: Sat Jan 15, 2011 6:57 pm

Postby GHOSTX_0 » Mon Mar 14, 2011 11:23 pm

Petite confirmation car je bloque aussi sur celui-ci: les fichiers sur le serveur sont-ils les mêmes que ceux téléchargés?
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Postby KEV-1 » Tue Mar 15, 2011 8:52 am

oui et non.

oui, la faille est bien presente dans les sources et sur le site, dans ce cas c'est les memes sources !

non, dans le site, la faille a été "detournée" en validation du challenge pour eviter de se faire hacker betement !

dans tous les cas des que tu aura trouvé la faille, tu pourra l'exploiter directement sur le site, et si ça marche, ça validera le challenge automatiquement
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

Postby GHOSTX_0 » Tue Mar 15, 2011 6:31 pm

J'ai repéré un truc mais le seul moyen pour l'exploiter serait de forger mon adresse IP. En gros changer la valeur de $_SERVER['REMOTE_ADDR']!

Est-ce possible ou je fais fausse route!? =)

Cordialement
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Postby BIGZ » Tue Mar 15, 2011 8:15 pm

[quote:84e5d64332="GHOSTX_0"]J'ai repéré un truc mais le seul moyen pour l'exploiter serait de forger mon adresse IP. En gros changer la valeur de $_SERVER['REMOTE_ADDR']!

Est-ce possible ou je fais fausse route!? =)

Cordialement[/quote:84e5d64332]

je suis intéressé par la réponse aussi

merci
BIGZ
Projets
 
Posts: 6
Joined: Sat Jan 15, 2011 6:57 pm

Next

Return to Aide aux Challenges?

Who is online

Users browsing this forum: No registered users and 2 guests

cron