S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

Aller à la page 1, 2  Suivante  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 2
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Sam Nov 28, 2009 6:18 pm    Sujet du message: Basic : Basic 3 Répondre en citant

THE-DEATH
Modérateur


 
Inscrit le: 23 Juil 2008
Messages: 971
Localisation: 127.0.0.1



Le: Lun Juin 29, 2009 11:19 am, THE-DEATH a écrit:

La souris a deux boutons dont un permettant l'accès a un menu offrant différents options...dont la code source de la page html


Le: Jeu Juil 02, 2009 6:05 pm, Korigan a écrit:

Pour développer un script qui soit capable d'envoyer une requête au serveur, tu dois ouvrir ce que l'on appel une "socket".

Il y a différents script sur le fofo qui traite du sujet en php et perl.(de mémoire)

Tu dois √©galement conna√ģtre les bases du protocole HTTP.

Ensuite, tout ce que tu as à faire c'est quelque chose du genre:

Code:

function post_v2($host,$query,$referer,$cookie)
{
   $path=explode('/',$host);
   $host=$path[0];
   unset($path[0]);
   $path='/'.(implode('/',$path));
   //echo "<hr>Envoie d'une requete...<br>";
   $post="POST $path HTTP/1.1\r\nHost: $host\r\nUser-Agent: Mozilla/4.0\r\nReferer: http://$referer\r\nAccept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5\r\nKeep-Alive: 300\r\nConnection: keep-alive\r\nCookie: $cookie\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-length: ".strlen($query)."\r\n\r\n$query";
   //echo "<br>Post: '".$post."'<br>";
   if($h=fsockopen($host,80))
   {
      fwrite($h,$post);
      for($a=0,$r='';!$a;)
      {
         $b=fread($h,8192);
         $r.=$b;
         $a=(($b=='')?1:0);
      }
      fclose($h);
    }
   else
   {
      die("Site down");
   }
   // echo "<b>Taille reponse:".strlen($r)."</b><br>";
   return $r;
}


pour envoyer la requête.

Ainsi, tu es capable de forger à peu prêt n'importe quoi, automatiser des processus, ...
Bref, tu script ce que tu veux ^^

Bon courage,

++Korigan


Le: Lun Juil 20, 2009 8:31 pm, nqqb a écrit:

ta pas besoin de modifier le source et vive tamper data
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Jeu Déc 17, 2009 7:35 pm    Sujet du message: Répondre en citant

DEADFORTHELIFE
Projets


 
Inscrit le: 17 Déc 2009
Messages: 6



Wouhouw ! A peine l'énigme numéro 3 que je comprend plus rien ! ^^

Ma première idée à été d'afficher le code source, de faire un copié collé et d'ouvrir la page en ayant remplacé l'adresse "webmaster@hackbbs.org" par la mienne, mais nan, c'est pas aussi simple.

Ensuite me suit dit, peut être qu'en modifiant la chose en ligne, mais ca je ne sais pas faire !

Et maintenant que je vois l'aide, à a ce que je comprend, il faut faire la requête soit même dans une socket (ca j'ai pas compris), ou l'on se fait passer pour mozilla firefox (ou n'importe quel agent-user je suppose) afin de lui demander le mot de passe et de nous le renvoyer ?

Bref, faut croire que je suis super newbies Very Happy , enfin , google est mon ami, pis on apprend toujours très bien sur le tas Very Happy
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Déc 17, 2009 9:37 pm    Sujet du message: Répondre en citant

JREM
Projets


 
Inscrit le: 03 Aoû 2008
Messages: 60



tu peux le résoudre très simplement en altérant les données.
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail
MessagePosté le: Jeu Déc 17, 2009 10:48 pm    Sujet du message: Répondre en citant

DEADFORTHELIFE
Projets


 
Inscrit le: 17 Déc 2009
Messages: 6



Réussi avec tamper data, mais j'ai rien compris de comment ca fonctionne ! Je vais aller m'instruire un peu !

(juste j'ai compris que tamper data conservais les données, nous laissais les modifiés de la manière dont on le souhaite, puis les envoyais !)
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Mar 31, 2010 8:25 pm    Sujet du message: Répondre en citant

MIST3RKR0W
Projets


 
Inscrit le: 31 Mar 2010
Messages: 1



C'est si simple, tu fais code source tu cherche sur firebug tu modifie l'addresse email par le tien et le tour est joué Smile
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Dim Mai 16, 2010 2:31 pm    Sujet du message: Répondre en citant

ARMEL
Projets


 
Inscrit le: 21 Jan 2010
Messages: 25



Bonjour,

Ne soyez pas effayez par la citation de Korigan dans le premier post (il y a beaucoup plus simple) !

Citation:

Ma première idée à été d'afficher le code source, de faire un copié collé et d'ouvrir la page en ayant remplacé l'adresse "webmaster@hackbbs.org" par la mienne, mais nan, c'est pas aussi simple.

C'est pourtant bel et bien aussi simple que ça, à une chose près, une chose qu'il faut également modifier dans le code source que tu as copier/coller. Cool
L'erreur que tu obtient devrais te mettre sur la voie.

Je te conseil de ne garder uniquement ce qui est utile (4 lignes sans compter les paires de balises html et body).
Il n'y a plus qu'a comprend ce qui est écrit (i.e. ce qui vas se passer).

EDIT : Inutile de mettre une vraie adresse e-mail, le mot de passe sera afficher sur la page si vous réussiez ce challenge.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Déc 22, 2010 12:17 pm    Sujet du message: Répondre en citant

IRCAM
Projets


 
Inscrit le: 12 Déc 2010
Messages: 3



J'ai réussi en utilisant firebug, comme le disait MIST3RKR0W, et j'ai aussi réussi de la même manière la mission Basic 4... or comme il doit bien y avoir une différence, j'aimerai bien un petit indice sur la manière de résoudre la Basic 3 (la manière différente de celle de basic 4).

Autre chose : ma première initiative avait été la même que celle de DEADFORTHELIFE. Enregistrer comme source, remplacement de l'adresse e-mail, et exécution du code source par firefox.
Ce que je ne comprends pas, c'est que la page enregistré ne contient que du html, mais pourtant, quand je clique sur le bouton "send password", tamper data enregistre bien un 'mouvement' (je ne sais pas comment appeler cela). Ce 'mouvement' ne peut-il pas exister que par la présence d'un script php, ou en tout cas, autre que du html ?

Seconde question : je ne comprends pas pourquoi, simplement en modifiant l'e-mail via firebug, le mot de passe s'affiche directement. Ne devrait-il pas être envoyé à l'adresse mail ?
C'est ma logique, peut-être (surement ?) limitée dans ce domaine.

Cordialement, Ircam
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Déc 24, 2010 12:48 am    Sujet du message: Répondre en citant

5N4K37
Projets


 
Inscrit le: 11 Mai 2010
Messages: 276
Localisation: Where connected=1



Bonsoir,

1) la balise <form> </form> est un formulaire. Elle envoie donc les données vers l'endroit voulu. Et c'est du html. C'est ensuite sur la page sur laquelle on récupère ces données que le php est présent.
2) Oublie pas que ce ne sont que des challenges, par conséquent c'est juste une démonstration d'une faille, et non une vrai faille.


Cordialement, 5N4K37.
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail Messagerie Instantan√©e
MessagePosté le: Ven Oct 28, 2011 3:43 pm    Sujet du message: Répondre en citant

PROHACKER14
Projets


 
Inscrit le: 27 Oct 2011
Messages: 3



Etant une epreuve passée pour moi, il m'a juste fallu FireBug et puis c'est tout
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Fév 15, 2012 10:19 am    Sujet du message: Répondre en citant

ALGOHACK
Projets


 
Inscrit le: 14 Fév 2012
Messages: 18
Localisation: Alsace



Bonjour,

Désoler de faire remonter se topic un peu vieux mais étant débutant, y-a t-il un topic qui explique un peu comment fonctionne les challenges pour mieux y réussir? Et étant sur google chrome je n'ai ni FireBug ou Tamper Data, est ce qu'il existe la même chose sur google chrome et est-ce qu'il faut les télécharger?
Merci d'avance pour votre aide.
Edit: j'ai réussi le challenge, c'est vrai qu'il faut juste bien lire et avoir assez de "jugeote" et c'est bon le tour est joué.

Cordialement
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Sam Aoû 09, 2014 5:58 pm    Sujet du message: Répondre en citant

trust64
Projets


 
Inscrit le: 30 Nov 2007
Messages: 10



Je dois être un gros boulet cela va faire maintenant plusieurs années que j'essaye de passer ce chalenge mais je n'y arrive toujours pas que ce soit avec tamper data ou firebug
je vois les codes html de la page mais je n'arrive pas à les modifier
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Aoû 21, 2014 1:41 pm    Sujet du message: Répondre en citant

Korigan
Site Admin


 
Inscrit le: 29 Mai 2007
Messages: 1781



Salut trust64,

En faite il y a plein de protections possibles ou plutot de controle qui euvent etre fait c√īt√© serveur.

1) As tu enregistré la page en local?
2) Lorsque tu ouvre cette page dans ton navigateur, et que tu remplie le formulaire, les données sont elles envoyées vers hackbbs?
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail
MessagePosté le: Mer Juin 05, 2019 6:59 pm    Sujet du message: Répondre en citant

trust64
Projets


 
Inscrit le: 30 Nov 2007
Messages: 10



Désolé de revenir à la charge mais ce genre de challenge me prend vite la tête alors je laisse tomber un grand moment et je me dit qu'avec le temps ça va être plus simple alors je réessaye.
Comme dans la pub "je l'aurai un jour je l'aurai"
Je suis sous firefox j'affiche le code source mais je ne sais pas comment l'enregistrer en local,alors pour le modifier.........?
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Sam Juin 29, 2019 9:52 am    Sujet du message: Répondre en citant

trust64
Projets


 
Inscrit le: 30 Nov 2007
Messages: 10



ça y est j'ai réussi à l'enregistrer en local j'affiche le code source mais de la à le modifier.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Sam Aoû 17, 2019 10:43 pm    Sujet du message: Répondre en citant

Korigan
Site Admin


 
Inscrit le: 29 Mai 2007
Messages: 1781



Pour cela il te suffit de l’éditer avec n'importe quel éditeur de texte. Tu es sous quel système d'exploitation?
Bon courage
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail
Poster un nouveau sujet   Répondre au sujet Page 1 sur 2

Aller à la page 1, 2  Suivante  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



118019 Attacks blocked