[osorkon]

salut
je galère a mort pour le challenge blague du jour
je résume ce que j'ai trouvé
j'ai trouvé le lien http://hackbbs.org/miss/34/admin/admin.php
Maintenant pour l'injection j'ai quelque problèmes je ne comprend pas quelques truc sur le SQL
J'ai donc essayé qulelque injections su genre OR '1'='1 mais sans succes.
Sur la page du debut j'ai aussi essayé kelke truc sur l'url mais sans succes
messages d'erreur:
SELECT id, auteur, contenu, date FROM blagues WHERE id=
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home.12/b/d/c/hackbbs/www/virtu1/miss/34/index.php

Dites moi si je dis un truc de faux:
la j'en conclus que la requete c'est : SELECT*FROM blagues WHERE NOM=
donc j'ai entré dans l'url
http://hackbbs.org/miss/34/index.php?id= 'Dupond' OR '1'='1'
mais il y a aussi un message d'erreur:
SELECT id, auteur, contenu, date FROM blagues WHERE id= \\\'Dupond\\\' OR \\\'1\\\'=\\\'1\\\'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home.12/b/d/c/hackbbs/www/virtu1/miss/34/index.php

La je comprend vraiment plus rien j'ai essayé avec " ' ..... mais rien marche je dois pas m'y prendre comme il faut faut t'il faire l'injection sur la page de départ ou de la page admin ?

j'ai deja lu pas mal de tuto

Si j'ai bien compris il faut esayé d'avoir le login avant d'injecté c'est bien sa ?

[Korigan]

J'ai peur d'en dire trop donc pour cette première réponse voici:

Tu dois réaliser une jointure entre plusieurs table.
Trouver le bon nombre d'argument,
Récupérer le bon login,
Gérer le challenge dans son ensemble.

Bon courage,

++Korigan

[HARRY41]

Sérieux, un indice pour trouver le lien que tu as trouvé ????
je galére trop !

merci d'avance :)