1er challenge deface

Dans ce forum nous archivons les questions récurentes relatives aux challenges.

1er challenge deface

Postby osorkon » Fri May 09, 2008 5:53 pm

bonjour,
J'essai de faire le 1er challenge deface mais je suis un peu perdu malgré tt les tutoriel sur google
j'ai telegargé le fichier phpimage_v_1_2.zip.
J'ai essayé plusieurs adresse du genre [color=red:1eebf5cace][Censured][/color:1eebf5cace]
ne ne vois pas trop comment on se sert du fichier phpimage J'ai essayé plein de pasge dans le fichier php du genre admin.php mais aucune donne quelque chose.
pouvez vous me mettre sur la piste ?

merci
osorkon
Projets
 
Posts: 2
Joined: Thu May 08, 2008 5:04 pm

Postby StaZuP » Tue Jun 24, 2008 9:41 pm

[color=red:c80ca3403b][Censured][/color:c80ca3403b]

Cordialement,
StaZuP
StaZuP
Projets
 
Posts: 1
Joined: Tue Jun 24, 2008 9:28 pm

Postby Sliim » Tue Jun 24, 2008 10:29 pm

faudrait éviter de donner la réponse comme ça ... :?

A espérer que Korigan passera par là bientôt ...

++
User avatar
Sliim
Site Admin
 
Posts: 1177
Joined: Fri May 16, 2008 12:53 pm

marche toujours pas

Postby HARRY41 » Sat Sep 20, 2008 4:39 pm

Salut, j'ai déja fait plein de posts sans réponses et là je désespère !!

Est-ce que cette faille est toujours valide ??
parce que là, je fais comme le meussieur précédent, pour les trois failles, et on me dit que c'est pas bon et que les défaces sont en développement !

qu'est-ce que je dois comprendre ? j'ai trouvé la faille, mais en fait, je l'ai pas trouvé ?
je sais plus quoi faire !!
j'ai meme essayé d'envoyer un vrai fichier mais ca marche pas, et mon ip est kickée...

A L'AIDE !!!
User avatar
HARRY41
Projets
 
Posts: 20
Joined: Wed Sep 03, 2008 12:51 pm

Faille include [résolu]

Postby HARRY41 » Tue Sep 23, 2008 11:46 pm

merci Korigan !!
faille résolu, les points dans ma poche !
User avatar
HARRY41
Projets
 
Posts: 20
Joined: Wed Sep 03, 2008 12:51 pm

Postby Korigan » Thu Sep 25, 2008 2:40 pm

Bonsoir,

Oui effectivement il ne faut pas donner la réponse comme ça :p

J'ai dû éditer vos deux posts. Je trouvais bizard que d'un coup ce challenge sucite temps d'émois et que tout le monde arrive au même résultat en se plaignant du même problème ^^

Enfin au final cette stratégie à été payante, le problème est résolu ;)

Pour information, c'était un problème d'horloge. La synchro entre les deux serveurs n'était pas la même que dans le précédant nid douillet d'hackbbs.
Bref...problème à surveiller pour la prochaine migration du site. ^^

++Korigan
User avatar
Korigan
Site Admin
 
Posts: 1781
Joined: Tue May 29, 2007 6:57 pm

Postby nqqb » Fri Oct 10, 2008 8:32 pm

cette faille a été corrigé j'ai retrouvé le site qui a été pris pour modèle pour le challenge j'ai essayé d'exploité la faille mais la faille été absente
User avatar
nqqb
Projets
 
Posts: 222
Joined: Fri Jun 13, 2008 1:15 pm

Postby H00R18LE » Thu Oct 16, 2008 4:51 pm

:( c pareille pr moi j'arrive pas a trouver la faille include une petite piste svp ':roll:' merci ;)
User avatar
H00R18LE
Projets
 
Posts: 33
Joined: Fri Sep 05, 2008 4:20 pm
Location: Devant mon pc !

Postby SHEPSHEP » Tue Apr 14, 2009 6:22 pm

Yep,

Ce deface commence à me m'échauffer les oreilles ^^
J'ai mappé le site en utilisant les sources et les erreurs de script.

Voila ce que j'ai trouvé :
- Le pass d'un admin.
- Faille double extension.
- Bricoler les commentaire, modifier photos.

Mais je ne vois pas d'include.
J'ai mal cherché ou quoi ??

++
2ShEp

PS : Avast braille quand on clic sur certaine photos ^^
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby Sliim » Tue Apr 14, 2009 10:38 pm

Si si il y a bien un include quelque part ;). Cherches bien :P.

[u:7cd7c740a6]Sliim[/u:7cd7c740a6]
User avatar
Sliim
Site Admin
 
Posts: 1177
Joined: Fri May 16, 2008 12:53 pm

Postby SHEPSHEP » Wed Apr 15, 2009 5:12 am

Bon j'ai trouver les sources, forcement après en quelques secondes, c'est trouvé.

Sur ce coup la je tiens à dire un grand merçi à notepad++ sans quoi je me serait tapé trois plombes d'audit.

Bien sympa cette épreuve mais bon faut pas foncer tête baissée en essayant d'auditer le site online.

J'avais rapporté quelques trucs bizarre :
- search.php : une des variables s'appelle holodeck et dans StarTrek, un holodeck est une salle qui recrée des environnements virtuels pour l'entraînement ou le divertissement.(source:wiki)

- Il y a un dossier video qui contient des tutos de hack. [url]http://where.is.free.fr/video/[/url]

- edit_photos.php : Si l'on modifie le chiffre en rouge, il est possible de créer des répertoire avec le chiffres que l'on veut mais pas de lettres...

[url]http://where.is.free.fr/photos/666/[/url] :P

-----------------------------2179466089252\r\nContent-Disposition: form-data; name="grab"; filename="mix2.jpg"\r\nContent-Type: image/jpeg\r\n\r\n***CODEIMAGE***\r\n-----------------------------2179466089252\r\nContent-Disposition: form-data; name="jiuser"\r\n\r\nJOK\r\n-----------------------------2179466089252\r\nContent-Disposition: form-data; name="jipass"\r\n\r\njok\r\n-----------------------------2179466089252\r\nContent-Disposition: form-data; name="dec_text"\r\n\r\nmixture de mix\r\n-----------------------------2179466089252\r\nContent-Disposition: form-data; name="Submit"\r\n\r\nUPLOAD AND OVERWRITE THE IMAGE SHOWN BELOW\r\n-----------------------------2179466089252\r\nContent-Disposition: form-data; name="image"\r\n\r\n[color=red:f9c8a54e72]69[/color:f9c8a54e72]\r\n-----------------------------2179466089252--\r\n

++
2ShEp
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby MELK0R101 » Sun Apr 11, 2010 11:20 pm

Bonjour,

Nous avons trouvé 3 failles nous permettant d'exécuter du code php de notre choix sur le site web vulnérable (merci aux sources!!). Nous (titor et moi) croyons que ce serait les 3 failles recherchées dans le cadre des challenges deface mais même après exploitation, ces challenges ne sont toujours pas étiquetés comme complétés dans nos comptes respectifs ;( .

Est-ce la correspondance entre le site vulnérable et hackbbs qui n'est pas automatisé ou bien est-ce qu'il y a un truc qu'on a pas compris ?

merci!
melk0r101
MELK0R101
Projets
 
Posts: 4
Joined: Mon Mar 15, 2010 3:38 pm

Postby KEV-1 » Fri Apr 16, 2010 7:09 pm

ce n'est plus la section adéquat pour poser des questions, ici se trouvent les archives... ;) cependant je veux bien étudier vos solutions, envoyez les moi par MP je vous dirai si c'est bon ou non.
ps: Je ne suis la que le week end en ce moment.
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

Postby MELK0R101 » Fri May 07, 2010 12:40 pm

hey ok :)

De toute façon pour les autres qui liront ce sujet, on a finalement complété les challenges et eu les points. C'est détecté de façon automatique quand on exploite le code de façon qu'il est prévu qu'on l'exploite :)

Bonne continuation!
MELK0R101
Projets
 
Posts: 4
Joined: Mon Mar 15, 2010 3:38 pm

Postby MORPHAU » Thu Jun 24, 2010 12:58 am

Désolé pour le up mais les failles de ce challenge existe ou pas donc ?, car je cherche et à part un include qui t'inclus ce que tu veux mais qui concatène tout sans ".","/",":" j'ai rien vu ...
MORPHAU
Projets
 
Posts: 3
Joined: Wed Jun 23, 2010 11:57 pm

Next

Return to Archives Challenges

Who is online

Users browsing this forum: No registered users and 2 guests

cron