S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

Aller à la page 1, 2, 3  Suivante  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 3
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Sam Nov 28, 2009 6:32 pm    Sujet du message: Déface : Faille include 1 Répondre en citant

THE-DEATH
Modérateur


 
Inscrit le: 23 Juil 2008
Messages: 971
Localisation: 127.0.0.1



Le: Lun Nov 26, 2007 2:14 pm, Korigan a écrit:

Grâce au nom de la feuille CSS il est possible de découvrir le nom de ce gestionnaire.
Bon, sinon ce n'est pas 'facile'...mais en tout cas 'faisable'
Étape 1: Trouver son nom
Étape 2: Chercher une faille rendu public
Étape 3: Si aucune faille trouvée, récupérer le source php sur le site de l'éditeur et les chercher à la main. Si jamais les failles sont corrigées(ce qui ne devrait pas tarder) elles seront fournis en attaché de ce challenge.


Le: Dim Juin 28, 2009 1:41 pm, nqqb a écrit:

non regardes en bas du site powered by php image. après tu vas dans la section téléchargement de hackbbs, tu trouveras dans la section script php image âpres tu cherche.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Lun Déc 06, 2010 3:37 pm    Sujet du message: Répondre en citant

SPID3RMAN
Projets


 
Inscrit le: 18 Oct 2010
Messages: 121



je sèche un peu là, je ne trouve pas le fameux include, j'ai fait une recherche avec notepad++ mais je ne vois rien d'exploitable, je n'ai rien trouvé sur le net non plus Confused
Voir le profil de l'utilisateur Envoyer un message privés MSN Messenger
MessagePosté le: Lun Déc 06, 2010 4:00 pm    Sujet du message: Répondre en citant

KEV-1
Modérateur


 
Inscrit le: 20 Oct 2009
Messages: 462



notepadd++ t'aidera a trouver l'include en question, mais il faut maitriser les failles include en elles memes !!!

il y a des tutos, regarde bien, la lumiere apparaitra

bon courage.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Déc 06, 2010 4:17 pm    Sujet du message: Répondre en citant

SPID3RMAN
Projets


 
Inscrit le: 18 Oct 2010
Messages: 121



je suis en train de me pencher sur tout ça, le pb c'est que je ne trouve pas l'include à utiliser, je ne peux rien inclure sur la page view.php endonnant d'autres va&leurs à "image" , j'étais parti là dessus mais apparemment ce n'est pas la bonne piste
merci du conseil, je m'y remets
Voir le profil de l'utilisateur Envoyer un message privés MSN Messenger
MessagePosté le: Lun Déc 06, 2010 5:32 pm    Sujet du message: Répondre en citant

GRIMMJOWBO
Modérateur


 
Inscrit le: 07 Mai 2010
Messages: 778
Localisation: France



Mmm... Ce chall n'est pas très dur analyse bien les sources, il y a des includes vulnérables, un simple include de google suffit Smile (J'avais include un script de deface comme ça mais c'est qu'un chall fallait pas que je m'attende à ce que ça le deface Smile )
En plus c'est la même faille pour les autres challenges.
Au pire tu peux me mp si tu bloque.
A+ Wink
Voir le profil de l'utilisateur Envoyer un message privés Messagerie Instantanée MSN Messenger
MessagePosté le: Lun Déc 06, 2010 5:39 pm    Sujet du message: Répondre en citant

SPID3RMAN
Projets


 
Inscrit le: 18 Oct 2010
Messages: 121



ok merci je me replonge dans les sources
Voir le profil de l'utilisateur Envoyer un message privés MSN Messenger
MessagePosté le: Lun Jan 24, 2011 1:10 am    Sujet du message: Répondre en citant

JAA09
Projets


 
Inscrit le: 20 Jan 2011
Messages: 1



je m arrache la tete dessus j ai essayer trop de chemin pour trouver la faille mais sans rien en retour, je ne sais plus ou cherher... un ptit indice svp Smile
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Jan 24, 2011 10:51 am    Sujet du message: Répondre en citant

KEV-1
Modérateur


 
Inscrit le: 20 Oct 2009
Messages: 462



JAA09 a écrit:
je m arrache la tete dessus j ai essayer trop de chemin pour trouver la faille mais sans rien en retour, je ne sais plus ou cherher... un ptit indice svp Smile
c'est dans les sources, on ne peut pas faire mieux
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Mar 03, 2011 9:26 am    Sujet du message: compte ou pas compte Répondre en citant

BIGZ
Projets


 
Inscrit le: 15 Jan 2011
Messages: 6



Bonjour

J'ai commencé à passer un temps certain sur ce challenge et je me demande si la faille en include est exploitable uniquement avec un compte créée sur le site web. J'ai commencé à regarder le code et je ne trouve rien pour l'instant. Par contre j'ai fait une demande pour me créer un compte afin d'uploader des photos et je n'ai toujours pas eu de réponse. Ce qui m'intrigue c'est qu'il y a des utilisateurs qui réussisse à uploader des photos donc cela doit être possible mais pas sans compte d'où ma question...Est ce que la faille est exploitable sans compte ?

Merci

Bigz
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Mar 03, 2011 10:28 am    Sujet du message: Re: compte ou pas compte Répondre en citant

KEV-1
Modérateur


 
Inscrit le: 20 Oct 2009
Messages: 462



BIGZ a écrit:
Bonjour

J'ai commencé à passer un temps certain sur ce challenge et je me demande si la faille en include est exploitable uniquement avec un compte créée sur le site web.
non
BIGZ a écrit:
J'ai commencé à regarder le code et je ne trouve rien pour l'instant. Par contre j'ai fait une demande pour me créer un compte afin d'uploader des photos et je n'ai toujours pas eu de réponse. Ce qui m'intrigue c'est qu'il y a des utilisateurs qui réussisse à uploader des photos donc cela doit être possible mais pas sans compte d'où ma question...Est ce que la faille est exploitable sans compte ?
oui
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Mar 04, 2011 6:37 pm    Sujet du message: Re: compte ou pas compte Répondre en citant

BIGZ
Projets


 
Inscrit le: 15 Jan 2011
Messages: 6



KEV-1 a écrit:
BIGZ a écrit:
Bonjour

J'ai commencé à passer un temps certain sur ce challenge et je me demande si la faille en include est exploitable uniquement avec un compte créée sur le site web.
non
BIGZ a écrit:
J'ai commencé à regarder le code et je ne trouve rien pour l'instant. Par contre j'ai fait une demande pour me créer un compte afin d'uploader des photos et je n'ai toujours pas eu de réponse. Ce qui m'intrigue c'est qu'il y a des utilisateurs qui réussisse à uploader des photos donc cela doit être possible mais pas sans compte d'où ma question...Est ce que la faille est exploitable sans compte ?
oui


merci, je me replonge dans ma recherche Wink
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Mar 14, 2011 11:23 pm    Sujet du message: Répondre en citant

GHOSTX_0
Projets


 
Inscrit le: 24 Aoû 2009
Messages: 263



Petite confirmation car je bloque aussi sur celui-ci: les fichiers sur le serveur sont-ils les mêmes que ceux téléchargés?
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mar Mar 15, 2011 8:52 am    Sujet du message: Répondre en citant

KEV-1
Modérateur


 
Inscrit le: 20 Oct 2009
Messages: 462



oui et non.

oui, la faille est bien presente dans les sources et sur le site, dans ce cas c'est les memes sources !

non, dans le site, la faille a été "detournée" en validation du challenge pour eviter de se faire hacker betement !

dans tous les cas des que tu aura trouvé la faille, tu pourra l'exploiter directement sur le site, et si ça marche, ça validera le challenge automatiquement
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mar Mar 15, 2011 6:31 pm    Sujet du message: Répondre en citant

GHOSTX_0
Projets


 
Inscrit le: 24 Aoû 2009
Messages: 263



J'ai repéré un truc mais le seul moyen pour l'exploiter serait de forger mon adresse IP. En gros changer la valeur de $_SERVER['REMOTE_ADDR']!

Est-ce possible ou je fais fausse route!? =)

Cordialement
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mar Mar 15, 2011 8:15 pm    Sujet du message: Répondre en citant

BIGZ
Projets


 
Inscrit le: 15 Jan 2011
Messages: 6



GHOSTX_0 a écrit:
J'ai repéré un truc mais le seul moyen pour l'exploiter serait de forger mon adresse IP. En gros changer la valeur de $_SERVER['REMOTE_ADDR']!

Est-ce possible ou je fais fausse route!? =)

Cordialement


je suis intéressé par la réponse aussi

merci
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 1 sur 3

Aller à la page 1, 2, 3  Suivante  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



118026 Attacks blocked