S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

Aller à la page Précédente  1, 2, 3  Suivante  

Poster un nouveau sujet   Répondre au sujet Page 2 sur 3
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Mar Mar 15, 2011 8:42 pm    Sujet du message: Répondre en citant

GHOSTX_0
Projets


 
Inscrit le: 24 Aoû 2009
Messages: 263



Aha même piste!?
J'ai retourné le code dans tout les sens!!! Je dois pas chercher au bon endroit =/
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Mar 16, 2011 12:00 pm    Sujet du message: Répondre en citant

KEV-1
Modérateur


 
Inscrit le: 20 Oct 2009
Messages: 462



attention, c'est une faille include, donc forger ses paquets ne sert a rien ici.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Mar 16, 2011 12:30 pm    Sujet du message: Répondre en citant

GRIMMJOWBO
Modérateur


 
Inscrit le: 07 Mai 2010
Messages: 778
Localisation: France



Hello all,
C'est juste une faille include toute bidon, pas besoin d'aller chercher loin Smile
Une petite recherche d'includes vulnérables à l'aide d'un éditeur de texte et c'est trouvé.
++
Grimm
Voir le profil de l'utilisateur Envoyer un message privés Messagerie Instantanée MSN Messenger
MessagePosté le: Mar Mar 29, 2011 12:16 am    Sujet du message: Répondre en citant

TOMSBOY
Projets


 
Inscrit le: 20 Sep 2010
Messages: 3



hello,

Ben...je sèche grave.
Pour l'instant j'ai juste deviné le pass d'un user, ce qu'il n'y a rien de glorieux Very Happy , pour pvoir tenter d'exécuter des scripts.
Je me casse la tête pour savoir comment y créer mon compte, jme doute que l'envoi de mail est bidon.
Enfin je désespère pas, mais déjà un truc que je comprends pas; un "bête" include est possible sans url genre :?page=... ?

Bon je débute dans ce genre de hack, merci d'av pour vos conseils éclairés Cool
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mar Mar 29, 2011 6:03 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Tu as des tutos ici et un peu partout sur google si tu veux savoir ce qu'est la faille include.

Regarde les sources, tu recherches un include d'une variable qui peut être arbitrairement définie par l'utilisateur.

La tortue du 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Mar Mar 29, 2011 11:46 am    Sujet du message: Répondre en citant

TOMSBOY
Projets


 
Inscrit le: 20 Sep 2010
Messages: 3



Yes, j'ai déjà lu pas mal sur le sujet, je cherche pas ou il faut app...
Bon, merci pour l'info, jm'y replonge Cool
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Mar 30, 2011 12:05 am    Sujet du message: Répondre en citant

5N4K37
Projets


 
Inscrit le: 11 Mai 2010
Messages: 276
Localisation: Where connected=1



Bonsoir. Regarde bien toutes les variables.
Pense à venir un peu sur IRC, on pourrait de donner quelques conseils Smile


Cordialement, 5N4K37.
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail Messagerie Instantanée
MessagePosté le: Mer Mar 30, 2011 5:54 pm    Sujet du message: Répondre en citant

TOMSBOY
Projets


 
Inscrit le: 20 Sep 2010
Messages: 3



Salut 5N4K37, merci pour ton aide, j'apprécie Cool
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Dim Mai 01, 2011 4:22 pm    Sujet du message: Petite Aide Répondre en citant

WHITECAT
Projets


 
Inscrit le: 12 Avr 2011
Messages: 2



Si vous avez des probleme avec la faille include regarder ce site:

http://www.ghostsinthestack.org/article-16-la-faille-include.html
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Dim Mai 01, 2011 4:43 pm    Sujet du message: :?: Répondre en citant

WHITECAT
Projets


 
Inscrit le: 12 Avr 2011
Messages: 2



Que faut il faire exactement?
Question Question
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Dim Mai 01, 2011 4:44 pm    Sujet du message: Répondre en citant

KEV-1
Modérateur


 
Inscrit le: 20 Oct 2009
Messages: 462



il faut trouver les failles include et les exploiter. c'est tout
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Juil 01, 2011 4:20 pm    Sujet du message: Répondre en citant

L-NAEJ
Projets


 
Inscrit le: 01 Juil 2011
Messages: 4



Hum, j'ai passé pas mal de temps sur ce challenge, il y a quelque chose que je ne compend pas.
Au début je cherchais à la main mais pour être sûr j'ai fini par ouvrir l'intégralité des fichiers dans un éditeur de recherche et à rechercher toutes les occurences du mot "include". Grande surprise, je n'ai trouvé qu'une seule variable exploitée par les includes, et l'utilisateur n'a pas la main dessus...
Alors j'ai bien trouvé d'autres fonction qui écrivent dans des fichiers dans lesquels j'ai tenté de mettre des include mais tout est "stripslashé" donc ça ne marche pas...
La faille a été corrigée ou j'ai raté quelque chose ? oO
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Juil 01, 2011 4:29 pm    Sujet du message: Répondre en citant

GRIMMJOWBO
Modérateur


 
Inscrit le: 07 Mai 2010
Messages: 778
Localisation: France



Hello,
Tu as raté quelque chose Smile
Les sources sont dispos ici
Recherche toutes les occurrences d'include et tu en trouveras des vulnérables.
++
Voir le profil de l'utilisateur Envoyer un message privés Messagerie Instantanée MSN Messenger
MessagePosté le: Ven Juil 01, 2011 4:36 pm    Sujet du message: Répondre en citant

L-NAEJ
Projets


 
Inscrit le: 01 Juil 2011
Messages: 4



Salut !

Merci pour ta réponse rapide. C'est pourtant bien ces sources que j'ai téléchargées... hum hum bon j'y retourne, mais je comprends pas bien quand même. ^^'

EDIT:Petite question, une faille include c'est que avec la fonction include/require/require_once ?
EDIT2:Bon, j'ai beau retourner les sources dans tous les sens, je ne trouve que 3 includes "vulnérables" dans le sens qu'ils utilisent une variable. Mais cette variable, je ne peux jamais la définir, ce n'est pas une variable modifiée par un formulaire, donc je me sens bête là. xD
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Sam Juil 02, 2011 11:10 am    Sujet du message: Répondre en citant

KEV-1
Modérateur


 
Inscrit le: 20 Oct 2009
Messages: 462



il faut juste trouver un moyen d'initialiser ces variables, relit bien le code
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 2 sur 3

Aller à la page Précédente  1, 2, 3  Suivante  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



110273 Attacks blocked