Déface : Faille include 1

Moderator: Mod

Postby GHOSTX_0 » Tue Mar 15, 2011 8:42 pm

Aha même piste!?
J'ai retourné le code dans tout les sens!!! Je dois pas chercher au bon endroit =/
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Postby KEV-1 » Wed Mar 16, 2011 12:00 pm

attention, c'est une faille include, donc forger ses paquets ne sert a rien ici.
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

Postby GRIMMJOWBO » Wed Mar 16, 2011 12:30 pm

Hello all,
C'est juste une faille include toute bidon, pas besoin d'aller chercher loin :)
Une petite recherche d'includes vulnérables à l'aide d'un éditeur de texte et c'est trouvé.
++
Grimm
User avatar
GRIMMJOWBO
 
Posts: 778
Joined: Fri May 07, 2010 7:14 pm
Location: France

Postby TOMSBOY » Tue Mar 29, 2011 12:16 am

hello,

Ben...je sèche grave.
Pour l'instant j'ai juste deviné le pass d'un user, ce qu'il n'y a rien de glorieux :D , pour pvoir tenter d'exécuter des scripts.
Je me casse la tête pour savoir comment y créer mon compte, jme doute que l'envoi de mail est bidon.
Enfin je désespère pas, mais déjà un truc que je comprends pas; un "bête" include est possible sans url genre :?page=... ?

Bon je débute dans ce genre de hack, merci d'av pour vos conseils éclairés 8)
User avatar
TOMSBOY
Projets
 
Posts: 3
Joined: Mon Sep 20, 2010 5:36 pm

Postby TorTukiTu » Tue Mar 29, 2011 6:03 am

Tu as des tutos ici et un peu partout sur google si tu veux savoir ce qu'est la faille include.

Regarde les sources, tu recherches un include d'une variable qui peut être arbitrairement définie par l'utilisateur.

La tortue du 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby TOMSBOY » Tue Mar 29, 2011 11:46 am

Yes, j'ai déjà lu pas mal sur le sujet, je cherche pas ou il faut app...
Bon, merci pour l'info, jm'y replonge 8)
User avatar
TOMSBOY
Projets
 
Posts: 3
Joined: Mon Sep 20, 2010 5:36 pm

Postby 5N4K37 » Wed Mar 30, 2011 12:05 am

Bonsoir. Regarde bien toutes les variables.
Pense à venir un peu sur IRC, on pourrait de donner quelques conseils :)


Cordialement, 5N4K37.
User avatar
5N4K37
Projets
 
Posts: 276
Joined: Tue May 11, 2010 6:57 pm
Location: Where connected=1

Postby TOMSBOY » Wed Mar 30, 2011 5:54 pm

Salut 5N4K37, merci pour ton aide, j'apprécie 8)
User avatar
TOMSBOY
Projets
 
Posts: 3
Joined: Mon Sep 20, 2010 5:36 pm

Petite Aide

Postby WHITECAT » Sun May 01, 2011 4:22 pm

Si vous avez des probleme avec la faille include regarder ce site:

[color=cyan:7e1b226df8]http://www.ghostsinthestack.org/article-16-la-faille-include.html[/color:7e1b226df8]
WHITECAT
Projets
 
Posts: 2
Joined: Tue Apr 12, 2011 7:28 pm

:?:

Postby WHITECAT » Sun May 01, 2011 4:43 pm

Que faut il faire exactement?
:?: :?:
WHITECAT
Projets
 
Posts: 2
Joined: Tue Apr 12, 2011 7:28 pm

Postby KEV-1 » Sun May 01, 2011 4:44 pm

il faut trouver les failles include et les exploiter. c'est tout
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

Postby L-NAEJ » Fri Jul 01, 2011 4:20 pm

Hum, j'ai passé pas mal de temps sur ce challenge, il y a quelque chose que je ne compend pas.
Au début je cherchais à la main mais pour être sûr j'ai fini par ouvrir l'intégralité des fichiers dans un éditeur de recherche et à rechercher toutes les occurences du mot "include". Grande surprise, je n'ai trouvé qu'une seule variable exploitée par les includes, et l'utilisateur n'a pas la main dessus...
Alors j'ai bien trouvé d'autres fonction qui écrivent dans des fichiers dans lesquels j'ai tenté de mettre des include mais tout est "stripslashé" donc ça ne marche pas...
La faille a été corrigée ou j'ai raté quelque chose ? oO
L-NAEJ
Projets
 
Posts: 4
Joined: Fri Jul 01, 2011 4:14 pm

Postby GRIMMJOWBO » Fri Jul 01, 2011 4:29 pm

Hello,
Tu as raté quelque chose :)
Les sources sont dispos [url=http://hackbbs.org/tool/phpimage.html]ici[/url]
Recherche toutes les occurrences d'include et tu en trouveras des vulnérables.
++
User avatar
GRIMMJOWBO
 
Posts: 778
Joined: Fri May 07, 2010 7:14 pm
Location: France

Postby L-NAEJ » Fri Jul 01, 2011 4:36 pm

Salut !

Merci pour ta réponse rapide. C'est pourtant bien ces sources que j'ai téléchargées... hum hum bon j'y retourne, mais je comprends pas bien quand même. ^^'

EDIT:Petite question, une faille include c'est que avec la fonction include/require/require_once ?
EDIT2:Bon, j'ai beau retourner les sources dans tous les sens, je ne trouve que 3 includes "vulnérables" dans le sens qu'ils utilisent une variable. Mais cette variable, je ne peux jamais la définir, ce n'est pas une variable modifiée par un formulaire, donc je me sens bête là. xD
L-NAEJ
Projets
 
Posts: 4
Joined: Fri Jul 01, 2011 4:14 pm

Postby KEV-1 » Sat Jul 02, 2011 11:10 am

il faut juste trouver un moyen d'initialiser ces variables, relit bien le code
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

PreviousNext

Return to Aide aux Challenges?

Who is online

Users browsing this forum: No registered users and 2 guests

cron