N-PN White-Hat Project
Aide challenge - Version imprimable

+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Communauté (https://dev.n-pn.fr/forum/forumdisplay.php?fid=10)
+--- Forum : Le bistrot (https://dev.n-pn.fr/forum/forumdisplay.php?fid=17)
+--- Sujet : Aide challenge (/showthread.php?tid=2641)



Aide challenge - Shirobi - 27-01-2013

Suite à une présentation, j'ai vu que le membre en question était bloqué sur une épreuve, j'ai donc essayé de m'y lancé, j'ai vu que ça n'avait pas de rapport avec la variable "limit" donc pas de bypass possible, par contre j'ai réussi à exploiter une LFI. Voilà se que ça m'a donné:

http://img11.hostingpics.net/pics/37106495pb.png


J'ai essayé de modifié l'arborescence de l'url en fonction de se qui m'était donné, mais rien O_o.

Si quelqu'un à une idée, car ça me prend la tête!

Merci!


RE: Aide challenge - ze pequeno - 27-01-2013

En fait, tu as tout pour réussir.
tu utilises le même principe pour afficher le .htpasswd grace au chemin que tu as trouvé (avec une subtilité quand même facile à voir ... joue avec le chemin..).
Ensuite, ce n'est qu'une question de décodage de mot de passe.


RE: Aide challenge - Swissky - 27-01-2013

Comme le dit The Pequeno, tu dois juste afficher le contenu du htpasswd en fonction de l'URL qu'il te donne. Attention il te donne une url relative, et tu dois en faire une url absolue Wink


RE: Aide challenge - Kiwazaru - 27-01-2013

Pour t'éclaircir, tu a un chemin noté dans la page. Sert en toi pour continuer ton challenge Smile
Tu devrais tomber sur un lien avec : admin:password_que_j_ai_cache :p

Et voila, après comme l'a dit "ze pequeno" il te suffit de trouver en quoi est chiffré le password et de le déchiffrer Smile


RE: Aide challenge - Shirobi - 28-01-2013

Ca y'est trouvé! (Sur l'ipad svp) mais Je ne peux pas decrypter help.. :-[


RE: Aide challenge - Di0Sasm - 28-01-2013

Non mais le but c'est de chercher, pas que quelqu'un te file la résolution, comment tu ferais en cas réelle un client de demande une audit de sécu sur son site tu va l’appeler pour lui demander l'accès ? Non donc le but c'est d'apprendre il y a des difficultés mais faut en passer par là pour apprendre.

Donc cherche un peu et tu trouveras.


RE: Aide challenge - kaizo - 28-01-2013

il y a un forum d'aide sur cette épreuve qui spoil énormément, utilise les ressources du site, qui plus est pour cracker un mot de passe il n'y a pas 50 logiciels ;-)


RE: Aide challenge - Shirobi - 28-01-2013

(28-01-2013, 15h30)DI0Sasm a écrit : Non mais le but c'est de chercher, pas que quelqu'un te file la résolution, comment tu ferais en cas réelle un client de demande une audit de sécu sur son site tu va l’appeler pour lui demander l'accès ? Non donc le but c'est d'apprendre il y a des difficultés mais faut en passer par là pour apprendre.

Donc cherche un peu et tu trouveras.

Ah Non C'est pas ca le probleme xD C'est surtout que Je ne risque pas de decoder grand chose sur une tablette samsung et mon pc est parti en reparation en debut d'aprem. Je l'ai la reponse devant mes yeux sauf que je ne la comrend pas, mon cerveau C'est pas "kalkulators" ^^


RE: Aide challenge - Di0Sasm - 28-01-2013

(28-01-2013, 15h44)Shirobi a écrit :
(28-01-2013, 15h30)DI0Sasm a écrit : Non mais le but c'est de chercher, pas que quelqu'un te file la résolution, comment tu ferais en cas réelle un client de demande une audit de sécu sur son site tu va l’appeler pour lui demander l'accès ? Non donc le but c'est d'apprendre il y a des difficultés mais faut en passer par là pour apprendre.

Donc cherche un peu et tu trouveras.

Ah Non C'est pas ca le probleme xD C'est surtout que Je ne risque pas de decoder grand chose sur une tablette samsung et mon pc est parti en reparation en debut d'aprem. Je l'ai la reponse devant mes yeux sauf que je ne la comrend pas, mon cerveau C'est pas "kalkulators" ^^

Bah sinon tu attend d'avoir tout les outils à disposition pour pouvoir finir l'épreuve en même temps tablette ou pas il y a assez de support en ligne pour décoder un passe sans avoir besoins de logiciel.

et sinon les hash tu te code un petit truc pour les décoder comme apparemment tu connait le chiffrement utilisé.

Et si la tablettes est open tu peux coder. Je répond avant le futur message Smile.

Sans vouloir être méchant hein Wink