Affichage hiérarchique

MadHatter · 26-07-2011, 20h09

Posez ici toutes vos questions concernant ce défi !

Booster2ooo · 01-09-2011, 18h56

L'admin passe souvent voir ses mails ? ^^

MadHatter · 02-09-2011, 00h50

Si tu n'as rien reçu, c'est que l'exploitation n'est pas la bonne Wink

.

Booster2ooo · 02-09-2011, 09h15

Disons que j'attendais que l'admin clique sur un lien mais il a l'air plus méfiant que prévu Smile

**ark** · 04-09-2011, 18h08

Bonjour !
J'ai bien compris comment exploiter la chose, mais y a t'il vraiment quelqu'un qui lis les mails ?

MadHatter · 05-09-2011, 02h11

Non. Humainement ce ne serait pas possible d'être dispo 24h/24 7j/7.

**ark** · 05-09-2011, 07h47

Ouais, c'est bien ce que je pensais... x) Ça va etre plus dur que prévu...

Mordred · (Modification du message : 22-09-2011, 04h14 par Mordred.)

Devons-nous exploiter la faille en pensant que l'administrateur lira ses mails (Et eventuellement cliquera n'importe où :p) ?

Car j'ai parfaitement cerné la faille, et ce qu'il fallait récupérer, hors, si les mails ne sont pas lu (même en simulé), je ne vois pas trop comment pousser l'administrateur à allez sur la page qu'il faut, puis à le rediriger vers vous savez quoi.

Donc, la question est de savoir si cet administrateur lit ses mails ou pas ! (Je le répète, de façon simulée, je me doute bien que ya pas quelqu'un qui va ouvrir la boite mail tous les jours, mouarf !)
Vu que MadHatter a dit humainement... Peut-être qu'ils sont lus de façon scriptée !

J'ai testé en lien, puis en redirection, les deux n'ont pas fonctionné. Pourtant l'exploitation fonctionne (Testé en local, avec mes coo..., qui ont été parfaitement récupérés sur la page adéquat), peut-être que la regex chargée de vérifier notre code n'est pas tout à fait au point ? Ca expliquerait peut-être pourquoi cette épreuve n'est que peu validée, alors qu'elle est relativement simple une fois qu'on a compris le truc. :confused:

Si quelqu'un qui a validé l'épreuve veut voir mon code, je peux lui envoyer sans soucis.

Merci, Mordred.

MadHatter · 23-09-2011, 00h17

Peu importe, que ce soit un humain ou pas qui lit les mails, si la syntaxe de l'exploitation est correcte alors la faille est "activée".
Le critère de "c'est un humain" ne devrait même pas rentrer en compte de façon technique et théorique puisque l'on demande une syntaxe particulière répondant au fonctionnement de l'exploitation de la faille ; on demande pas de noyer l'appat dans une dissertation style pishing.

De ce fait, cette faille s'exploite de façon très simple, et le regex est niquel, a été vérifié et revérifié. Si cette épreuve est peu validée au vue de sa relative simplicité c'est qu'elle fait intervenir la notion suivante propre au hacking : il y a une différence entre savoir exploiter une faille, et effectivement le faire.

Mordred · (Modification du message : 23-09-2011, 02h43 par Mordred.)

Ah mais oui, j'ai bien dis que le fait que le pseudo-mail soit interpreté par un humain ou un script, c'est du pareil au même (Tant que ce script fait correctement ce qu'on lui demande, bien entendu), je me posais simplement des questions sur la regex, car il peut y avoir plusieurs façons d'exploiter cette faille, c'est tout ! Si la regex ne reconnaitrait qu'une seule méthode, il y aurait effectivement un soucis.

Mais, tu me confirmes que la regex permet bien de valider toutes les différentes méthodes utilisés, alors il ne me reste plus qu'à retenter avec acharnement ! (En priant pour qu'un simple espace en trop n'empêche pas de valider, mouarf ! *mauvaise langue*)

Par contre, exploiter une faille signifie qu'il faut savoir le faire (Logique), c'est lié donc, si tu SAIS exploiter X faille, alors tu PEUX exploiter X faille, il faut juste prendre en compte le fait que la méthode d'exploitation possible peut être différente, étant donné que le code du dit-site n'est pas le tiens. (Entre autre) Après ne jouons pas sur les mots.

Faut être motivé, acharné, et tenter toutes les possibilités, comme pour tout d'ailleurs. *Se motive*

Cordialement, Mordred, challengement votre.

~~Fr3ak~~ · 23-09-2011, 21h35

Je suis censé faire quoi de ce que j'ai reçu après exploitation ? U_U
C'est dingue comme certaines épreuves sont plus proches de la stéganographie que du hacking.

itcef · 08-10-2011, 14h37

Je me suis acharné sur cette épreuve, mais doit on recevoir quelque chose ou nous ajouter comme destinataire aussi ?
Je suis sur que ma syntaxe est bonne !

Di0Sasm · (Modification du message : 19-10-2011, 19h43 par Di0Sasm.)

Si vous avez des commentaires, envoyer les par message privé à l'auteur du challenge. Si ça vous dit de faire mieux, envoyez moi votre version ;-)

MadHatter · 10-10-2011, 17h24

Je le répète une dernière fois: la Regex n'a aucun problème. Le filtre reconnait 7 syntaxes différentes. Si ça ne marche pas, c'est que vous n'exploitez pas la bonne partie du site.

MadHatter · (Modification du message : 28-10-2011, 15h00 par MadHatter.)

Allez après quelques semaines de pause je reviens dessus ...

Donc,
Qu'est-on sensé faire avec le mail reçu ? Big Grin

On dirait la syntaxe d'un ht... sauf que y'en a pas visiblement.

Donc, que signifie ce mail ? Je m'attendais à avoir la syntaxe d'un [ no spoil ] sur ma page (Ce qui aurait du être le cas, au vu de la simulation), ne trouvez-vous pas que cela n'est PAS réaliste ? (Je ne veux pas encore rendre dingue MadHatter, ce n'est qu'un avis personnel, inutile d'y voir une attaque)
Ce que je veux simplement dire c'est que lorsqu'on exploite réellement ce type de faille avec cette méthode, il est plus facile de[ no spoil ], ce n'est donc pas logique de recevoir un mail, vu que ces épreuves ont pour but d'être réaliste, et qu'en pratique ça ne se passera pas du tout comme ça.

Peux t-on simplement m'indiquer si ce sont des identifiants, ou pas. La page d'administration ne comporte aucun formulaire : Faut-il donc forger -vous savez quoi- sois-même ?

Dans tous les cas impossible de valider sur la page de validation avec le contenu de ce mail visiblement.

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler