Réaliste

Il semblerait que le challenge néonazi ne fonctionne plus car je tombe sur une page vide.

Le problème est réglé. Sorry pour ce soucis.

Merci g0uZ. Il marche de nouveau mais ce n’est pas autant que je vais réussir ha ha ha 😄

Salut,

Petite question : J’arrive bien dans la section gestion mais je ne peux rien y faire :S il s’agit d’un bug ou simplement du faite qu’il faut que j’aille plus loin ?

Si plus loin je suis pas contre un petit indice :)

Adns

Une petite aide ne serait pas de refus.

J’ai testé :
– bypassé le formu d’authentification par SQLi,
– pas de cookies,
– pas de .htaccess,
– Pas de faille includ

J’ai essayé de modifier les URL dans tous les sens, rien n’en ressort.

Seule piste le dossier /img qui contient la tof mysql.jpg mais il n’y a à priori rien pour m’aider.

Une petite piste ?

Bonjour !
Je suis dessus depuis longtemps... Je passe et j’y reviens...
Je me suis décidé à poster pour voir si je suis sur la bonne piste.
Je reste perplexe devant le code JS qui ne sert à rien...
je tente des injections SQL (indice dans les images...) Rien n’y fait. J’ai trouvé une fichier .php qui n’affiche rien (je ne dis pas son nom pour ne pas spoiler : c*****.php).
Si une âme charitable voulait gentiment bien m’orienter...
Merci —

Juste en dessous du challenge, il est indiqué :

« 2 ressource(s) associée(s)
OWASP testing guide v3 (Exploitation - Web, Anglais)
OWASP testing guide v2 (Exploitation - Web, Anglais) »

Crois-moi, la solution est en partie dedans.

Bon ben une petite aide ne serait pas non plus de refus.
Comme les autres ci dessus j’ai testé les mêmes choses et comme les autres c’est sans succès.
J’ai également remarqué 2-3 petits trucs, j’ai même pensé qu’il y avait un peu de stéganographie dans l’histoire mais apparemment non.
Pour une épreuve moyenne, je la trouve plutôt difficile ^^ (alors que j’ai validé l’avant dernière où là j’ai trouvé assez vite la faille, aller comprendre... xP)
Merci d’avance.

Je viens de remarquer plusieurs messages d’erreur "Undefined variable" lorsque l’on parvient à entrer dans la partie administration du site. J’obtiens ceci (dans le menu de gauche) :

Notice : Undefined variable : nbP in /challenge/realiste/ch1/date.php on line 14
Notice : Undefined variable : dateC in /challenge/realiste/ch1/date.php on line 14
Notice : Undefined variable : nbPhoto in /challenge/realiste/ch1/date.php on line 14

aucun impact sur le challenge mais on prendra le temps de fixer ces "notices". merci pour ton retour !

Bonjour à tous,
J’ai trouvé pas mal d’éléments pour résoudre l’épreuve, seulement côté exploitation de la faille, (url, header, etc ...) ne donne rien du tout. En fait il me manque le nom du paramètre en question, si l’on pouvait avoir au moins le nom de l’application/CMS qui gère la galerie, ça m’aiderai à exploiter la faille que j’ai trouvé je pense. Merci bien

Vu sur irc.. :)

Re-bonjour,
Malgré tous mes efforts et les indices que Maximilian m’a fournis, je ne parviens pas à exploité la faille, je viens même à me demander si c’est bien une faille ... Je pense être en possession du nom de tous les fichiers du serveur et de tous les répertoires, mais impossible d’interagir avec le serveur. GRRR. Pitié ne me laissé pas devenir fou ! Thanks :)