Réaliste

lundi 19 décembre 2022, 12:09  #1
Réaliste - Eh oui parfois
Cali
Cali
  • 2 posts

Salut je suis nouvelle ici du coup enchantée  😊

J’imagine que les gens ici doivent en avoir marre d’entendre parler de ce challenge puisque c’est le premier donc désolée d’avance si ma question est stupide ou pas pertinente.
Du coup, avec un peu d’intuition j’arrive bien dans la section admin et je me retrouve face à la fameuse pop-up. Bon déjà je sais que je pourrai bruteforce le mot de passe mais vu le nom du challenge et sa description, ça doit pas être ce qu’on cherche à faire. Même raisonnement pour les SQLi du coup et mes connaissances s’arrêtent à peu près là pour ce qui pourrait être utile ici.
Ne reste que chercher un mot de passe évident ou arriver sur la section admin sans passer par la popup de connexion. D’après ce que j’ai vu sur le forum il s’agirait + de cette dernière solution mais du coup je n’ai aucune idée de ce que je pourrai faire pour y arriver, la doc fournie avec le challenge me semble un peu trop pointue par rapport à la simplicité annoncée donc je ne pense pas que j’y trouverai ma solution.

Cordialement, Laurie.

dimanche 29 janvier 2023, 18:41  #2
Réaliste - Eh oui parfois
Ben
Ben
  • 4 posts

Sayloute !
Ce qui me perturbe c’est que je pensais l’avoir réussi , j’utilise un outil (hydra) qui me donne ce qui me faut comme info ;) sauf que ca ne me permet pas de me logger...
je bugge !

mercredi 1er février 2023, 11:18  #3
Réaliste - Eh oui parfois
Th1b4ud
Th1b4ud
  • 1636 posts

La vulnérabilité est identique à un challenge web à 15 points

lundi 12 juin 2023, 11:24  #4
Réaliste - Eh oui parfois
karm78
karm78
  • 1 posts

Bonjour , j’ai réussi à trouver , sans donner trop d’indice un ficher .db sur cette fameuse page web grace à ffuf. Etant novice aussi, je suppose que le flag demandé doit être à l’intérieur de celle-ci car je me suis renseigner et il sagirait d’un fichier de type base de donnée. Sauf que impossible à ouvrir et à exploiter, j’ai cherché sur internet il me dise avec libre office mais quand je l’ouvre avec ça me met conrompus et meme si je fait réparer le fichier. J’ai essayer de lire avec vinetto mais je ne comprend pas tres bien comment ça fonctionne et comment exploiter les données le fichier à l’aire d’être chiffré.

lundi 11 septembre 2023, 20:04  #5
Réaliste - Eh oui parfois
XYZ_366
XYZ_366
  • 1 posts

Sur le challenge03.root-me y a un fichier d’extention db mais ca refus de s’ouvrire j’ai essayer tout methode mais ca marche pas j’ai utiliser dirbuster qui ma enumerer un dossier /admin une fois le rentrer dans la barre de recherche a la fin de "http://challenge01.root-me.org/realiste/ch3/admin/ " il me demande l’authentification du challenge01.root-me ce qui veux dire que le challenge dois etre debuter sur challenge01.root-me de trouver le username et le password d’abord. Et la je suis blocker

Nouvelle réponse Nouvelle réponse   Nouveau sujet Nouveau sujet