Salut

Dit moi, j'espère que tu ne comptes pas utiliser ça pour sécuriser quoi que ce soit... c'est un peu juste.

Que veux tu savoir en fait ? Il semble bien que c'est un petit "checksum" mais pas bien compliqué.
Tu connais le mot de passe et le bon checksum mais pas le login or le login permet d'accéder à la page c'est bien ça ?
C'est pour un hacking contest ?

Je pense que si tu prends un papier et un crayon, que tu décortiques bien ce que fait le script, tu comprendra vite comment il faut chercher le bon login sans trop se prendre la tête avec un bruteforce qui va surement mettre très longtemps avant de trouver quoi que ce soit étant donné la multitude de caractères possible ici.

Hum ?

++

Effectivement ici on a affaire à un checksum : autrement dit comme l'a dit TibaL aucun autre moyen que la brute force.

Si effectivement il s'agit d'un challenge, il y a peu de chances qu'il attendent que tu utilises cet outils relativement maiprisé des organistaeurs de ce type de concours (une brute force ça sert à rien, tout le monde sait faire).

Soit donc :
- il y a un autre indice con sur la page
- ils attendent que tu ais juste vu "/epreuves/javascript/**login**.php". Autrement dit, il faudrait alors directement pointer sur la page /epreuves/javascript/epreuve4.php, en devinant le nom (probablement évident si ils attendent ça) de l'étape suivante.

J'ai déjà rencontré ces cas dans des challenges, après je connais pas ce challenge et peut-être que les organisateurs attendent simplement une brute force.

La seconde arme est donc la recherche et le renseignement et je te cite un topic de ce forum parlant du challenge Newbie contest java (j'imagine que c'est celui-ci) :

sur leur forum, ils ont dit qu'il falait coder un bruteforce.

PS: La prochaine fois donne un sujet clair et propre à ton topic, c'est pas une poubelle le forum.

TibaL a écrit:

Ah ba merde... à première vu j'avais l'impression que le bruteforce n'était pas obligatoire, mais en fait si

Il aurait fallu trouver ce chiffre : 3696619, avec l'opération récurente en i incrémental :

            var index1=tab.indexOf(login.substring(i,i+1))+10;
            var index2=tab.indexOf(password.substring(i,i+1))+10;
            sum=sum+(index1*n*(i+1))*(index2*(i+1)*(i+1));

lorsqu'on a de la multiplication ou de la division, c'est impossible de revenir en arrière et donc de trouver le mot clé qui correspond à login (puisque password on l'a déjà).

faut le coder en vb? ou un script en perl.

regarder ce que j'ai touver:




F _ Casser cette protection:

Voilà la partie qui vous intéressera sûrement le plus

Il existe de nombreuses façon de résoudre le problème de la checksum. Vous pouvez créer un programme en C ou C++ . Il suffit simplement de tester toutes les combinaisons possibles . Le calcul de la checksum sera à chaque fois comparé au nombre recherché.

Si vous ne savez pas programmé dans ce langage, ne vous inquiétez pas d'autres ont pensé à vous. C'était du temps de NewsHackers : il y avait un challenge où le but était d'accéder à une page protégée par un script utilisant la checksum.
Un dénommé Akhenathon avait réalisé un ptit programme permettant le calcul. Vous pouvez downloader son programme à cette adresse :
http://www.vbfrance.com/article.aspx?ID=5201 (inscription obligatoire)



Un script en Perl permettant le calcul :

my $liste='azertyuiopqsdfghjklmwxcvbnAZERTYUIOPQSDFGHJKLMWXCVBN0123456789_$&#@';
my $passwd;
my $valid;
while(1)
{
print $passwd;
$valid=check($passwd);
if($valid)
{
if($valid==1)
{
print " <- ok";
ecritfichier("result.txt",$passwd." <- ok");
} else {
print " *";
ecritfichier("result.txt",$passwd." *");
}
print "\n";
} else {
print "\r";
}
$passwd=&incpass($passwd);
}

sub check
{
my $tab=' azertyuiopqsdfghjklmwxcvbnAZERTYUIOPQSDFGHJKLMWXCVBN0123456789_$&#@';
# table des caracters autorises
my $mot=shift;
my $n=length($mot);
my $sum=1;
for $i(0..$n-1) {
$index=index($tab,substr($mot,$i,1));
$sum=$sum+($index*$n*$i)*($index*$i*$i);
}
# calcul de la checksum.
if ($sum==2669955)
{

#changer l'extension de la page en fonction de vos besoins
if(get('http://www.site.com/'.$mot.'.html'))
{
1;
} else {
-1;
}
} else {
0;
}

}

sub ecritfichier
{
my $nom=shift;
my $text=shift;
open FILE,">>".$nom;
print FILE $text."\n";
close FILE;
}

sub incpass {
my $pass=shift;
my $pos=shift || 0;
if($pos >= length($pass)) {
return $pass.substr($liste,0,1);
}
my $let=index($liste,substr($pass,$pos,1));
if($let>=(length($liste)-1)) {
substr($pass,$pos,1)=substr($liste,0,1);
return &incpass($pass,$pos+1);
} else {
substr($pass,$pos,1)=substr($liste,$let+1,1);
return $pass;
}
}



À noter : la checksum n'est pas une application bijective. C'est à dire qu'à une image correspond plusieurs antécédents . Autrement dit, si vous trouver une solution correspondant au nombre recherché, ce n'est pas forcément le bon mot !

ce qu'il y a c'est que je c pas du tout me servir de ce script qui m'expliquer un peu mieu svp.

je ne c pas programmé du tout mais sa doit etre possible en js car c une epreuve de javascript.

tien voila la page mais il faut que tu t'inscrive pour pouvoire visioner cette page sinon je peux t'aspirer la page.

http://newbiecontest.n0ne.org/index.php … t&no=8

jerem a écrit:

alors tibal?tu peux m'aider?

merci

Désolé, je passes mon BAC... je passes juste un petit coup sur le forum, j'ai pas trop le temps
Mes épreuves finissent Venderdi, d'ici là je ne pense pas rallumer mon PC, désolé.

à Vendredi soir

et maintenant?c fini la semaine du bac tu peux m'aider stp.

a+

et maintenant lool

enfait je voudrais juste savoire ce qu'est un script en perl comment l'utiliser ect..