Wiki sécurité informatique

GUESSING 50 - So Basic

Énoncé :

Mister Julien Ducul has a dog named Rex, his dog is 5 years old and so he wanna make a fancy website in order to make this birthday special. Unfortunately, he is not able to remember the credentials he has configured on the website.

Éxploit :

Dans un premier temps, nous prenons l'adresse IP fourni pour vérifier s'il y a un serveur web derrière.

Nous voyons, que nous arrivons directement sur une page d'authentification (403) via htaccess.

Étant donnée que l'épreuve est une épreuve de gessing, nous n'avons pas testé de bypassé le htaccess. Nous avons tout de suite réfléchi au guessing de l'auth grâce à l'énoncé.

C'est parti pour une batterie de tests de login possible : - admin - administrateur - jean - jeanducul - jducul

Et de mot de passe : - admin - jean - rex5 - rex2011 ( nous sommes en 2016 lors du challenge, le chien à 5 ans ) - dogrex

Puis au final, après avoir testé plusieurs jeux, on trouve le couple : jducul/rex2011

Le flag s'affiche alors : ndh2k16_68a3fhosqahxdxc