j'ai juste fait un copier coller,j'ai lu ça sur geux.be un site sur la xbox
 
 
"Voici l'idée orginale du magasine Windows IT Pro qui lance un concours permettant de gagner une Xbox à condition de hacker un site web mis en place pour l'occasion.
 
Le serveur hébergeant le site fonctionne sous Windows 2003 SP1 mis à jour avec tous les hotfix et patchs existant actuellement et enfin Microsoft IIS 6.0. Vous êtes donc légalement autorisés à hacker le site www.hackiis6.com pour soit le défacer soit découvrir les fichiers cachés sur le serveur. Si vous êtes le 1er à réussir vous repartirez avec une console sous le bras et sans amendes.
 
Vous l'aurez compris, l'idée étant de promouvoir la sécurité d'un serveur sous un environnement Windows."
 
 
 
.

Allllez, l'e133te, il est temps de montrer ce que vous avez dans le bide
 

Il va pas tenir longtemps.
S'ils ont été honnêtes...

En fait, il n'y a ni Windows, ni IIS derrière. C'est un piège. On va se casser les dents.
 
Boah, hacker en tte légalité, c'est sympa.
 
EDIT: S'ils commencent à donner des infos sur leur config d'emblée... C'est de la provocation.

une xbox, pourquoi pas un mars aussi

En plus de la XBox, alors.  

une xbox

pardon ? il faut hacké une xbox depuis un smartphone ?  
Facile lol

Mine de rien ils cherchent vraiment a faire voir que c'est possible de bien securiser le tout ... Ils veulent meme mettre de l'asp en ligne ...

Non
 
Il s'agit de hacker un smartphone depuis un Mars.

Ceci dit, une "xbox", c'est vraiment se payer la tête des gens.
 
Ils se font :
1°- une pub d'enfer;
2°- un solide test de sécu
 
pour le prix d'une console.

Comme je l'ai proposé a sircam en mp, je serais assez "Pour" profiter de ce genre de concours, non pas pour y gagner un mars mais plutot pour y gagner des connaissances.
 
Je m'explique : Toute personne faisant un test (meme si c'est pas le truc pire evolué) sur le serveur, l'inscris ici et donne la raison.
 
Le but ? Non pas former des hackers en puissance mais plutot faire un topic de centralisation sur les failles connues et actuelles.
 
Attention cependant a lire les regles du serveur, qui demande de ne pas executer certains types d'attaques (apperemment ils veulent pas qu'on plante le serveur)

mdr, c'est sur que une xbox c'est vraiment la dèche...
 
Dommage que j'en est déjà une, faut demander sur les forums de jeuxvidéos.com, avec une horde de gamin boutonneux prés à tout pour une xbox !!! Je voix bien une cinquante de gamin en mème temps lancé une attaque dos à partir d'un soft trouvé sur le net lol

 
Justement mais ici on est pas sur jv.com(heureusement), donc ça serait plus interessant de faire les choses bien .
 
Perso j'ai appris l'existance de telnet il y a 6 ans a peu pres grace a un petit concours de ce genre, et je suis sur qu'il me reste pas mal de route a faire
 
Bon aller , 1er petit test (fait pour controler si sircam raccontait une connerie visible oubien pas )
 
(possible de le faire simplement avec un plugin firefox... mais bon voila le truc general)

Resultat :  

 
Utilité ? Dans notre cas pas des masses parcequ'ils nous ont donné deja la version du serveur, mais on peut parfois tomber sur des info interessantes

J'ai tout d'un coup une crainte et un doute.
 
Supposons qu'on après l'échauffement du telnet, on commence à échaffauder des attaques sérieuses. Le but étant d'apprendre, chacun détaillera ce qu'il a testé, le résultat potentiel, l'interprétation des résultats.
 
Si la qualitaÿ est au RDV, ce topic risque de devenir LA page de référence de l'apprenti-hacker.
 
Son profil :
- Jeune. Très jeune.
- Ne comprends pas vraiment l'informatique. Utilise des bots tout faits.
- Passe son temps à nettoyer les trojans et virus installés par lesdits bots.
- Ne comprends pas l'Anglais, s'exprime de manière approximative dans sa langue maternelle et apprécie hautement un topic en Français.
- Prétends utiliser un OS obscur, alors qu'en réalité, il ne connaît que Windows.
- Tchatte sur MSN avec les meufs devant sa webcam. Abuse du SMS-stÿle, de LOL et du verbe kiffer.
 
Je caricature un peu, mais on risque d'obérer la réputation de droiture de cette section du forum, en attirant toute une série de morons.
 
Ca vient juste de me passer par la tête, et j'attends vos avis éclairés sur cette question.

Complètement d'accord.
 
Mais je pense que si ce topic reste assez technique, et que on donne pas de vraix choses à faire, une conduite points par points, ce genre de hackers n'arriveront pas à reproduire ce schéma.
 
Par exemple, le whois de esox_ch, si il mettait juste :
"J'ai fais un host sur le site avec le telnet et g eu : ..."
Ben des débutant seraient pas le refaire. Alors que là, il a expliqué ligne par ligne, commande par commande sa requète.
 
Un peu plus de flou serai sympa  

Ouaip, ça me paraît être un bonne idée.

Oui je suis assez d'accord sur le concepte, mais le truc est que, a part telnet, pratiquement tout les programmes que je vais utiliser seront sous unix ... donc peu de risques que l'abbruti windowsien bouteux comprenne de quoi on parle..

L'idée est pas mal.
 
J'ai fait rapidement la structure visible du site
 

 
le mieux se serait de creer un forum juste pour nous, cad les personnes qui ont recu un minimum de formation et qui pour but dapprendre les principales failles de facon a ameliorer la securité de leur site et non d'em******* le monde.

D'un autre coté à mon avis, ça doit être quand même super technique de hacker un serveur comme ça. Et ça m'étonnerait que ça soit à la portée de n'importe quel boulet.
 
Si quelqu'un veut apprendre le hacking il existe déjà des dizaines de sites, dont pleins qui permettent de télécharger des outils tout fait ou des virus, alors je vois mal l'impact que pourrait avoir un sujet qui parle d'hacker un serveur specifique IIS 6.0  
 
Le tout c'est pas d'avoir l'information disponible, encore faut il être capable de l'exploiter. Parce que sinon tu tapes dans google hack IIS et la première réponse te donne déjà des infos là dessus (bon ok pour des versions anterieures).
 
En tout cas j'espère que quelques uns seront près à tenter cette expérience, du point de vue purement technique c'est toujours instructif ce genre de chose.  
 
 

Pour le challenge intellectuel

Le truc du sous-forum reservé a certaines personne peut etre une bonne idée mais est relativement complexe a organiser...
Sur un forum ou j'avais eté par le passé il y en avait une et pour y entrer il fallait etre parainné par 2 membres .. et si qqn faisait une conneries c'etais les 2 membres parains qui étaient jartés... Mais bon c'est pas trop la philosophie de ce forum alors on va pas trop chercher nonplus.
 
Parcontre, je trouve que le fait de mettre juste l'info retrouvée (comme l'a fait RiderCrazy) n'a pas trop de sens, personne n'apprendra rien en lisant ça a part que Rider sais utiliser un aspirateur de sites / un pluggin firefox et que ce site utilise des pages html et des fichiers css ... bref rien de bien mechant ... surtout qu'il y a un grand nombre de documents qui n'ont pas été repertoriés car non linkés sur les autres pages...
 
Je trouve qu'il faudrait mettre par exemple :

 
ça serait pas mal je pense ... ça donnerait un petit suivi utilisable mais pas trop précis parceque, c'est vrai qu'apres y avoir reflechi un moment je me rend compte que si toutes les demarches sont données dans la meme mesure que celle que j'ai mise pour le telnet, on risque de donner des mauvaises idées...
Bref c'est dimanches, si ce soir j'en ai la force je vais essayer de faire 2-3 tests... sinon ca attendra mercredi

Quelques petits checks de routine avant de dodo :
 
1er:  
 

 
2ème :  
 

 
3ème
 

 
Et pour ce soir c'est tout. a bientot

 
la classe 3 mots, des fautes a la pelle, on se demande qui est l'abruti la dedans

Ecoute, j'essaie (avec d'autres) de donner un sens à ce topic. Je sais que je fais des fautes d'orthographe à la pelle, je m'en excuse d'ailleurs souvent et si on me le fait remarquer j'essaie de les corriger assez tôt.  
Le français n'est pas ma langue maternelle, je suis italien d'origine, je sais que ce n'est pas une excuse mais ça peut expliquer certaines fautes. Un autre élément de réponse pourrait être que l'orthographe m'a jamais trop passionné (je suis plutot math,physique et informatique).
 
En résumé, si mes fautes te derrangent tant que ça, je peux essayer de faire un effort, bienqu'en général je considère que quand c'est moi qui apporte une reponse (ou un élément de reponse) la personne d'en face puisse faire un effort et convenir qu'autant l'informatique n'est peut-être pas son fort, autant l'orthographe n'est pas vraiment le mien. Donc desolé pour mes fautes, j'essaie de m'auto-corriger au maximum mais c'est malheureusement pas toujours parfait

 
c'est pas que je fais une fixette sur les fautes (et tes origines non francophones excusent pas mal, hein, faut pas croire), c'est surtout le ton lourd de mépris (voir meme un brin insultant) que je trouvais hautement malvenu, surtout quand il etait accompagné de la brochette de fautes sus-citées
 
Sur ce je m'en vais de ce topic, pask'en fait ca m'interesse pas trop. 'musez vous bien

chrisbk> va répondre à la question de Taz plustôt que de faire le kéké ici  

Chris, ce ton était surtout destiné a sircam, avec qui on a quelques fois plaisanté sur les "c0wb0y et l'3l1t3", ce n'etait pas du tout contre les utilisateurs normaux de windows mais plutot contre certains ... individus... qui se croient plus intelligents que la majeure partie des admins de reseau parcequ'ils sont arrivés a taper "hack bruteforce" sur google ... Chose moins frequente sur linux étant donné que papa a rarement installé une slack sur l'ordio du môme , En tout cas sans rancunes, bonne soirée

Je vois que l'un d'entre vous a scanné les ports du serveur. D'abord, première question: a-t-il scanné tous les ports (2^16) ?
Et deuxieme question, pour moi qui je l'avoue ne connais pas grand chose en réseau, dans la mesure où tous les ports sont fermés, hormis le port 80, comment attaquer autrement qu'en utilisant une faille du protocole http ?
 
Je vais probablement me faire jeter vu ce que j'ai lu plus haut, mais qui ne tente rien n'a rien.
 
Merci de votre réponse.
 
PS: esox_ch> pour un italien, je dois dire que tu parles bien mieux le français que beaucoup de mes compatriotes.

S'il y avait une très grosse somme d'argent à la clé, peut-être que des personnes capables de hacker le site s'y intéresseraient, mais là avec une Xbox à la clé j'ai du mal à croire que quelqu'un prenne la peine de se pencher sur le sujet.
 
Ensuite c'est plutôt débile comme concours. Les faiblesses d'un logiciel comme un serveur web ne se révèlent pas sur UN serveur en UN mois mais après usage sur des centaines de serveurs différents et des mois d'usage.
 
Ca m'a l'air complètement pipeau m'enfin je suis loin d'être un expert.

c'est sans doute du pipeau, mais ça en crée du volume de texte sur le net.
Je sais pas depuis quand c'est en ligne ce site, mais que on tape "hack iis 6" dans google, la première page ça se rapporte uniquement à ça.
Pour de la pub, c'est de la bonne pub.
J'éspère pour eux qu'ils vont tenir. En même temps, y aura t-il des gens competents pour tenter de se faire leur serveur... j'en doute, une xbox c'est maigre, très maigre...

Les mecs qui ont déjà codé des exploits IIS ne vont pas s'amuser à les griller pour... une X-box !
 
A mon avis, n'essayez même pas d'exploiter une mauvaise config, je suppose que les mecs ne sont pas aussi idiots que ça, passez direct au désassemblage des DLL intéressantes (ce qui est illégal si ce n'est pas à des fins de compatibilité, mais après tout c'est le monsieur qui vous y encourage hein ).

Donc . Est-ce que je les ai tous passés au scan : Oui . Et ça a pris un bon pti moment.
 
Lens vrai hackeurs vont s'y interesser? J'en sais rien, p-e juste pour leur montrer qu'ils jouent avec le feu, mais de toutes façon c'est pas vraiment le but de ce topic vu qu'on doit rester a peu pres sur le legal.
 
Comment les hacker? Continuer a chercher des failles.
 
Perso j'ai que tres peu de notions specifiques a windows et IIS (la pluspart d'ailleurs se rapportent a des vieilles versions), je suis plutot tourné coté unix mais je le repete mon but n'est pas du tout de vous faire un topic "comment devenir un hackeur" (Je n'ai de loins pas les compétences pour le rediger), mais plutot "Quels sont les premieres choses que des hackeurs "en herbe" vont essayer et donc quels sont les premieres choses a combler sur un serveur".
 
Pour le moment le but est assez atteint, maintenant j'attend vos contributions

Le problème d'IIS6, c'est qu'il n'y qu'une seule faille connue non-patchée... qui concerne l'interface d'administration à distance, qui n'est pas activée par défaut

 
C'est bien la, a mon avi, la raison pour laquelle le site est encore online .
 
Mais p-e que l'introduction de l'asp dans les prochains jours va ajouter quelques portes...

 
Pour une faille connue, combien de failles "inconnues" (ou en tous cas non publiées ) ?
 
C'est aussi à ça que servent ce genre de concours, à récupérer du 0day pour pas cher (c'est ce que font en permanence les gars de Honeynet, par exemple).
 
De toutes façons, si le type était si sûr de la sécurité de son serveur, il ferait un concours permanent (sans date limite)

Comme l'american express

HUm, il faut tester et découvrir une autre faille...
 
Qui a plus d'infos sur le site en ASP ? la version de l'ASP, et surtout si il va utiliser une bdd...