Votre plus beau hack / crack

Une petite box juste pour faire part de ce que vous considérez être comme votre plus beau fait d'arme sur un real hack / crack.

Pour ma part ça remonte à quelques années sur un site que je visitais très souvent, je m'étais rendu compte que le site en question conservait dans ses cookies le login et le mdp (crypté) de la personne en session. Le truc cool, c'est qu'en modifiant ces données directement, on pouvait se logger sans passer par l'authentification classique.

Du coup je me suis mis en quête d'une faille pour pouvoir l'exploiter. J'ai trouvé mon bonheur lorsque je me suis rendu compte que sur les pages de présentation de profil, on pouvait inclure du code html non vérifié, dont des balises images (faille XSS spotted !). J'ai donc utilisé cette faille en mettant une image dans mon profil avec un bête attribut "onload" dessus qui hébergeait un script ailleurs. Ce script récupérait les cookies de la personne visitant mon profil et me les enregistrait sur un serveur distant (c'est très schématisé et ma mémoire peut me jouer défaut, mais dans l'idée ça faisait ça).

Un petit coup de Social Engineering par là-dessus et j'ai pu récupérer les identifiants de connexion d'une dizaine de personnes très rapidement, dont l'administrateur du site. Comme j'avais de bons rapports avec l'administrateur du site, je n'ai bien sûr pas joué ma pute et lui ai dit que son site comportait une faille majeur et comment la corriger.

Voilà, je suis curieux de connaitre vos expériences en la matière.

[EDIT] Mmmmhhh avec le recul je me demande si c'est pas un peu risqué d'étaler ses exploits comme ça ! Bref, moi je l'ai toujours fait dans un but soit purement professionnel pour mon taf, soit dans le but d'éviter des galères à des gens que j'aimais plutôt bien... Faites ce que vous voulez, mais le pseudo choualbox ne veut pas dire que vous êtes anonymes aux yeux de la loi ;)

Votre plus beau hack / crack
Poster un commentaire
anonyme
anonyme
a
9 ans

Perso, hier, j'ai retrouvé mon mdp skype perdu !

IMG
daftdef
daftdef
9 ans

Challenge #42 au moins ça !

Pouki
Pouki
9 ans

Pour ma part, c'est pas vraiment un hack, mais j'ai trouvé il y a plusieurs années une backdoor sur bangbros.com et fuckedhard18.com . Je les ai jamais divulguées, les 2 fonctionnent encore et c'est bien pratique pour les longues soirée d'hiver.

hamble
hamble
9 ans

Je viens de te pos' à tout hasard...

Pouki
Pouki
9 ans

Bonjour ?

n0MOre
n0MOre
9 ans

C'est pas vraiment du hack/crack mais bon je raconte quand même.

Pendant mon DUT avec des potes on allait en salle info et on se connectait sur les pc des voisins.
Notre petit jeu était de faire partir notre cobaye (les personnes qui ne connaissaient rien en info) de la salle le plus vite possible.
A notre disposition, tout. En général, on augmentait le volume avant de balancer les bruits de base sous l'os comme un "boinnng", bruit de cheval, etc..
On pouvait aussi afficher des petits messages sympatique comme "Big brother is watching you", couper un word sur lequel ils bossaient un projet.

Il y a eu également ce type de DUT GEII (censé connaitre un minimum) qui à deux reprises a défoncer le clavier et la souris en poussant des cris de détresse.

Bref, on s'amusait bien.

daftdef
daftdef
9 ans

dans le même genre de débilité qu'on faisait, c'était faire un screen du bureau, le mettre en image de fond, virer toutes les icones, masquer la barre des tâches et hop ! Le PC est freezé et même après un reboot, ça déconne toujours.
Simple mais toujours efficace pour faire rager les autres :p

Raedan
Raedan
9 ans

En BTS j'avais installé gMote sur le pc d'un gars de ma classe pendant qu'il était aux toilettes et je le contrôlais avec mon portable dès qu'il allait dessus . Il a racheté une souris rien que pour ça et envoyé son pc au SAV .

MyName
MyName
9 ans

Faites ce que vous voulez, mais le pseudo choualbox ne veut pas dire que vous êtes anonymes aux yeux de la loi ;)
Oui, c'est sûr, alors éviter de raconter vos grands "exploits", on ne sait jamais à qui se fier vraiment et n'oubliez pas que le délai de prescription (empêchement d'être jugé après X années) n'est peut-être toujours pas passé !

Nessy
Nessy
9 ans

(Pas le meilleur , mais le/les plus fun)

Y a de ça deux ans(voir plus) , je m'amusais à "hacker" des serveurs privées Dofus ,

Les cms de l'époque étant livrer avec une tonne de faille sql , c'était d'une simplicité de récupérer la bdd

Ensuite have fun en jeu en ce mettant modérateur et en virant tout les autres modérateurs , tout en foutant sacrément le bordel !

Bon ça servait à rien car un backup et c'était fini , mais c'était tellement fun , et on pouvais aussi faire ça en mode discret , en visant les gros serveurs , on met un deuxième compte Modérateur , que l'on connecte que quand il n'y a aucun modérateur de connecter (on se montre pas aux joueurs non-plus) , puis on triche un peu en boostant notre compte "legit" , et on domine le serveur

Puis généralement les créateurs ne le prenait pas mal quand ça ce savait !

anonyme
anonyme
a
9 ans

Avec un pote en IUT on faisait à peu prêt la même chose sur XNova, c'était beaucoup plus drôle quand t'avais en 3mn d'existence la plus grosse flotte du serveur 8)

testme
testme
9 ans

Hahaha les serveurs privés Dofus et leur grosse faille sql, c'est du g/nostalgie limite !

Netzah
Netzah
9 ans

Il y' a bien dix ans, j'ai réussi, en créant un Trojan avec l'aide d'un ami, à infecter les PC (privés) de tous ceux de notre classe d'informatique (une bonne dizaine). On leur a juste fait un peu peur, genre imprimer des pages, afficher du texte sur l'écran etc... De toute façon, ils n'avaient rien de bien intéressant.

Sinon à cette époque là c'était aussi très facile de s'emparer des comptes de messagerie en devinant la question secrète. Il suffisait de poser la question à la victime et bien souvent elle y répondait d'elle-même... C'était l'époque de l’insouciance et des anti-virus en carton!

MyName
MyName
9 ans

Pour les questions secrètes, la meilleure technique et de la demander en question secrète sur un faux site à l'image du site cible. Ils la donnent et en clair, svp.

Pouki
Pouki
9 ans

Autant demander le mot de passe à ce niveau ?

MyName
MyName
9 ans

Nope, il faut penser comme une victime, si tu veux que ton coup fonctionne. Si tu demandes le MDP, quand l'utilisateur va perdre son accès, il va changer le MDP avec la question secrète. Alors que si tu possèdes la question, tu changes la réponse et le tour est joué. Cependant, certains sites comme FB ou autre, envoient des liens temporisés (avec un temps limite à utiliser) pour récupérer l'accès avec les anciens identifiants et MDPs!

anonyme
anonyme
a
9 ans

Quand j'étais vraiment plus jeune, à l'époque de MSN Plus!, j'bidouillé un peu sans vraiment comprendre. Et un jour j'ai réussi à avoir accès à l'espace admin d'un célèbre site de rap français qui commence par un B. Voilà. Je me souviens de pas grand chose.

Sinon j'avais créer un script JavaScript pour MSN qui te permettais de prendre le contrôle d'un autre PC en envoyant un client à ta victime.

Je m'amusait beaucoup sans trop savoir ce que je faisais, je traînais sur des forums bidons de hacking. Mais en tout cas c'est bien marrant avec le recul.

Commentaire supprimé.

anonyme
anonyme
a
9 ans

Putain ouais. Quand j'étais petit je touchais à tout : un peu de hacking de pédé, je faisais des serveurs privées (genre WoW et Habbo Hotel (LOOOL)), de la 3D. Et maintenant plus grand chose. C'est triste quand j'y pense.

Darkfalz
Darkfalz
9 ans

Celui ci ! http://choualbox.com/2qwoR#comid3192248

( Oui, il m'en faut peu ! )

TheDude
TheDude
9 ans

Putain je suis une bite en programmation, ça fait 30mn que je cherche, c'est quoi la solution ?

Darkfalz
Darkfalz
9 ans

tu peux trouver des indices en commentaires quand j'étais aussi en mode galère dessus.

TheDude
TheDude
9 ans

Bah j'ai regardé oui mais ça m'aide pas à trouver la solution, comment tu as déchiffré le "%69%6e%73%74%61..." ?

Darkfalz
Darkfalz
9 ans

Indice dans ma capture d'écran.
Indice 2 : regarde les onglets.

TheDude
TheDude
9 ans

Putain enfin, faut dire tu m'as quasiment donné la réponse lel...Je pense pas que j'aurais trouvé tout seul, merci Mathieu :noel:

IMG

Commentaire supprimé.

testme
testme
9 ans

Une grosse faille sur un site type Prizee, pas besoin d'aller dans le détail.

Faites ce que vous voulez, mais le pseudo choualbox ne veut pas dire que vous êtes anonymes aux yeux de la loi

Darkgrim
Darkgrim
9 ans

Mouais.. C'est pas trop une bonne idée de raconter ça sur le CW.

Commentaire supprimé.

JesusDidntYolo

Ben moi à l'IUT, j'étais un ouf. Comme on avait des sessions publiques pour tous, j'allais dans le navigateur->sécurité->mdp et je récupérai tous les mots de passe du gestionnaire, après ct tro mar4nt..

spectry
spectry
9 ans

Hack de tout type de jeux flash en ligne. Les premiers sites il n'y avait rien a gagner, puis je me suis lancé sur les sites de jeux type prizee. La faille marche sur les jeux flash et fonctionne encore actuellement (mais beaucoup de site détecte en post traitement).
Quelque centaine d'euros de cadeau, du style lecteur dvd portable, Bon 100€ fnac, ect...
Mais j'ai eu quelque problème avec des administrateurs, toujours réglé à l'amiable.

ps: c’était il y a plus de 10 ans maintenant ;)

Diorega
Diorega
9 ans

Dans ma jeunesse, j'ai R-E et cracké la suite Divx Plus

Cette page est réservée aux ADULTES

Tu es sur le point d'accéder à un site web qui contient du matériel explicite (pornographie).

Tu ne dois accéder à ce site que si tu as au moins 18 ans ou si tu as l'âge légal pour visionner ce type de matériel dans ta juridiction locale, l’âge le plus élevé étant retenu. En outre, tu déclares et garantis que tu ne permettras aucun mineur à d'accéder à ce site ou à ces services.


En accédant à ce site, tu acceptes nos conditions d'utilisation.