Je vois pas en quoi le fait que le système de hashage crypto qui est utilisé est le Md5 change quelque chose. C'est probablement qu'ils ne sont même pas en ligne.

Il y a un site mirroir qui utilise les mêmes base de données des notes, mais je me rappelle plus l'adresse.

Quand tu connais la crypto et que tu parviens à la décoder, si tu obtiens un login d'admin, tu peut choper le mdp ...

houla, c'est le coin des experts!
Bon en gros, ça veut dire qu'on peut plus y aller alors... C'est dommage, ça avait un léger goût d'interdit

A décoder quoi ? Je veux bien qu'on fantasme hein, mais quand même. Tu veux decoder le log/admin ? ça veut dire craquer les bases de données a la base déjà, le stockage du mot de passe y est crytpé (type AES normalement). Mais si tu as craqué la db, c'est que normalement tu as assez de droit pour la visiter, et voir les entrée - donc les notes..

Ou alors tu veux craquer en générant assez de mot de passe sur serveur pour tomber sur le bon. Le serveur risque bloquer ta connexion serveur pour faute de trop requêtes - surtout en https. Ce qui n'est pas dit d'être possible puisqu'il ne s'agit pas d'un login au sens terminal du terme (pour les profils utilisateur) mais au sens web (donc php toussa).

Donc en gros, ça reviendrais a commencer par craquer le root du serveur - et la bon courage - avec un peu de chance elle utilise une debian, avec un peu de chance elle n'ont pas été mise a jour depuis la dernière faille trouvée, avec un peu de chance..

Et puis même, tu ne connais ni la structure serveur, ni qui a acces a quoi. Le plus simple est de rentrer par effraction ou pas dans une salle d'admin quoi.

Ou mieux appeler le secretariat pour avoir tes resultats en pretextant que tu t'en va 2 mois au cambodge.

Bref :D ce qui avait été fait ya deux ans, c'est surtout un piege. On garde l'empreinte numérique de la connexion (MD5 si tu veux préciser le codage, ce qui n'est pas tout a fait vrai, c'est juste la verification d'intégrité des données qui transitent par https), et on lance la page web jumelle installé en temporaire (qu'il fallait trouver, c'est le challenge).

J'avais réussi a trouver mes notes également via un autre procédé, en même temps, en choppant un autre site qui utilisait la même bdd (un site du rectorat de bordeaux dédiés au réinscription).. et dont le code n'avait pas été modifié temporairement pour ne pas afficher les données.

Si vraiment je voulais "tromper" le serveur, je chercherai d'abord un moyen de récupérer l'arborescence. Ou faire ce qu'on appele du social engenering - à la fac, ça doit pas être si compliqué a mettre en place, c'est le moins couteux, le plus rapide, et le plus classe surtout :D

c'est trop beau ce que tu dis fred

:gr:



ouais :gr: ça veut rien dire vous allez me faire remarquer. Mais :gr: sur un autre forum, c'est un smiley qui illustre bien les trucs de geek

M'enfin, le mieux ce serait surtout de pouvoir modifier les notes tant qu'à faire...

J'aime te faire vibrer, caro.

oh oui vas-y encore, mets moi un grand coup de cryptage AES tu sais comme j'aime ca

Tu la sens ma grosse requête SQL ?