Dans ce challenge, il n’y a pas de site, seulement un fichier que l’on nous présente comme l’AST d’un algorithme, et nous devons vraisemblablement le décoder : Les AST, contrairement au code natif, sont fait pour détailler dans un format universel un code ou un algorithme. Il devrait donc être aisé de le voir dans… Continue reading

Dans ce challenge on doit utiliser une faille XSS. Le principe de cette faille est un client qui laisse des scripts non-autorisés s’exécuter sur la page. Le site prend la forme d’un forum assez simple, où nous pouvons envoyer des messages et les voir une fois envoyés. Nous allons tester si ce forum est sensible… Continue reading

Dans ce challenge nous devrons une nouvelle fois faire face à de la déobfuscation, celui ci sera plus complexe que les deux précédents alors passons directement à l’essentiel : le script à décoder ! On sent que cela se complique. On a ici deux chaines de caractères suspectes et un script bien compliqué qui traite… Continue reading

Dans ce challenge nous nous intéresserons à Webpack. C’est une technologie qui permet de développer dans plusieurs fichiers distincts, voire des frameworks (Vuejs, React, Angular) et de pouvoir build le code en un bundle exécutable sur le navigateur en production. Ici on voit que les scripts directement liés sont bien des bundles, donc des fichiers… Continue reading

Dans ce challenge, on se confronte à une nouvelle notion : le code « natif ». Une fonction en Native code est un code qui a été compilé pour être rétréci et optimisé pour la rapidité. Elle est donc illisible mais pas irréversible. Lançons-nous !Nous sommes comme à l’accoutumée accueilli par un prompt nous demandant un mot… Continue reading

Obfuscation 2 ? Ne perdons pas notre élan et continuons sur notre lancée. Une nouvelle fois nous sommes accueilli par un prompt, comme sur le précédent avec un mot de passe à trouver. Regardons directement dans les sources. Ah, ça se corse. On dirait qu’un simple unescape ne suffira pas, aiguisons notre observation avant de… Continue reading

Dans ce challenge, on rencontre un concept aussi nouveau que difficile à prononcer : l’obfuscation (ou obscurcissement). L’idée est de masquer une réelle information sous des méthodes de modification visuelles. On est encore une fois accueilli par un prompt nous demandant un mot de passe : on réactive les habitudes des challenges précédents : cancel,… Continue reading

Dans ce challenge, nous arrivons sur une page avec un bouton login qui déclenche une alerte. Cette alerte nous demande cette fois-ci un utilisateur et un mot de passe. Ne perdons pas les bonnes habitudes et regardons dans les sources. On peut bien voir ici les alertes (ou prompt qui sont des alertes avec un… Continue reading

Dans ce challenge, nous sommes une nouvelle fois accueilli par une alerte, nous allons donc la passer pour regarder le code comme dans les challenges précédents : En observant le code, il semble qu’il n’y a pas de script lié, ce qui est étrange. Nous allons donc regarder dans les sources (si celles-ci ne s’affichent… Continue reading