black hattitude : a last dance

mnem0 — Mon, 02 Nov 2009 05:19:33 +0000

Alors, google dansera t il où non une dernière fois avant 9h ce matin ? quoi qu’il en soit, on se sera tous bien amusés, (bon, ok, je serais vert de ne plus être premier ^^).
La black hattitude c’était très fun, très black, et très instructif, merci à tous les black hats talentueux du forum discodog qui m’ont plus appris que l’inverse.

Promis, si je gagne le concours black hattitude, mon cri de victoire ne ressemblera pas à ça ^^

See ya Soon.

black hattitude : there can be only one

mnem0 — Fri, 30 Oct 2009 19:10:24 +0000

Tout est dans le titre ^^. J’espère garder la 1ere place de la black hattitude jusqu’à la fin, on peut toujours rêver vu les pointures qui participent, même en mode détente.
En tout cas, merci à toutes et tous pour ce concours black hattitude qui fut riche en enseignements black hattitude. J’ai déjà prévu un kilo de coke, 184 plaquettes de LSD « Bart Simpson » double face et 13 litres de café pour tenir ce week-end, on ne sait jamais ^^.
Et un petit lien vers le meilleur forum seo français 100% black hat

black hattitude hacks en plein concours

mnem0 — Sun, 06 Sep 2009 01:30:07 +0000

le concours black hattitude vient tout juste de commencer que déjà, deux participants ont eu la joie de se faire hacker leurs sites.
Pour un concours « no rulez », il fallait s’y attendre ^^. Pour ma part, je suis étonné que ce genre de chose n’ait pas déjà pris plus d’ampleur, mais en fait, s’adonner à du hack serait à mon avis, plus judicieux vers la fin du concours black hattitude. Pour en revenir au hack, pas mal de concurrents on pris le parti d’utiliser des CMS genre wordpress, le genre de logiciel particulièremen. prompt à être faillible : puisque c’est un soft populaire, les piratez en font une cible de choix pour essayer de trouver des faiblesses dans le soft lui-même où les plug-in.

Il y a peu de tempss, c’etait wordpress 2.8.3 qui faisait la une des blogs pour sa faille « reset password » :

Dans sa version 2.8.3, la page wp-login.php contenait cette fonction :

function reset_password($key) { global $wpdb; $key = preg_replace('/[^a-z0-9]/i', '', $key); if ( empty( $key ) ) return new WP_Error('invalid_key', __('Invalid key')); $user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users WHERE user_activation_key = %s", $key)); if ( empty( $user ) ) return new WP_Error('invalid_key', __('Invalid key')); // Generate something random for a password... $new_pass = wp_generate_password(); do_action('password_reset', $user, $new_pass); wp_set_password($new_pass, $user->ID); update_usermeta($user->ID, 'default_password_nag', true); $message = sprintf(__('Username: %s'), $user->user_login) . "\r\n"; $message .= sprintf(__('Password: %s'), $new_pass) . "\r\n"; $message .= site_url('wp-login.php', 'login') . "\r\n"; $title = sprintf(__('[%s] Your new password'), get_option('blogname')); $title = apply_filters('password_reset_title', $title); $message = apply_filters('password_reset_message', $message, $new_pass); if ( $message && !wp_mail($user->user_email, $title, $message) ) die('

' . __('The e-mail could not be sent.') . " \n" . __('Possible reason: your host may have disabled the mail() function...') . '

'); wp_password_change_notification($user); return true; }

il suffisait de commenter l’intégralité de la fonction excepté le « return »
et de chercher ce passage là
case 'rp' : $errors = reset_password($_GET['key']); if ( ! is_wp_error($errors) ) { wp_redirect('wp-login.php?checkemail=checkemail'); exit(); }

de commenter l’appel de fonction wp_redirect et d’afficher un joli message pour le visiteur indélicat du style

case 'rp' : $errors = reset_password($_GET['key']); if ( ! is_wp_error($errors) ) { /*wp_redirect('wp-login.php?checkemail=checkemail');*/ echo(Belle tentative de black hattitude ^^ essaye encore'); exit(); }

les robes|toutes les robes|rien que les robes » black hattitude : concours

black hattitude : a last dance

black hattitude : there can be only one

black hattitude hacks en plein concours