• STATISTIQUES
  • Il y a eu un total de 0 membres et 28983 visiteurs sur le site dans les dernières 24h pour un total de 28 983 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Packet Storm
    Packet Storm est un site qui combine nouvelles de la sécurité informatique, téléchargemen...
    Vulnérabilités
    [EN] PHPFreaks
    PHPFreaks est un site dédié à l'apprentissage et l'enseignement du PHP. Ici vous trouver...
    Programmation
    [EN] Astalavista
    JavaScript: 1, Exploit: 2, Crypto: 34, CrackIt: 15, Stegano: 8, Programming: 12, Logic: 36, Special: 6, Science: 4, Info...
    Challenges
    [FR] Newbie Contest
    Crackme: 35, Cryptographie: 49, Hacking: 27, Javascript/Java: 17, Logique: 31, Programmation: 23, Stéganographie: 53
    Challenges
    [FR] Root-Me
    Notre équipe se base sur un constat : à l'heure actuelle ou l'information tend à devenir...
    Hacking
    [FR] µContest
    µContest est un site de challenges de programmation, c'est à dire qu'il propose des épreu...
    Hacking
    [EN] Hack this site
    Basic: 11, Realistic: 17, Application: 18, Programming: 12, Extbasic: 14, Javascript: 7, Stego: 17
    Challenges

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Questions : épreuves
20-08-2016, 13h01 (Modification du message : 21-08-2016, 09h42 par Jupiter41.)
Message : #1
Jupiter41 Hors ligne
Newbie
*



Messages : 5
Sujets : 2
Points: 0
Inscription : Aug 2016
Questions : épreuves
Bonjour,

Je me suis inscrit assez récemment sur ce forum pour m'entraîner et trouver quelques tutoriels. Je suis avide de connaissance mais je bug sur les épreuves sur ce site et d'autres (un peu tout les types dans lesquels j'ai quelques conaissances )

Donc j'aurais trois questions sur 3 types d'épreuves différents (faille applicative, crack, faille web)


Faille applicative :

Comment puis je faire des scans de vulnérabilités ou utiliser Metasploit alors que la machaine cible est sous la forme ssh machin@machine etc...?

Crack :

La plupart des epreuves de crack ont un serial unique mais je ne trouve aucun tuto fait avec OllyDbg ... Après avoir trouvé un Crackme name/serial je trouve tout les messages dans OllyDbg sauf ceux d'erreur "Serial is wrong" et de bon serial ...

Faille Web :

Une fenêtre avec du code html et un aperçu du résultat en dessous on peux changer le code donc l'aperçu mais comment faire pour afficher le flag ?


Merci d'avance !
+1 (0) -1 (1) Répondre
20-08-2016, 14h45
Message : #2
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: Questions : épreuves
Bonjour,

Disons que le but des challenges c'est un peu faire fonctionner le truc entre tes deux oreilles, et pas juste bêtement appliquer un "how-to" sans comprendre ce que l'on fait Wink.

Concernant les failles applicatives, le principe c'est plus "lire le code d'une appli vulnérable, trouver le bug et l'exploiter" que "sortir un tool tout fait qui ponce le truc pendant que je prends mon café" Big Grin.

Ensuite pour le cracking, c'est vrai qu'il y a encore trop de tutos sur Win32dasm/SoftICE et que écrire des tutos ça prend pas mal de temps, du coup faut un peu plus se débrouiller par soi-même (bien qu'il y ait quelques tutos ici qui valent le détour niveau méthodologie & co).

Enfin pour les failles web... si le flag est pas dans le html ça va pas servir à grand-chose l'inspecteur/debugger intégré au navigateur.

PS: non le cracking se résume pas à coller un breakpoint sur strcmp et récupérer le flag (hormis les épreuves débiles niveau "très facile")
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (3) -1 (0) Répondre
20-08-2016, 14h53
Message : #3
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Questions : épreuves
salut Jupiter41,

(20-08-2016, 13h01)Jupiter41 a écrit : Faille applicative :

Comment puis je faire des scans de vulnérabilités ou utiliser Metasploit alors que la machaine cible est sous la forme ssh machin@machine etc...?
tu pars dans la mauvaise direction avec tes scanners et ton metasploit, les challenges applicatifs que tu trouves sur les sites (comme root-me.org, ici y'en a pas Wink) sont didactiques et sont faits pour être solutionnés à la main ou quasiment, le but n'est pas de "trouver la solution" mais d'apprendre à trouver des failles dans des binaires et les exploiter

les compétences requises sont en général de connaitre un peu linux (pour se connecter en ssh sur la machine et naviguer depuis le shell), connaitre le langage C sur le bout des manpages (pour comprendre la structure du programme et identifier la vulnérabilité, et connaitre suffisament l'assembleur pour être capable de lire un code désassemblé, le comprendre dans les moindres détails, et éventuellement créer un shellcode adapté pour exploiter la faille

on est très loin de "lancer metasploit et cliquer", bienvenue dans la cours des grands Wink

Citation :Crack :

La plupart des epreuves de crack ont un serval unique mais je ne trouve aucun tuto fait avec OllyDbg ... Après avoir trouvé un Crackme name/serial je trouve tout les messages dans OllyDbg sauf ceux d'erreur "Serval is wrong" et de bon serial ...
j'ai pas tout compris (tu veux sûrement parler de "serial" j'imagine) mais ici pareil, même si certaines épreuves de crackmes sont assez simples et ne demandent pas beaucoup de compétences, tu vas tomber très vite sur des crackmes plus complexes et qui nécessitent d'avoir de bonnes connaissances techniques sur le fonctionnement d'un binaire (souvent PE, binaire windows) et sur la programmation assembleur de manière à pouvoir lire le code du binaire désassemblé et soit le modifier avec de nouvelles instructions soit créer un autre programme qui imitera l'algorithme dans le binaire pour créer un serial

Citation :Faille Web :

Une fenêtre avec du code html et un aperçu du résultat en dessous on peux changer le code donc l'aperçu mais comment faire pour afficher le flag ?
toujours pareil, il s'agit pas de lire le code source HTML, il faut aussi connaitre les langages "coté serveur" comme le PHP, SQL, JavaScript, CSS, d'autres technologies comme XML ou JSON etc. etc. et connaitre également leurs faiblesses respectives, appliquer des techniques d'attaques connues (comme des injections de code SQL par exemple etc.)

bref. le "hacking" ce n'est pas utiliser trois logiciels, c'est avoir la tronche remplie de compétences techniques, le chemin est aussi long qu'intéressant, donc patience & au boulot Wink
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
(Nicolas Boileau, L'Art poétique)
+1 (3) -1 (0) Répondre
20-08-2016, 17h38
Message : #4
Jupiter41 Hors ligne
Newbie
*



Messages : 5
Sujets : 2
Points: 0
Inscription : Aug 2016
RE: Questions : épreuves
Merci pour vos réponses !

C'est vrai quand comptant sur Metasploit etc... Je comptais un peu trop sur la solution de la facilité. Faut vraiment que je reprenne mon niveau en C Smile et que je bosse un peu plus sur les commandes et les failles de Linux.

Quand au crack je continuerais mes recherches et à m'entraîner je suis un peu trop vite passez du simple au dur Smile

Quand au Web je ne sais même pas pourquoi je me suis lancer dans les challenges vu mon niveau Smile moi qui ai pris conscience très récemment de l'importance d'apprendre les langages Web.

Mais encore une fois merci beaucoup !
+1 (1) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut