NorzhCTF 2019 - Windows AD - Game of Pwn 29 min read - Feb 3, 2019

Le NorzhCTF, organisé en marge du FIC 2019, m’a donné l’occasion de concevoir, en collaboration avec @AzrakelK (L0n3w0lf), le scénario d’attaque en relation avec un domaine Active Directory. Cet article traite de ce challenge et présente notre solution.

Santhacklaus CTF 2018 - Solved Challenges 25 min read - Dec 27, 2018

Le Santhacklaus CTF 2018 est un challenge Jeopardy en ligne, organisé par quatre étudiants de l’IMT Lille Douai @_nwodtuhs @m3lsius @Ch3n4p4N @Deldel. Cet article traite des différents challenges que j’ai réussi et eu le temps de faire.

ECW 2018 - Web - Intrusion (5 challenges) 11 min read - Oct 21, 2018

L’ECW 2018 est un challenge Jeopardy français organisé par le Pôle d’Excellence Cyber en partenariat avec la Région Bretagne, Airbus et Thales. Intrusion est un scénario web en 4 challenges (+1 extra-challenge) se voulant réaliste. Il tourne principalement autour de Ruby on Rails et de la manipulation de cookies afin de passer administrateur sur le site de production.

ECW 2018 - Web - Troll.JSP 4 min read - Oct 21, 2018

L’ECW 2018 est un challenge Jeopardy français organisé par le Pôle d’Excellence Cyber en partenariat avec la Région Bretagne, Airbus et Thales. “Troll.JSP” est un challenge basé sur l’exploitation de la CVE-2017-5638 (Apache Struts) afin de changer la valeur d’une variable de session.

ECW 2018 - Web - SysIA 3 min read - Oct 21, 2018

L’ECW 2018 est un challenge Jeopardy français organisé par le Pôle d’Excellence Cyber en partenariat avec la Région Bretagne, Airbus et Thales. SysIA est un challenge basé sur l’exploitation d’une LFI (Local File Inclusion) puis l’utilisation du bash_history et de l’utilitaire updatedb afin de trouver le flag.

Windows 10 & GPO - Durcissement contre la fuite de données 10 min read - Oct 19, 2018

Depuis la sortie du système d’exploitation Windows 10, de nombreuses questions sur la vie privée des utilisateurs sont soulevées. En effet, même si certaines de nos données étaient déjà récoltées auparavant, Microsoft a ouvert sa communication sur la récupération de données personnelles avec Windows 10. Ceci a notamment permis à un certain nombre de personnes d’ouvrir les yeux et de prendre conscience des choses.

Les conteneurs web - Endiguer le partage de données entre les sites web 9 min read - Sep 27, 2018

Si vous utilisez régulièrement un navigateur Internet et que vous connaissez un tant soit peu le domaine du web, vous savez d’une manière générale quelles données sont récupérées par les différents sites visités. Si non, sachez que chaque site visité stocke des informations sur vous par l’intermédiaire de différents mécanismes (cookies notamment) ce qui peut par exemple permettre de vous identifier et ainsi ne plus avoir à taper vos identifiants.

Box "connectées" et vie privée - Le sommet de l'Iceberg 6 min read - Sep 13, 2018

Billet un peu plus léger cette fois ci, nous allons parler des box connectées et plus particulièrement des Bbox Miami. En effet, ayant une de ces box à disposition, je me suis demandé ce qu’il en était d’un point de vue vie privée et ce qu’un utilisateur basique et un peu curieux pouvait faire au niveau des paramètres. Nous verrons donc ici qu’un certain nombre de paramètres par défaut sont activés et qu’il est possible d’agir dessus. Je précise qu’aucune box n’a été maltraitée dans le cadre de ces expérimentations :D.

Bonnes pratiques de sécurité pour les installations Wordpress 12 min read - Mar 31, 2018

Si vous souhaitez monter votre propre site web mais que vous n’êtes pas expert dans le domaine, vous avez sûrement dû voir passer le mot “Wordpress”. Il s’agit d’un CMS (Content Management System, ou Système de Gestion de Contenu) permettant de faciliter la création d’un site web. En gros, il facilite la création puis la gestion en fournissant une interface prête à l’emploi. Il n’y a plus qu’à personnaliser votre site et écrire vos articles ! Pas besoin d’écrire du code (même s’il est possible d’aller fouiller et modifier manuellement) !

Les dangers de la réutilisation de mots de passe 14 min read - Dec 17, 2017

Vous l’avez surement entendu et vu des dizaines de fois, mais les questions tournant autour des mots de passe sur Internet sont plus que jamais d’une importance capitale pour vos données et votre vie privée. A l’heure actuelle, Internet est utilisé pour (presque) tout et par (presque) tout le monde, allant du simple site de recettes de cuisine à votre compte bancaire, en passant par les réseaux sociaux, les sites de e-commerce ou encore vos adresses e-mails. Cela fait un paquet de sites, de comptes différents, et par extension, de mots de passe.

ECW 2017 - Web - Path Through 4 min read - Nov 30, 2017

L’ECW 2017 est un challenge Jeopardy français organisé par le Pôle d’Excellence Cyber en partenariat avec la Région Bretagne, Airbus et Thalès. Path Through est challenge web basé sur les injections SQL en aveugle (blind).

ECW 2017 - Web - Hall of Fame 3 min read - Nov 23, 2017

L’ECW 2017 est un challenge Jeopardy français organisé par le Pôle d’Excellence Cyber en partenariat avec la Région Bretagne, Airbus et Thalès. Hall of Fame est un challenge web basé sur les injections SQL en UNION.

Quaoar Virtual Machine - Walkthrough 8 min read - Nov 20, 2017

“Quaoar” est une machine virtuelle de type “Boot2Root” créée pour le HackFest 2016. Ce type d’exercice vise à améliorer ses compétences en sécurité informatique. Il suffit de lancer la Machine Virtuelle, puis trouver un moyen depuis l’extérieur de passer root sur le système ! Cette VM est en libre accès sur Vulnhub.

TamuCTF 2017 - Stéganographie - Musical Bits 5 min read - Nov 12, 2017

Le Tamu CTF est challenge CTF Jeopardy. Cet article explique la résolution du challenge de stéganographie “Musical Bits”. Quelques heures de prise de tête ont été nécessaires, accompagné de @Iptior, afin de résoudre ce challenge. C’est parti !