Analyse de la sécurité informatique (Dark Side)

La structure du document essai de respecter cette page : https://wiki.zenk-security.com/doku.php

• https://www.trustedsec.com/podcast/
• https://www.wordfence.com/blog/2017/02/rest-api-exploit-feeding-frenzy-deface-wordpress-sites/
• http://www.hexpresso.team/
• http://liveoverflow.com
• https://tracker.debian.org/teams/debian-forensics-teams/
• http://shoxx-website.com/
• https://streaming.media.ccc.de/34c3/
• https://en.wikipedia.org/wiki/Computer_security_conference
• http://www.allconferences.com/Computers/Hacking
• https://github.com/k4m4/movies-for-hackers
• https://rtfm.re/
• https://sploitus.com/
• https://pentesterlab.com/exercises/web_for_pentester/course
• https://www.inf0sec.wiki/index.php/Main_Page
• https://erdemirata.blogspot.fr/
• https://wigle.net/
• https://www.hackthebox.eu/
• https://www.vulnhub.com/resources/
• https://blog.christophetd.fr/
• https://www.t0x0sh.org/
• http://www.computersecuritystudent.com/
• http://newffr.com/
• https://pony7.fr/
• https://foulab.org
• http://www.madchat.fr/
• https://www.oftc.net/#Hierark
• http://reversing.fr/
• https://inshallhack.org/
• https://antoxyde.fr/
• https://www.acceis.fr/bypass-dun-mot-de-passe-bios-perdu-via-dump-et-injection-dun-uefi/

• syldevis sur root-me

• app web avec des failles : dvwa.co.uk
• dnsrecon
• https://astronogeek.fr/panier/wishlist/
• convertisseur leet : http://www.robertecker.com

• Découverte de l'outil metasploit
• Découverte de l'outil websploit
• Découverte de l'outil sqlmap
• Découverte de l'outil aircrack
• Outils et Analyse du Bluetooth
• Outils à découvrir
• https://www.virustotal.com/#/home/upload
• swfmill swf2xml movie.swf movie.xml
• https://securitytrails.com/blog/best-port-scanners?from=relatedposts
• https://godbolt.org/ (langage C → BASIC

• 188.165.195.66 ⇒ ok

• https://web.nvd.nist.gov/view/vuln/search
• https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=<mon_mot_clé>
• https://www.endgame.com/blog/technical-blog/your-package-has-been-successfully-encrypted-teslacrypt-41a-and-malware-attack
• https://maxkersten.nl/binary-analysis-course/obtaining-samples/searching-samples/

Une fois testé et lu, déplacer les liens en zone publique.

• https://2017.hack.lu/ctf/
• https://www.information-security.fr/ctf-challenge-lamp-security-4/
• https://github.com/bl4de/ctf
• https://www.hackthebox.eu/en
• https://exploit-exercises.com/
• https://hackdumb.com/
• hackthissite.org
• https://github.com/DivyanshuSahu/miniCTF
• smashthestack.org
• https://pwnable.tw/user/rank
• https://cryptopals.com/
• https://github.com/akalin/cryptopals-python3
• https://www.wechall.net/fr/active_sites
• http://www.microcontest.com/profil.php?id=462
• https://github.com/ctfs
• https://wiki.zenk-security.com/doku.php
• https://www.securiteinfo.com/attaques/hacking/challengeshacking.shtml
• Prochains CTF : https://ctftime.org/event/oldlist/upcoming
• writeup NewbieContest : http://gh0s7.lab.uy.to/category/%5BWargame%20Write-up%5D/NewbieContest & https://newbiecontest-solution.blogspot.fr/2012/01/titre-de-lepreuve-upload-i-description.html
• https://pastebin.com/6EH6X0yL
• https://pastebin.com/uyifxgPu
• http://overthewire.org/wargames/

• https://fixme.ch/wiki/CTF/InsomniHack-2018/Spoke (IPSec + BGP)

• Scripts CGI
• Scripts PHP
• Scripts VBA
• Scripts Ruby

Le principe est de faire des recherches à base de signature. Ces dernières sont notamment référencé sur ce site https://www.garykessler.net/library/file_sigs.html Voici les outils disponible :

• foremost → apt install foremost
• scalpel → apt instal scalpel
• photorec
• forensics-all ? (utilisé par les developpeurs Debian)

• volatility → apt install volatility
• Cheatsheet & Documentation

Pour analyser un .raw :

volatility -f whereismypurse.raw imageinfo
volatility --info

Si le programme nous donne une adresse mémoire (KDBG) alors on peut l'utiliser ainsi pour afficher les process à ce moment :

volatility -f whereismypurse.raw --profile=Win7SP1x64 -g 0xf800028070a0 pslist
volatility -f whereismypurse.raw --profile=Win7SP1x64 -g 0xf800028070a0 pstree

On peut extraire le processus au moment T :

volatility -f whereismypurse.raw --profile=Win7SP1x64 -g 0xf800028070a0 memdump -p 2212 -D .

Obtenir des infos du dump avec string en mode utf-16 :

strings -e l 2212.dmp  |grep -e 'wallet' -e 'purse'

On peut obtenir les mot de passes des comptes :

volatility -f ch2.dmp  --profile=Win7SP1x86_23418 hivelist
volatility -f ch2.dmp  --profile=Win7SP1x86_23418 hasdump (-y 0x8b21c008 -s 0x9aad6148 > hash.txt)

Obtenir toutes les variables et chemins des programmes :

volatility -f ch2.dmp  --profile=Win7SP1x86_23418 -g 0x82929be8 verinfo

Lister les ports d'écoutes et de connections :

volatility -f ch2.dmp   --profile=Win7SP0x86 netscan

On affiche où commence la partition, admettons que c'est au 206848 ème block :

fdisk -l whereismypurse.img

Alors on indique que l'on démarre au 105906176 cotets car 206848*512 :

losetup -o 105906176 /dev/lo

On redimentionne et on monte le tout :

fsck -fv /dev/loop0
mount /dev/loop0 /mnt

• https://github.com/phieulang1993/ctf-writeups/blob/master/2018/VolgaCTF/xor_trick/xor_trick.py

• Récupéré le code binaire (depuis un image par ex) : https://github.com/zardus/ctf-tools/blob/master/stegsolve/install
• Audacity pour visualiser le spectre audio

• Liste de petites astuces
• Vulnérabilités trouvés lors des CTF
• Documentations pratiques
• Comment attaquer une cible ?
• Liste des mot de passes communs
• https://github.com/Th3l5D/HackingTools
• http://list.rawsec.ml
• https://kid0604.github.io/ctf/2015/09/30/rootme-webserver-writeup.html
• https://www.bottomupcs.com/index.xhtml
• https://github.com/minimaxir/big-list-of-naughty-strings/blob/master/blns.txt
• https://www.vultureproject.org/download/

• Installation de snuffleupagus
• Documentation : https://snuffleupagus.readthedocs.io/

Celui-ci permet de bloquer des fonctionnalités non attendu. Il s'inclu en tant que module de php.

apt install php7.0-dev

git clone https://github.com/nbs-system/snuffleupagus
cd snuffleupagus/src
phpize
./configure --enable-snuffleupagus
make
make install

nano /etc/php/7.0/cli/php.ini

extension=snuffleupagus.so
sp.configuration_file=/etc/php/conf.d/snuffleupagus.ini

nano /etc/php/conf.d/snuffleupagus.ini

sp.disable_function.function("get_current_id").param("$a").value("id").allow();
sp.disable_function.function("get_current_id").drop();

Voici un exemple de code :

<?php
        echo "run...\n";

        function get_current_id($a = "id") {
                return system($a);
        }

        get_current_id("2");
?>

En exécutant de code, voici l'erreur que l'on obtient :

[snuffleupagus][0.0.0.0][disabled_function][drop] The call to the function 'get_current_id' in /home/toto/GIT/snuffleupagus/scripts/exemple.php:5 has been disabled.