meta données pour cette page
Analyse de la sécurité informatique (Dark Side)
La structure du document essai de respecter cette page : https://wiki.zenk-security.com/doku.php
Communautés
Peoples
- syldevis sur root-me
Outils de tests
- app web avec des failles : dvwa.co.uk
- dnsrecon
- convertisseur leet : http://www.robertecker.com
- swfmill swf2xml movie.swf movie.xml
- https://godbolt.org/ (langage C → BASIC
Cible de test
- 188.165.195.66 ⇒ ok
Base sur les failles de sécurités (CVE)
- https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=<mon_mot_clé>
Challenges (CTF)
Une fois testé et lu, déplacer les liens en zone publique.
- hackthissite.org
- smashthestack.org
- Prochains CTF : https://ctftime.org/event/oldlist/upcoming
Writeups
Réseaux
- https://fixme.ch/wiki/CTF/InsomniHack-2018/Spoke (IPSec + BGP)
Rubriques Techniques
Web
Forensic
Data carving
Le principe est de faire des recherches à base de signature. Ces dernières sont notamment référencé sur ce site https://www.garykessler.net/library/file_sigs.html Voici les outils disponible :
- foremost → apt install foremost
- scalpel → apt instal scalpel
- photorec
- forensics-all ? (utilisé par les developpeurs Debian)
- volatility → apt install volatility
Pour analyser un .raw :
volatility -f whereismypurse.raw imageinfo volatility --info
Si le programme nous donne une adresse mémoire (KDBG) alors on peut l'utiliser ainsi pour afficher les process à ce moment :
volatility -f whereismypurse.raw --profile=Win7SP1x64 -g 0xf800028070a0 pslist volatility -f whereismypurse.raw --profile=Win7SP1x64 -g 0xf800028070a0 pstree
On peut extraire le processus au moment T :
volatility -f whereismypurse.raw --profile=Win7SP1x64 -g 0xf800028070a0 memdump -p 2212 -D .
Obtenir des infos du dump avec string en mode utf-16 :
strings -e l 2212.dmp |grep -e 'wallet' -e 'purse'
On peut obtenir les mot de passes des comptes :
volatility -f ch2.dmp --profile=Win7SP1x86_23418 hivelist volatility -f ch2.dmp --profile=Win7SP1x86_23418 hasdump (-y 0x8b21c008 -s 0x9aad6148 > hash.txt)
Obtenir toutes les variables et chemins des programmes :
volatility -f ch2.dmp --profile=Win7SP1x86_23418 -g 0x82929be8 verinfo
Lister les ports d'écoutes et de connections :
volatility -f ch2.dmp --profile=Win7SP0x86 netscan
Monter une partition d'une image disque
On affiche où commence la partition, admettons que c'est au 206848 ème block :
fdisk -l whereismypurse.img
Alors on indique que l'on démarre au 105906176 cotets car 206848*512 :
losetup -o 105906176 /dev/lo
On redimentionne et on monte le tout :
fsck -fv /dev/loop0 mount /dev/loop0 /mnt
Shellcode
Audio
- Récupéré le code binaire (depuis un image par ex) : https://github.com/zardus/ctf-tools/blob/master/stegsolve/install
- Audacity pour visualiser le spectre audio
Ressources non triée
Notes non triée
- Installation de snuffleupagus
- Documentation : https://snuffleupagus.readthedocs.io/
Celui-ci permet de bloquer des fonctionnalités non attendu. Il s'inclu en tant que module de php.
Pré-requis
apt install php7.0-dev
Installation
git clone https://github.com/nbs-system/snuffleupagus cd snuffleupagus/src phpize ./configure --enable-snuffleupagus make make install
Configuration
nano /etc/php/7.0/cli/php.ini
extension=snuffleupagus.so sp.configuration_file=/etc/php/conf.d/snuffleupagus.ini
nano /etc/php/conf.d/snuffleupagus.ini
sp.disable_function.function("get_current_id").param("$a").value("id").allow(); sp.disable_function.function("get_current_id").drop();
Exemple d'utilisation
Voici un exemple de code :
<?php echo "run...\n"; function get_current_id($a = "id") { return system($a); } get_current_id("2"); ?>
En exécutant de code, voici l'erreur que l'on obtient :
[snuffleupagus][0.0.0.0][disabled_function][drop] The call to the function 'get_current_id' in /home/toto/GIT/snuffleupagus/scripts/exemple.php:5 has been disabled.