Bonjour,
chuis un ouf' gueudin moua. Je veux apprendre à pirater plus fort que jack bauer, je veux faire péter du buffer overflow!
J'ai lu trop pleins de docs, trop pleins de pdf for "phun and prophit"
Mais je sais pas ou m'entrainer. Comme je veux pas casser la NASA et le FBI, j'aimerai juste savoir si vous connaissez des sites en ligne ou on peut s'entrainer? des trucs de sécu ou il faut s'entrainer, wala, je trouve soit des vieux sites tous pourris avec des têtes de morts, soit des sites tout pourri sans tête de mort, soit des trucs totalement incompréhensible
Allez, faites péter les z'url \o/
# machine virtuelle
Posté par NeoX . Évalué à 3.
1°) ca t'apprend à installer un server, configurer les services, avec ou sans securité
2°) tu peux t'y attaquer quand tu veux
3°) tu peux tracer tes interventions dans les logs, voir si tu laisses ou pas des traces de ton passage
4°) sinon dans les trucs plus "faciles", apprendre à developper, comprendre ce qu'est un stack overflow, en creer un sur ton programme à toi
puis essayer d'en faire un sur un programme existant.
[^] # Re: machine virtuelle
Posté par octane . Évalué à 1.
Alors 1: installer le serveur, check. Je conseille metasploitable comme distro.
Le 2: pareil, je la boute quand je veux
Le 3 : les logs, ça dépend, de toute façon, personne les lit, alors
Le 4 : c'est fait aussi. Mais justement, c'est "un peu trop facile" de laisser son buffer overflow puis de l'exploiter. Pour ça que je demande des sites ou on peut en faire en ligne
[^] # Re: machine virtuelle
Posté par NeoX . Évalué à 3.
1°) essaie avec d'autres distro, pour tester leur modele de securité (redhat, suse...)
le serveur ne doit pas te servir pour aller hacker les autres, mais comme base que tu va devoir attaquer
2 et 3 : un bon admin lit les logs, ou met en place des protections qui se basent sur les logs (fail2ban par exemple)
4°) si utiliser TON bufferoverflow est trop facile, essaie d'en faire faire à des programmes plus courants (sans modifier leur code source), serveur web, base de données...
bref, avant d'aller tester chez les autres, instruis toi chez toi.
[^] # Re: machine virtuelle
Posté par ze_farf . Évalué à 5.
Mieux qu'une url, un .torrent !
Les machines virtuelles de training fournies par metasploit :
http://www.metasploit.com/help/test-lab.jsp#target-machines
# Il a(vait) intruded.net
Posté par Ellendhel (site web personnel) . Évalué à 3.
À la lecture du blog "exploitability" on trouve une série d'articles sur des challenges de sécurité à résoudre, ce qui peut être un bon complément d'apprentissage en plus du fait d'apprendre à protéger ses propres machines (virtuelles ou non).
http://exploitability.blogspot.com/2011/10/challenge-sur-intruded-leviathan.html
Le hic, c'est que le site intruded.net mentionné n'est plus disponible. La lecture du blog reste intéressante, il faudra trouver d'autres sites d'entraînement par ailleurs.
# 127.42.12.51
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 6.
127.42.12.51 ? On ne sait jamais, sur un malentendu ça pourrait passer…
[^] # Re: 127.42.12.51
Posté par fearan . Évalué à 3.
en fait moi j'aurais proposé
127.111.6.66, généralement on peut y trouver quelques trous sympas ;)
sinon il y a 127.31.33.7
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: 127.42.12.51
Posté par octane . Évalué à 2.
Vous êtes trop deprecated, je vous attends sur ::1
# Le challenge du SSTIC
Posté par Xavier Teyssier (site web personnel) . Évalué à 5.
Et une fois bien entrainé, on peut se lancer dans des trucs un tout petit peu plus ardu.
Je propose le challenge du SSTIC :
Un fois bloqué^Wterminé, on peut aller lire les solutions proposées par certains participants.
Vraiment intéressant.
# Get a life
Posté par alice . Évalué à 1.
Il y a énormément de projets libres utiles et intéressants qui ont besoin d'aide. Pourquoi ne pas y contribuer au lieu de faire le r3b3llz?
[^] # Re: Get a life
Posté par ᴼ ᴹᴬᴺᴺ . Évalué à 4.
Peut être pour sécuriser ses serveurs ou alors tenir un blog à propos de sécurité où il dit « configurez ça comme ça, ça sera plus sécurisé » (avec des explications).
Ou encore proposer des patchs ou des rapports de bugs aux logiciels touchés.
Sinon si il est très fort il peut créer une version de attaquer-serveur-pirate-h4k3r-w4r3z.exe qui le rendra très riche.
hop ->[]
207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶
# Forensics Contest ?
Posté par nud . Évalué à 2.
http://forensicscontest.com/
# faut suivre les bonnes ml
Posté par Krunch (site web personnel) . Évalué à 6.
Il y a eu un thread sur le sujet récemment sur une certaine liste dont les archives ne sont pas publiques.
http://www.overthewire.org/wargames/
OWASP webgoat
Foundstone hackmebank
OWASP hackademic challenges
http://smashthestack.org/
- Moth
- Metasploitable
- Kioptrix (3 different VMs/levels)
- DVWA
- DVL
http://www.webantix.net/war-games-current-and-past-hacking-simulators-and-challanges/
http://www.goriya.com/flash/tictactoe.shtml
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Site francophone
Posté par Nopenope . Évalué à 1.
Il y a la communauté française zenk-security qui propose quelques challenges et un forum d'échange/partage de connaissances. Vu que les challenges filtrent pas mal (il faut un certain nombre de points + présentation pour accéder au forum), il n'y a pas trop de script kiddies…
# Étude sur un cas concrêt
Posté par jigso . Évalué à 4.
http://www.franckriester.fr/
La correction : http://reflets.info/les-petites-negligences-caracterisees-de-franck-riester/
# NewbiContest
Posté par G.bleu (site web personnel) . Évalué à 1.
Je pense que ce site correspond à peu près à ce que tu veux : des épreuves, des forums pour discuter de celles-ci et des points à chaque épreuve résolue pour
faire un concours de bitesfournir un environnement ludique et motivant !Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.