Bonjour à tous,
Comme nous avons vu beaucoup de choses et passé à travers pas mal de matériel durant ces dernières semaines, j'ai pensé vous coqueter un petit quelque chose de spécial pour le dernier cours... Je me suis dit que vous mourriez surement d’envie de relever un petit défi et de tester et mettre en pratique ce que vous avez appris durant ces 10 dernières semaines. Alors, je ne ferai pas de démo et je ne vous ferai pas faire d’exercice spécifique du livre non plus. J’ai plutôt pensé que nous pourrions nous faire un petit "Capture the flag - Home made edition » en version abrégée...!
Alors, voici quelques petits "hints" qui pourraient s’avérer utiles pour lundi prochain:
- Nmap et Nessus seront définitivement vos amis...
- Les Null sessions et les commandes : net view - net use et autres, sont toujours à la mode...
- John , Cain & Abel forment un trio d’enfer…
- Les "chats" passent pas mal partout...
- Il y a souvent plusieurs chemin pour se rendre quelque part mais parfois qu’un seul...
- Lorsqu'on fait un gain, il ne faut pas s'en contenter, il faut aller plus loin, on trouve parfois d'autres choses intéressantes...
- Les énigmes sont la plupart du temps, composées de plusieurs éléments qu'il faut combiner pour ensuite déchiffrer...
- Got Root ?
J’aimerais en terminant, vous laisser sur cette pensée:
“Don’t learn to hack… Hack to learn!”
- Michel
jeudi 18 juin 2009
mercredi 10 juin 2009
Semaine #8
Bonjour messieurs,
Voici la lecture pour la semaine #8:
- Manuel 504.5 de la page 1 à 153
- Je tenterai encore une fois de vous con coqueter des labs afin de mettre en pratique la matière couverte dans cette avant dernière section du cours...
<----------->
Petit retour sur le cours de la semaine #7. Comme il nous manquait quelques joueurs lors du dernier cours et tel que promis à ceux qui étaient présents, voici une liste de liens et d'outils qui ont été abordés lors des labs du cours de la semaine #7:
*Proxy local -> Achilles (CD), Paros Proxy (CD), WebScarab (www.owasp.org)
*Plugins pour Firefox (Tools - Add-ons) -> SwitchProxy, SQL Inject Me, SQL Injection, XSS Me
*Live CD Samurai -> http://samurai.inguardians.com/ (w3af, BeEF, et plus...)
*Bad Store -> http://www.badstore.net (Site Web local (image ISO) et vulnérable à plusieurs types d'attaques -> SQL Injection, XSS, etc...
* http://zero.webappsecurity.com -> Site Web d'une fausse banque pouvant être utilisé pour faire des tests de vulnérabilités -> SQL Injection, XSS, etc...
Bref, beaucoup de bonnes choses à se mettre sous la dent...
N'hésitez-pas à me contacter si vous avez des questions ou des commentaires.
Bonne lecture et bonne semaine à tous !
- Michel
Voici la lecture pour la semaine #8:
- Manuel 504.5 de la page 1 à 153
- Je tenterai encore une fois de vous con coqueter des labs afin de mettre en pratique la matière couverte dans cette avant dernière section du cours...
<----------->
Petit retour sur le cours de la semaine #7. Comme il nous manquait quelques joueurs lors du dernier cours et tel que promis à ceux qui étaient présents, voici une liste de liens et d'outils qui ont été abordés lors des labs du cours de la semaine #7:
*Proxy local -> Achilles (CD), Paros Proxy (CD), WebScarab (www.owasp.org)
*Plugins pour Firefox (Tools - Add-ons) -> SwitchProxy, SQL Inject Me, SQL Injection, XSS Me
*Live CD Samurai -> http://samurai.inguardians.com/ (w3af, BeEF, et plus...)
*Bad Store -> http://www.badstore.net (Site Web local (image ISO) et vulnérable à plusieurs types d'attaques -> SQL Injection, XSS, etc...
* http://zero.webappsecurity.com -> Site Web d'une fausse banque pouvant être utilisé pour faire des tests de vulnérabilités -> SQL Injection, XSS, etc...
Bref, beaucoup de bonnes choses à se mettre sous la dent...
N'hésitez-pas à me contacter si vous avez des questions ou des commentaires.
Bonne lecture et bonne semaine à tous !
- Michel
mercredi 3 juin 2009
Semaine #7
Salut les boyz,
Voici les objectifs pour la semaine #7:
* À la maison:
- Lecture du manuel 504.4 de la page 114 à 236
- Comme nous changeons un peu de dynamique et que nous mettrons plus l'emphase sur le côté pratique que théorique mais qu'il n'y a pas beaucoup d'exercices dans cette section du livre, je tenterai d'user d'imagination pour créer des labs (qui ne sont pas dans le livre) afin de vous permettre d'expérimenter et de mettre en pratique la matière de cette section du livre.
Bonne lecture et bonne semaine à tous !
- Michel
Voici les objectifs pour la semaine #7:
* À la maison:
- Lecture du manuel 504.4 de la page 114 à 236
- Comme nous changeons un peu de dynamique et que nous mettrons plus l'emphase sur le côté pratique que théorique mais qu'il n'y a pas beaucoup d'exercices dans cette section du livre, je tenterai d'user d'imagination pour créer des labs (qui ne sont pas dans le livre) afin de vous permettre d'expérimenter et de mettre en pratique la matière de cette section du livre.
Bonne lecture et bonne semaine à tous !
- Michel
mardi 26 mai 2009
Semaine #6
Bonjour à tous,
Comme vous le savez, le format des sessions de mentorat se veut plus un accompagnement qu'un cours en soit. Or, suite à certains commentaires que j'ai reçu de la part de certains d'entre-vous, qui sont soit dit en passant très pertinents, à l'effet que nos sessions ensemble devraient cibler plus le côté pratique que le côté théorique, j'aimerais bien avoir l'avis de de tous à ce sujet.
Comme la responsabilité de passer à travers le matériel avant le cours, relève de chacun, je propose que lors des sessions, nous fassions une révision plus courte des faits saillants théorique et que nous mettions d'avantage d'emphase sur le côté pratique.
J'attends votre avis à ce sujet et je tiens à remercier ceux qui ont prit le temps de me faire part de leur avis concernant le format des sessions que nous avons ensembles.
Tous les feedback, questions et commentaires sont les bienvenues !
-----
Donc, voici les objectifs pour la semaine #6:
* À la maison:
- Lecture du manuel 504.4 de la page 1 à 113
- Je vous suggère de vous concentrer sur la lecture de la matière et de garder les exercices pour la prochaine session.
Lors de la semaine #7, nous ferons un bref retour sur la matière couverte des page 1 à 113 et nous nous concentrerons sur le côté pratique et les exercices relatifs à cette section.
Bonne lecture et bonne semaine à tous !
- Michel
Comme vous le savez, le format des sessions de mentorat se veut plus un accompagnement qu'un cours en soit. Or, suite à certains commentaires que j'ai reçu de la part de certains d'entre-vous, qui sont soit dit en passant très pertinents, à l'effet que nos sessions ensemble devraient cibler plus le côté pratique que le côté théorique, j'aimerais bien avoir l'avis de de tous à ce sujet.
Comme la responsabilité de passer à travers le matériel avant le cours, relève de chacun, je propose que lors des sessions, nous fassions une révision plus courte des faits saillants théorique et que nous mettions d'avantage d'emphase sur le côté pratique.
J'attends votre avis à ce sujet et je tiens à remercier ceux qui ont prit le temps de me faire part de leur avis concernant le format des sessions que nous avons ensembles.
Tous les feedback, questions et commentaires sont les bienvenues !
-----
Donc, voici les objectifs pour la semaine #6:
* À la maison:
- Lecture du manuel 504.4 de la page 1 à 113
- Je vous suggère de vous concentrer sur la lecture de la matière et de garder les exercices pour la prochaine session.
Lors de la semaine #7, nous ferons un bref retour sur la matière couverte des page 1 à 113 et nous nous concentrerons sur le côté pratique et les exercices relatifs à cette section.
Bonne lecture et bonne semaine à tous !
- Michel
mercredi 20 mai 2009
Semaine #5
* IMPORTANT - Changement de date pour le cours de la semaine prochaine.*
Exceptionnellement, le cours de la semaine prochaine aura lieu le lundi 25 mai à la même heure (19h00 - 21h00) plutôt que le mardi 26 mai.
-----
Voici les ojectifs de la semaine #5:
* À la maison:
- Lecture du manuel 504.3 de la page 118 à 223 (2e partie - Step 3 - Exploit Systems)
- Je vous suggère de vous concentrer sur la lecture de la matière et de garder les exercices pour le cours de la semaine prochaine.
- (Optionnel) Vous pouvez continuer à regarder le manuel Bootcamp en parallèle de façon a complémenter la matière qui a été couverte jusqu'à présent.
Lors de la semaine #6, nous ferons un retour sur la matière couverte des page 118 à 223 ainsi que les exercices relatifs à cette section.
-----
Aussi, tel que discuté, voici les liens vers les webcasts dont je vous ai parlé:
Part 1 : “Combining Network, Web App and Wireless into the Ultimate Penetration Test” -> https://event.on24.com/eventRegistration/EventLobbyServlet?target=registration.jsp&eventid=121680&sessionid=1&key=A0A9EE250B2691348F1218E5F1B16CEA&partnerref=sans&sourcepage=register
Part 2 : Special Webcast: The Pen Testing Perfect Storm Part II: Anatomy of a Client-Side Mutiny -> https://www.sans.org/webcasts/show.php?webcastid=92109
Exceptionnellement, le cours de la semaine prochaine aura lieu le lundi 25 mai à la même heure (19h00 - 21h00) plutôt que le mardi 26 mai.
-----
Voici les ojectifs de la semaine #5:
* À la maison:
- Lecture du manuel 504.3 de la page 118 à 223 (2e partie - Step 3 - Exploit Systems)
- Je vous suggère de vous concentrer sur la lecture de la matière et de garder les exercices pour le cours de la semaine prochaine.
- (Optionnel) Vous pouvez continuer à regarder le manuel Bootcamp en parallèle de façon a complémenter la matière qui a été couverte jusqu'à présent.
Lors de la semaine #6, nous ferons un retour sur la matière couverte des page 118 à 223 ainsi que les exercices relatifs à cette section.
-----
Aussi, tel que discuté, voici les liens vers les webcasts dont je vous ai parlé:
Part 1 : “Combining Network, Web App and Wireless into the Ultimate Penetration Test” -> https://event.on24.com/eventRegistration/EventLobbyServlet?target=registration.jsp&eventid=121680&sessionid=1&key=A0A9EE250B2691348F1218E5F1B16CEA&partnerref=sans&sourcepage=register
Part 2 : Special Webcast: The Pen Testing Perfect Storm Part II: Anatomy of a Client-Side Mutiny -> https://www.sans.org/webcasts/show.php?webcastid=92109
mercredi 13 mai 2009
Semaine #4
Voici les ojectifs de la semaine #4:
* À la maison:
- Lecture du manuel 504.3 de la page 1 à 116 (Step 3 - Exploit Systems)
- Je vous suggère de vous concentrer sur la lecture de la matière et de garder les exercices avec Netcat (Win & Lin) des page 37 à 58 pour le cours de la semaine prochaine.
- (Optionnel) Vous pouvez continuer à regarder le manuel Bootcamp en parallèle de façon a complémenter la matière qui a été couverte jusqu'à présent.
Lors de la semaine #5, nous ferons un retour sur la matière couverte des page 1 à 116 ainsi que les exercices relatifs à cette section.
-----
En ce qui concerne la question à propos des pré-test ou examens de pratiques, des examens de pratique sont disponibles au coût de 99$ USD sur:
http://www.giac.org/exams/practice.php
-----
Aussi, tel que promis, voici quelques liens vers différents vidéos avec dse démonstrations de diverses attaques Wi-Fi:
http://www.offensive-security.com/videos.php -> Plusieurs vidéos différents
http://www.youtube.com/watch?v=-RbAWMFwjA4 -> SMS Midnight Raid Business Card Attack
http://www.youtube.com/watch?v=1c-jzYAH2gw&feature=PlayList&p=A45EBE44F6F788CA&index=0 -> Eavesdropping on Bluetooth Headsets (Joshua Wright en face d'un Starbuck Coffee Shop)
Bon cinéma !
- Michel
* À la maison:
- Lecture du manuel 504.3 de la page 1 à 116 (Step 3 - Exploit Systems)
- Je vous suggère de vous concentrer sur la lecture de la matière et de garder les exercices avec Netcat (Win & Lin) des page 37 à 58 pour le cours de la semaine prochaine.
- (Optionnel) Vous pouvez continuer à regarder le manuel Bootcamp en parallèle de façon a complémenter la matière qui a été couverte jusqu'à présent.
Lors de la semaine #5, nous ferons un retour sur la matière couverte des page 1 à 116 ainsi que les exercices relatifs à cette section.
-----
En ce qui concerne la question à propos des pré-test ou examens de pratiques, des examens de pratique sont disponibles au coût de 99$ USD sur:
http://www.giac.org/exams/practice.php
-----
Aussi, tel que promis, voici quelques liens vers différents vidéos avec dse démonstrations de diverses attaques Wi-Fi:
http://www.offensive-security.com/videos.php -> Plusieurs vidéos différents
http://www.youtube.com/watch?v=-RbAWMFwjA4 -> SMS Midnight Raid Business Card Attack
http://www.youtube.com/watch?v=1c-jzYAH2gw&feature=PlayList&p=A45EBE44F6F788CA&index=0 -> Eavesdropping on Bluetooth Headsets (Joshua Wright en face d'un Starbuck Coffee Shop)
Bon cinéma !
- Michel
mercredi 6 mai 2009
Semaine #3
Voici les ojectifs de la semaine #3:
* À la maison:
- Lecture du manuel 504.2 de la page 57 à 220 (Step 2 - Scanning)
- (Optionnel) Vous pouvez continuer à regarder le manuel Bootcamp en parallèle de façon a complémenter la matière qui a été couverte jusqu'à présent.
Lors de la semaine #4, nous ferons un retour sur la portion - Step 2 : Scanning - ainsi que les exercices relatifs à cette section.
- Michel
* À la maison:
- Lecture du manuel 504.2 de la page 57 à 220 (Step 2 - Scanning)
- (Optionnel) Vous pouvez continuer à regarder le manuel Bootcamp en parallèle de façon a complémenter la matière qui a été couverte jusqu'à présent.
Lors de la semaine #4, nous ferons un retour sur la portion - Step 2 : Scanning - ainsi que les exercices relatifs à cette section.
- Michel
Inscription à :
Articles (Atom)
Articles
