ctf

Some weeks ago I created a trainning lab for SQL injections called SQLi lab. And I will go through all levels in this blog post, explainning the expected way to solve each of them. The lab currently contains 5 levels, and I will update this post as I add more of them 👍 Installation The GitHub repository is at https://github.com/OxNinja/SQLi-lab if you want more information. First I clone the lab in a folder, add its IP to my hosts file for conveignance, and then build it with the given script:...

Shellshock est une vulnérabilité présente dans bash 4.3 et antérieur. Il s’agit d’une vulnérabilité logicielle qui se base sur de l’injection de commande en passant par les variables d’environement. C’est vachement cool car elle mène à une bonne grosse RCE des familles, donc c’est pas négligeable 😘. Statistiques Quelques statistiques afin d’illustrer la portée et l’attention portée de la vulnérabilité. Shellshock a beaucoup été à la mode quand elle est sortie, énormément de trafic a été généré par des botnets lors de tentatives d’exploitation de la vulnérabilité....

Introduction Tout d’abord qu’est-ce qu’une ‘pyjail’ ? Il s’agit le plus souvent d’un environnement Python 🐍 restreint, c’est-à-dire que (comme pour les autres types de ‘jails’) certaines fonctions, classes ont été supprimées, ou sont filtrées lors du traitement de l’input utilisateur pour bloquer l’attaquant. Ces environnements restreints sont présents lors de CTFs mais c’est une catégorie qui nécessite un peu de connaissances avant de s’y lancer, mais sont aussi utilisés dans des milieux professionnels afin d’éviter de donner l’accès à tout le système si un attaquant arrive à entrer sur un serveur SSH par exemple....