Le blog de @ohohoh

  • Bienvenue sur hackblog

    Bienvenue sur hackblog

    Pour ceux qui ne me connaissent pas, je me nomme ohohoh, sk0ll (ou hackline pour les intimes), et j’apprends et j’évolue dans le milieu de l’informatique et des technologies, plus particulièrement au niveau de la sécurité. En ce qui concerne mes études, je suis en première année d’école d’ingénieur sur Lyon. Vous trouverez sur ce […]

  • DGHACK: Pas si chronophage

    DGHACK: Pas si chronophage

    Pour ce deuxième write-up j’aborde la résolution d’un petit challenge de dev bien sympa dans lequel on va devoir bypass un captcha de type horloge. Description Cette application permet la connexion de l’utilisateur à son compte de box internet. La page de login se présente comme ceci: Une indication nous apprends que le login est […]

  • DGHACK: Un chasseur sachant chasser

    DGHACK: Un chasseur sachant chasser

    Bonjour et bienvenue sur ce premier write-up des challenges de la DGHACK édition 2022 organisé par la Direction Générale de l’Armement du Ministère des Armées. Pour ce premier write-up, je vous explique comment j’ai pu résoudre la série de challenge web « un chasseur sachant chasser ». C’est parti ! Description Partie 1 Des analystes SOC du Ministère des […]

  • DGHACK: Unserial killer

    DGHACK: Unserial killer

    Bonjour et bienvenu sur ce troisième write-up portant sur les challenges de la DGHACK, édition 2022,  organisé par la Direction Générale de l’Armement du Ministère des Armées. Description Une entreprise vient de se faire attaquer par des hackers ayant récupéré la configuration d’un de leur serveur web. Auditez le code source du serveur web et […]

  • DGHACK: Piratecraft

    DGHACK: Piratecraft

    Bonjour et bienvenu sur ce quatrième write-up portant sur les challenges de la DGHACK, édition 2022,  organisé par la Direction Générale de l’Armement du Ministère des Armées. Au programme, minecraft, log4j et vilain hacker. On inspecte les fichiers dans lesquels l’attaquant aurait pu laisser des traces, en commençant par le bash_history On comprend effectivement pourquoi […]

  • FCSC Write-up: Cloud Password Manager

    FCSC Write-up: Cloud Password Manager

    Enumération Il s’agit d’un site web qui permet de stocker des mots de passes. La page à la racine nous apprend déjà pas mal de chose : On obtient le hash du mot de passe de l’admin, ainsi que la taille de son mot de passe (12). On apprend également que l’admin a stocké son mot […]

  • FCSC Write-up: Daddy Morse

    FCSC Write-up: Daddy Morse

    Le FCSC édition 2022 a proposé dans ce troisième challenge de la catégorie Hardware de s’intéresser au traitement du signal en nous demandant de générer du morse dans un fichier au format IQ. Introduction En cherchant un peu sur le net, je suis tombé sur ça: https://github.com/jgibbard/iqtool.  Je vais m’en servir comme base (c’est à […]

  • FCSC Write-up: Echec OP 1-3

    FCSC Write-up: Echec OP 1-3

    Pour cette série de trois épreuves dans la catégorie Forensic proposée par le FCSC édition 2022, nous avions pour objectif de retrouver des informations dans un disque chiffré. Introduction On commence par obtenir des informations sur l’image disque avec l’outil fdisk et son option -l qui nous permet d’afficher les partitions d’une image. Il y […]

  • FCSC Write-up: Avatar Generator

    FCSC Write-up: Avatar Generator

    Pour sa dernière épreuve dans la catégorie Web, le FCSC nous proposait d’exploiter une vulnérabilité de type Cross-site scripting XSS avec échappement d’une restriction CSP. Enumération L’objectif du site web est de permettre à un utilisateur de générer un avatar aléatoire qu’il pourra partager sur Twitter. On commence par une petite énumération du service web, […]

  • FCSC : Crackage de calculatrice et stéganographie

    FCSC : Crackage de calculatrice et stéganographie

    Bonjour à tous :), juste après le hackday vient maintenant le FCSC, CTF individuel cette fois. Je commence avec un write-up portant sur le challenge de teasing, qui mêle stéganographie et cracking. Trêve de blabla, c’est parti ! Sommaire Partie 1: Stéganographie Après un petit coup sur https://aperisolve.fr/, on s’aperçoit qu’il y a des dinosaures […]

  • Protégé : Hackthebox write-up: Obscure

    Il n’y a pas d’extrait, car cette publication est protégée.