Catégorie : FCSC
-
Exfiltration avancée de donnée par CSS (Cloud Password Manager)
Enumération Il s’agit d’un site web qui permet de stocker des mots de passes. La page à la racine nous apprend déjà pas mal de chose : On obtient le hash du mot de passe de l’admin, ainsi que la taille de son mot de passe (12). On apprend également que l’admin a stocké son mot…
-
Reproduction d’un signal en Morse avec Python (Daddy Morse)
Le FCSC édition 2022 a proposé dans ce troisième challenge de la catégorie Hardware de s’intéresser au traitement du signal en nous demandant de générer du morse dans un fichier au format IQ. Introduction En cherchant un peu sur le net, je suis tombé sur ça: https://github.com/jgibbard/iqtool. Je vais m’en servir comme base (c’est à…
-
Analyse d’image disque (Echec OP 1-3)
Pour cette série de trois épreuves dans la catégorie Forensic proposée par le FCSC édition 2022, nous avions pour objectif de retrouver des informations dans un disque chiffré. Introduction On commence par obtenir des informations sur l’image disque avec l’outil fdisk et son option -l qui nous permet d’afficher les partitions d’une image. Il y…
-
XSS avancée avec bypass de CSP (Avatar Generator)
Pour sa dernière épreuve dans la catégorie Web, le FCSC nous proposait d’exploiter une vulnérabilité de type Cross-site scripting XSS avec échappement d’une restriction CSP. Enumération L’objectif du site web est de permettre à un utilisateur de générer un avatar aléatoire qu’il pourra partager sur Twitter. On commence par une petite énumération du service web,…
-
Crackage de calculatrice et stéganographie (préchall)
Bonjour à tous :), juste après le hackday vient maintenant le FCSC, CTF individuel cette fois. Je commence avec un write-up portant sur le challenge de teasing, qui mêle stéganographie et cracking. Trêve de blabla, c’est parti ! Sommaire Partie 1: Stéganographie Après un petit coup sur https://aperisolve.fr/, on s’aperçoit qu’il y a des dinosaures…