Catégorie : web
-
Bypass de captcha (Pas si chronophage)
Pour ce deuxième write-up j’aborde la résolution d’un petit challenge de dev bien sympa dans lequel on va devoir bypass un captcha de type horloge. Description Cette application permet la connexion de l’utilisateur à son compte de box internet. La page de login se présente comme ceci: Une indication nous apprends que le login est…
-
Hacker des hackeurs (Un chasseur sachant chasser)
Bonjour et bienvenue sur ce premier write-up des challenges de la DGHACK édition 2022 organisé par la Direction Générale de l’Armement du Ministère des Armées. Pour ce premier write-up, je vous explique comment j’ai pu résoudre la série de challenge web « un chasseur sachant chasser ». C’est parti ! Description Partie 1 Des analystes SOC du Ministère des…
-
Exploitation à base de popchain PHP (Unserial killer)
Bonjour et bienvenu sur ce troisième write-up portant sur les challenges de la DGHACK, édition 2022, organisé par la Direction Générale de l’Armement du Ministère des Armées. Description Une entreprise vient de se faire attaquer par des hackers ayant récupéré la configuration d’un de leur serveur web. Auditez le code source du serveur web et…
-
Exfiltration avancée de donnée par CSS (Cloud Password Manager)
Enumération Il s’agit d’un site web qui permet de stocker des mots de passes. La page à la racine nous apprend déjà pas mal de chose : On obtient le hash du mot de passe de l’admin, ainsi que la taille de son mot de passe (12). On apprend également que l’admin a stocké son mot…
-
XSS avancée avec bypass de CSP (Avatar Generator)
Pour sa dernière épreuve dans la catégorie Web, le FCSC nous proposait d’exploiter une vulnérabilité de type Cross-site scripting XSS avec échappement d’une restriction CSP. Enumération L’objectif du site web est de permettre à un utilisateur de générer un avatar aléatoire qu’il pourra partager sur Twitter. On commence par une petite énumération du service web,…