Category Archives: Hacking

Il était une fois … SambaCry

Bonjour à tous, Aujourd’hui, nous allons nous intéresser à SambaCry, une vulnérabilité qui avait été découverte sur le logiciel Samba au milieu de l’année 2017.Nommée ainsi, en référence à Wannacry, cette faille de sécurité avait été utilisée pour lancer des attaques massives sur Internet. Qu’est ce que Samba ? Samba est le logiciel qui permet aux systèmes Linux/Unix… Read More »

Il était une fois … Heartbleed

Le protocole SSL/TLS fournit à plusieurs types d’applications (serveurs mail, VPN, serveurs Web, etc.) un bon moyen de sécuriser leur communication à travers la Toile. Un très sérieux bug avait été pourtant découvert dans le populaire logiciel OpenSSL implémentant le protocole. Ce bug, nommé Heartbleed permettait un accès non authorisée à des informations sensibles des serveurs. Le… Read More »

Twint – l’outil d’Intelligence de Twitter

Twint est un outil de reconnaissance écrit en Python destiné à la plateforme Twitter. Utilisant les opérateurs de recherches Twitter, Twint peut vous permettre de télécharger tous les tweets d’un profil, ou de télécharger des tweets selon des tendances, des hashtags, et même filtrer les informations sensibles comme les emails ou numéros de téléphones. Cet outil OSINT… Read More »

Il était une fois … Shellshock

Aussi connu sous le nom de BashBug, Shellshock est le nom qui avait été donné à une famille de bugs de sécurité détectés dans le shell Bash durant l’automne de l’année 2014. Ces bugs avaient affecté des milliers de systèmes Linux/Unix sur la Toile. Le tout premier fut découvert par Stéphane Chazelas le 24 Septembre 2014. Bien qu’il… Read More »

PhoneInfoga – l’outil recon des numéros de téléphone

PhoneInfoga est un outil OSINT destiné au scan de numéros de téléphone à travers des sources publiques. Cet outil écrit en Python, utilise la technologie Selenium pour automatiser tout le processus de scan. Ci-dessous quelques caractéristiques de PhoneInfoga. _ Collecte d’informations basiques sur le numéro de téléphone telles que le pays d’où provient le numéro, le type… Read More »

Comment obtenir toutes les informations sur vos amis Facebook en un seul clic avec OSIF ?

Open Source Information Facebook ou OSIF est un outil de collecte d’informations sur les comptes Facebook. Cet outil, écrit en Python, vous permet de collecter plusieurs types d’informations sensibles telles que le jour de naissance de vos amis, leur lieu de résidence, leur occupation, leur numéro de téléphone, leur adresse mail, leur hobbie, etc. OSIF est également doté… Read More »

Comment extraire des images des dumps de mémoires ?

Dans un challenge auquel j’ai participé récemment, il était question de retrouver des indices dans des images mémoires (memory dumps/dumps de mémoires). Ce challenge m’a permis découvrir une méthode très simple pour afficher les fenêtres qui étaient ouvertes par l’utilisateur de l’ordinateur lors de la capture de l’image mémoire. J’ai donc décidé d’écrire un billet sur cette… Read More »

Comment exploiter les vulnérabilités d’injection de commandes avec Commix ?

Parfois, certaines applications Web ont besoin de communiquer avec le shell du système d’exploitation sous-jacent. Cela peut se faire notamment grâce à l’inclusion des commandes shell dans les requêtes HTTP. Malheureusement, si l’application n’est pas proprement assainie, elle peut être sujette à un type d’attaque appelé injection de commandes. L’injection de commande (ou Shell Code Injection) est une… Read More »

Comment extraire des informations dans une image mémoire ?

La semaine dernière je vous introduisais à Volatility, cet outil Open Source qui peut être très utile dans les investigations forensic. Aujourd’hui, nous verrons quelques exemples pratiques d’extraction d’informations dans des images mémoires à l’aide de Volatility et d’autres outils Linux. Pour une bonne compréhension, je vous invite à revoir mon article introductif sur Volatility. Profil Système Pour… Read More »