Challenges #

Voici quelques challenges en rapport avec le réseaux et/ou la crypto.

Dans ce TP, vous êtes livré.e à vous même. L’objectif des challenges est l’auto-formation : vous n’avez pas a priori les compétences pour les résoudre en début de séance. Mais vous allez les acquérir durant la séance de TP.

Les challenges à réaliser sont la plupart disponibles sur des sites en ligne. Vous devrez alors créer un compte pour accéder aux énoncés, et pour tester vos solutions (parfois aussi pour accéder à certaines documentations).

Attendu dans le rapport #

Pour chaque problème (la plupart ont des énoncés très courts), vous devrez fournir les rubriques suivantes :

• Titre du challenge
• URL du challenge
• writeup détaillé : vous expliquez comment passer les étapes du challenge jusqu’à l’obtention de la validation, pourquoi vous avez fait telle manipulation, etc.
• mot/solution/flag qui permet de valider le challenge
• outils : liste des outils utilisés
• documentation : liste des urls consultées et utiles

Le côté pédagogique du rapport sera pris en compte.

Un exemple de rédaction de solution vous sera donné durant le TP.

Outils qui peuvent être utiles #

• Documentations

  • Injections SQL (en anglais)

• Web

  • Console développeur du navigateur
  • Ardoise Javascript du navigateur
  • Plugin Firefox Modify-Header-value ou un équivalent pour Chrome : permet de modifier les entêtes HTTP (un Firefox récent permet de le faire sans installer d’extension)

• Crypto

  • Online Rsa Key Converter : permet de passer des clés RSA d’un format à un autre
  • Calcul des coefficients de Bezout : permet de trouver l’inverse d’un entier dans l’anneau \(\mathbb{Z}_k\) .
  • Logiciel stegsolve.jar pour détecter des informations cachées dans une image (méthode LSB par exemple)
  • Outils MD5Decrypt

• Réseau

  • Hex packet decoder : décode le contenu de trames réseau à partir d’une liste d’octets donnés en héxadécimal
  • Packetor : décode le contenu de trames réseau à partir d’une liste d’octets donnés en héxadécimal
  • Ping.eu http://ping.eu : ping, traceroute, nslookup, whois, port scanner…
  • Outils réseau en ligne http://centralops.net : ping, traceroute, nslookup…

• Divers

  • Décodeur base 64 en ligne
  • Éditeur hexadécimal en ligne Hexedit
  • Éditeur hexadécimal en ligne OnlineHExEditor
  • Codeur/Décodeur ASCII en ligne
  • Codeur/Décodeur ASCII en ligne (dcode.fr)
  • Encodeur/Décodeur URL en ligne
  • Utilitaires encodage/ décodage etc..
  • Utilitaires encodage/ décodage etc.. 2

Création des comptes #

Les pages des sites de challenge sont regroupées ici. Créez les comptes au fur et à mesure des besoins. N’utilisez pas votre nom réel mais plutôt un pseudonyme. Enfin, pensez à donner le pseudo que vous avez utilisé dans le rapport de TP.

• Root Me : on peut créer un compte sur la page de garde
• Pydéfis : on peut consulter les énoncés sans créer de compte, mais il faut en créer un pour vérifier sa réponse (je peux aussi vous la valider directement si vous faites une proposition)
• picoCTF : CTF d’entraînement de l’Université Carnegie Mellon (les énoncés sont en anglais)

Liste des challenges #

À chaque fois l’URL du challenge est donnée (assurez vous d’avoir ouvert un compte sur le site)

• Web Client
  • Root-me / HTML
  • Root-me / HTML Boutons désactivés
  • Root-me / Javascript Authentification 2
  • Root-me / Javascript Obfuscation1
  • Root-me / Javascript Obfuscation 2
• Web Server
  • Root-me / HTTP Headers (À signaler : quelques pbs pour venir à bout du challenge avec Chrome… )
  • 😓 Root-me / SQL Injection Authentification
• Réseau
  • Root-me / Ftp Authentification
  • Root-me / Ethernet Trame
  • Root-me / IP : Time to live
• Crypto
  • PicoCTF / The Numbers
  • PicoCTF / 13
  • Root-me / Hash Message Digest
  • PicoCTF / Flags
  • 😓 RSA 2019 PicoCTF : un document contenant le challenge vous sera transmis (plus simple à utiliser que le challenge en ligne sur PicoCTF)
  • 😓 Pydéfis / Les avengers cryptanalystes II (Aide)
  • 😓 Pydéfis / La Team Rocket chiffre avec RSA (Aide)
• Forensics
  • PicoCTF / Glory of garden
  • PicoCTF / Shark on Wire 1
• Un peu de tout…
  • 😓😓 Challenge Richelieu : il s’agit de la copie de l’étape de sélection d’un challenge initié par la DGSE. Une URL vous sera fournie en TP. Ce challenge est long et contient plusieurs étapes permettant de voir : HTML, Fichiers polyglottes, Stéganographie, Encodage Base 64, Historique des commandes Linux, Cryptographie RSA, Reverse binaire (difficile et hors programme, mais c’est à la fin…)