J’ai décidé de lancer une nouvelle rubrique sur le site dans laquelle je donnerai mon avis sur les différents sites de Challenges existants.
Ces tests seront divisés en plusieurs sections
qui vont permettrons, je l’espère de vous permettre de choisir la plateforme qui vous convient pour tester et améliorer vos connaissances.
Le premier à passer à la moulinette sera Root-Me, pour la simple et bonne raison que c’est sur celui-ci que j’ai actuellement passé le plus de temps. Bon, pas encore assez puisque je ne suis que dans le Top 300 au classement ?
Les Challenges
On trouve sur Root-me toute la panoplie des challenges que l’on peut rêver :
- Cracking : Trouver un flag dans un programme compilé
- Cryptanalyse : Décodez des messages cryptés par différents algorithmes, sans toujours savaoir duquel il s’agit
- Programmation : Créer un programme qui automatise certaines tâches (décodeur de CAPTCHA, bot IRC …)
- Réaliste : Mon préféré, on vous demande de récupérer une info sur un site web (mot de passe admin, document confidentiel …) le tout dans un environnement similaire à la réalité
- Réseau : Trouver un flag ou un mot de passe dans une capture réseau
- Stéganographie : Trouver un flag dissimulé dans un fichier
- Wargame : Trouver un flag via une connexion SSH en abusant de vulnérabilités
- Web-Client : Vous devrez casser des protection Javascript pour trouver les flags (alert() est votre ami ? )
- Web-Serveur : Exploitez les principales vulnérabilités web pour obtenir les infos demandées (SQLi, RFI,LFI …)
Il ne s’agit bien entendu que d’exemple d’épreuves que vous pouvez trouver dans ces challenges, d’autres types d’épreuves sont présentes et parfois plusieurs types d’épreuves sont mélangées (file guessing + path traversal + SQLi sur la même épreuve).
L’aide
Pour chaque épreuve, vous avez la documentation associée (Notes RFC, PDF parlant de la vulnérabilité, Présentation d’une conférence relative …). Dans la mesure du possible, Root-Me propose la documentation en Français.
De plus, chaque type d’épreuve propose sont forum associé où les utilisateurs peuvent supplier les autres pour obtenir un indice.
Les plus
L’un des gros plus de Root-Me est de proposer en plus de ces challenges, toute une série de machines virtuelles que vous pouvez lancer à tout moment avec d’autres joueurs (ou pas) et pour lesquelles vous avez 4h afin de les compromettre !
C’est une supère idée et peu de sites proposent ce genre de laboratoire de Pentesting gratuitement !
Les moins
Alors certains vont dire que c’est très bien comme ça, d’autres vont dire que c’est effectivement un manque. Perso, je me range du côté de ceux-ci, je trouve que l’aide n’est pas assez présente. Certes, Root-Me ne se présente pas comme une plateforme d’apprentissage mais quand on nous demande d’utiliser une vulnérabilité que l’on ne connait pas, que l’on ne nous oriente pas, lorsque la documentation fournie n’est pas forcement en rapport ou pas assez explicite et que le dernier message sur le forum concerné date de 3 mois, on se sent seul et on passe vite à une autre épreuve sans se casser la tête ?
En conclusion
Root-Me est un site Français sur lesquel vous passerez des longues heures à expérimenter et à rager !
La fonctionnalité de CTF All The Day est vraiment bien pensée et bien implémentée.
Vous aimerez aussi :
- Le site HackAServer propose aux Hackers de les remunerer
- Labs Intrusio – Première alerte envoyée !
- WAppEx : L’outil tout-en-un d’exploitation de vulnérabilités de sites web
- Intrusio – Chiffres sur les Pentests de la semaine
- Exploit-Exercices : Des distributions pour se faire la main au Pentest Linux