on hack | event

Hack In Paris 2019

Les 19 et 20 juin, j'ai eu la chance de pouvoir aller à Hack in paris.

Qu'est-ce qu'Hack in paris ?

Hack in paris est un évenement organisé par Sysdream (Entreprise spécialisée en cybersécurité) à la maison de la chimie rue Saint-Dominique dans le 7è arrondissement de Paris.
Il regroupe 17 conférences sur 2 jours, 12 workshops et une soirée pentest en collaboration avec Yogosha (entreprise spécialisée dans le Bug Bounty).

Durant ces 2 jours j'ai pu assister à quelques conférences notamment "Social Forensication: A Multidisciplinary Approach to Successful Social Engineering" de J.Gray dont le sujet était de présenter comment, et avec quels outils, il est possible de collecter des informations via du social engineering pour planifier une attaque.
Mais aussi la conférence de Paula Januszkiewicz intitulée : "DPAPI and DPAPI-NG: Decrypting All Users’ Secrets and PFX Passwords" ou comment déchiffrer les mots de passes stocké sur sur windows avec DPAPI

Plusieurs workshops étaient également organisés comme :
Advanced Web Hacking (3 days) avec NotSoSecure (https://hackinparis.com/archives/2019/#training-2019-advanced-web-hacking-3-days)
Practical IoT Hacking (3 days) avec Arun Magesh and Aseem Jakhar (https://hackinparis.com/archives/2019/#training-2019-practical-iot-hacking-3-days)
ou encore
Mobile Hacking Training (2 days) with Guillaume Lopes and Davy Douhine (https://hackinparis.com/archives/2019/#training-2019-mobile-hacking-training-2-days)

J'ai assisté au workshop pentest d'application web sur une plateforme développée pour cette occasion. En 1 heure, le but était de récupérer un root-shell12 au travers d'une application web via une injection SQL et quelques outils comme Nmap, Nikto, Sqlmap, Netcat ou encore Metasploit.

Nmap

Nmap est un outil développé par Fyodor servant à scanner des ports TCP ou UDP.
Grâce à cet outil, il est possible de découvrir quels sont les ports ouverts, fermés ou encore filtrés.
Nmap sert aussi à tester, grâce à des scripts NSE (dont certains sont inclus avec) des problèmes de configuration logiciel comme ceux qui utilient le protocol HTTP ou encore le DNS.
Cet outil est sous licence GNU GPL

Nikto

Nikto est un scanner de vulnérabilité web développé par Chris Sullo.
Il permet de découvrir des failles XSS, SQLi, XML Injection, LFI, RFI ou encore des problèmes de configuration sur l'authentification via .htaccess.
Cet outil est sous licence GNU GPL v2

SQLMap

SQLMap est un outil permettant à un attaquant de détecter et exploiter une faille d'injection SQL

Netcat

Netcat est un logiciel permettant d'ouvrir des connexions réseau en TCP ou en UDP.
Il permet, de prendre le contrôle à distance d'une machine faillible pour en récupérer un shell et/ou un root-shell grâce à une escalade de privilèges.

Metasploit

Metasploit est un framework développé par Rapid7 LLC incluant tout un tas d'outils permettant à un pentesteur de mener ses tests d'intrusion à bien que ce soit pour du pentest Web ou réseau.
C'est un projet sous licence BSD

XSS

Une faille XSS ou cross site-scripting est une faille permettant d'injecter du code dans le DOM d'une page HTML. Typiquement en injectant du javascript, il est possible de prendre le controle dur navigateur de la victime, notemment grâce au logiciel Beef. Mais il ets utti possible de détourner une page faille à ce type de faille pour voler des informations sensibles de la victime (Comme un login, mot de passe, donnée personnelle, etc...).
Elle permet aussi le vol de cookie, ce qui permet à un attaquant de voler une session utilisateur d'une victime.

SQLi

SQLi, SQL Injection ou injection SQL est une faille très critique. Elle permet à un attaquant d'interragir directement avec la base de donnée pour en récupérer son contenu. Il est donc possible pour un attaquant de récupérer des logins/passwords stockés. Il est également possible d'écrire des fichiers directement sur le serveur pour récupérer le code source de l'application Web du serveur ou de prendre le contrôle de la machine grâce à un root-shell.

LFI

LFI ou Local File Inclusion est une faille permettant à un attaquant d'injecter du code directement depuis une page ou depuis l'url d'un page pour manipuler, récupérer ou détourner des informations sensibles d'un serveur.

RFI

RFI ou Remote File Inclusion, comme la faille LFI permet à un attaquant de manipuler, récupérer ou détourner une page web en injectant du code depuis une machine distante.

Le prochai HackInParis aura lieur du 15 au 19 juin 2020 à la maison de la chimie.

  • Du 15 au 17 juin 2020 : Training avec des security officers (CISOs, CIOs)
  • Du 18 et 19 juin 2020 : Conférences & workshops

Les vidéos ainsi que les slides des conférences de l'édition 2019 sont disponibles ici https://hackinparis.com/archives/2019/.

[1] https://fr.wikipedia.org/wiki/Secure_Shell
[2] https://fr.wikipedia.org/wiki/Utilisateur_root