jeansayku
2020-12-20 19:57:20
Le 20 décembre 2020 à 19:31:22 Banclistologue a écrit :
bon pour l'instant c'est vraiment les bases, c'est pas à ce genre de niveau que je vais pouvoir apprendre des trucs 
je vous ai compris les cléshttps://image.noelshack.com/fichiers/2016/50/1482000512-onsecalmerisitas.png
le problème c'est que si j'adresse directement des sujets techniques complexes, je vais perdre les 3/4 de l'audience et c'est dommage car je suis convaincu que je peux ammener la plus part d'entre vous à un savoir plus poussé avec le tempshttps://image.noelshack.com/fichiers/2019/43/6/1572112988-evenement-incroyable.png
un savoir... plus sombre...https://image.noelshack.com/fichiers/2019/22/2/1559008556-mage-noir.png
un savoir qui implique de grandes résponsabilités...https://image.noelshack.com/fichiers/2017/08/1487601258-issou-man.jpg
si vous êtes assez patient et courageux, je pourrais vous parler d'exploitation de buffer overflow, de shellcode, de XXE, de XSS, de LFI, RFI, de RCE, de bypass, de XSRF, de TUNNELING, de reverse de protocol, de Return oriented Programming dédié à l'exploit de bof, de chiffrement en runtime de malware ETJ'EN PASSEhttps://image.noelshack.com/fichiers/2019/29/4/1563479202-babass.png
mais chaque chose en son temps les clés, il faut bien commencer quelque part..
jeansayku
2020-12-21 12:10:50
OKAI MES CRAYONShttps://image.noelshack.com/fichiers/2019/14/4/1554408416-yenabon2.png
HERE COMES THE SWEEThttps://image.noelshack.com/fichiers/2019/20/4/1557970825-hotpie-vieux.jpg
Bon alors j'ai bien compris que vous étiez intéréssés par la sécurité offensive, et que vous en aviez rien à branler du chiffrement , des certificats, des IP etc.https://image.noelshack.com/fichiers/2018/29/6/1532128784-risitas33.png
alors je vais essayer de rendre le tout un peu plus SEXYhttps://image.noelshack.com/fichiers/2017/08/1488048306-46846464648694984896468469.png
on va parler de HACKINGhttps://image.noelshack.com/fichiers/2020/11/4/1584047934-depardieu-matrix.png
dans mon metier , on réalise ce qu'on appelle des PENTEST, ou TESTS de PENETRATIONShttps://image.noelshack.com/fichiers/2020/15/2/1586210743-risitas-hacking-altieri.png.
attention les puceaux qui se gaussent au fond de la salle, je vous voishttps://image.noelshack.com/fichiers/2017/11/1489815579-jesuspij4.png
alors comme vous l'aurez devinez (ou pas, y'a pas de mal mais ferme ta sale petite bouche si c'est le cas) , l'objectif des pentests c'est de trouver un MAXIMUM de vulnérabilités sur le périmètre donné.https://image.noelshack.com/fichiers/2016/48/1480440491-videotogif-2016-11-29-18-21-15.gif
On cherche pas une vulnerabilité, pas 2 pas 3, l'objectif, c'est de TOUT EXPLOSER d'accord ?https://image.noelshack.com/fichiers/2017/19/1494425014-img-3979.jpg
ALORS TU PRENDS TON PC ET TU FAIS TOUT PETER BORDELhttps://image.noelshack.com/fichiers/2018/03/7/1516559702-risitrump-eussou.png
Concretement, les sociétés font appels à ce genre de service pour essayer de MITIGER l'impact d'une attaque réelle sur l'un de leurs ASSETS. En ayant conscience des vulnerabilités qui éxistent au sein de sa société, on peut mettre en place des correctifs, des plans d'actions, on peut analyser l'impact des vulnerabilités qu'on décide de ne pas corriger, etc etc. Il faut savoir que dans une société , quand on parle d'asset,ou de ressource , ça peut être les machines, les logiciels, mais aussi les employés, les locaux, etc etc.
Alors vous allez me dire "mais non de dieu tu vas quand même pas pentester les humains ?https://image.noelshack.com/fichiers/2018/29/6/1532128784-risitas33.png" dans le cadre d'un PENTEST non, mais dans le cadre d'activités de REDTEAMING, ça nous arrive très frequemmenthttps://image.noelshack.com/fichiers/2020/47/1/1605544007-nagui-triangle-zafeiri.pngmais je reviendrais là dessus une autre foishttps://image.noelshack.com/fichiers/2017/11/1489655148-collard-chant-des-cerises.png
ALORS VOILA BORDEL, JE VAIS VOUS APPRENDRE A TOUT FAIRE PETER AUTOUR DE VOUShttps://image.noelshack.com/fichiers/2017/19/1494425014-img-3979.jpghttps://image.noelshack.com/fichiers/2017/19/1494425014-img-3979.jpg
EST-CE-QUE VOUS ÊTES CHAUUUUD ???https://image.noelshack.com/fichiers/2020/05/5/1580511514-angerfist.jpg
(putain j'aurai du être profhttps://image.noelshack.com/fichiers/2017/03/1485021244-risicours.jpg.brefhttps://image.noelshack.com/fichiers/2017/14/1491340947-sans-titre.png)
Bon alors aujourd'hui je vais faire un petit tuto sur la manière dont on réalise le PENTEST d'un site WEB d'accord ?https://image.noelshack.com/fichiers/2020/21/2/1589893009-macronexplique2.png
c'est pas quelque chose de foncièrement COMPLIQUER, et chaque HACKER à ses propres petites techniques.https://image.noelshack.com/fichiers/2017/15/1492366588-hokasselineau3.png
je vais pas vous révéler précisément la mienne, déjà parce-que j'en ai honte (non je déconne je suis un maitre en la matièrehttps://image.noelshack.com/fichiers/2017/10/1489248741-risitas-roi.png), mais surtout parce-que c'est VOUS qui allez devoir trouvez votre propre technique avec le temps.
La raison c'est que je ne peux que vous montrer le CHEMINhttps://image.noelshack.com/fichiers/2017/27/4/1499357873-napalm-en-chemin.png
alors comme vous avez fait les fous "oui je connais ça c'est trop basique ololhttps://image.noelshack.com/fichiers/2019/17/2/1556038699-c-est-pas-moi-qui-le-dit-c-est-ecrit-sur-wiki.png"
voila la liste des notions qu'il faut connaitre pour accéder à ce cours, et je ne donnerai pas d'explications dessus . comme je suis pas le dernier des crevards, je vais quand meme vous donner quelques liens pour rafraichir votre mémoire de mollusque matrixé par la bouclehttps://image.noelshack.com/fichiers/2020/30/6/1595640883-matrix-4.jpg:
Alors il faut connaitre :
Les adresses IPv4 (c'est quoi et comment ça marche : https://www.reseaucerta.org/sites/default/files/principesBaseIP_etudiant.pdf
Les ports en informatique . Bon j'ai pas trouvé de site bien donc je vous donne la définition au tableauhttps://image.noelshack.com/fichiers/2016/51/1482146627-img-4664.png
en informatique , vous pouvez imaginez qu'un PORT correspond à une PORTE dans la vraie vie. Juste une porte d'accord ?
souvent on entends dire "j'ai ce port qui est ouvert". quand un port est détecté comme OUVERT sur une machine, cela veut dire qu'une APPLICATION ( on a plutot tendance à dire un SERVICE) ÉCOUTE sur ce port.
quand un port est juste ouvert mais qu'il n'y a pas de service qui écoute derrière, en général vous savez pas que ce port est ouvert ( y'a des exceptions mais on s'en branle c'est votre premier jour d'école).https://image.noelshack.com/fichiers/2017/11/1489818993-jesuspijfixfinal.png
En d'autres termes, il y a une application ou un service sur la machine qui accepte de discuter avec l'exterieur ( bien souvent sous certaines conditions) sur ce port donnée.
Imaginez que l'ordinateur est un hôtel avec des centaines de portes qui donnent toutes sur une chambre ( à la manière des hotels américains tout pourris là , vous voyez ?https://image.noelshack.com/fichiers/2019/38/5/1568964902-8.png. genre chaque chambre donne sur l'exterieur direct.
https://image.noelshack.com/fichiers/2020/52/1/1608547627-70496292.jpg
Bon bah l'hotel , le batiment, c'est la machine. Comme cet hotel de merde qui a une adresse sur google map, la machine à une adresse IP.
Bon et maintenant , imaginez que chaque chambre est une application.
Donc l'hotel est la machine, et la chambre est l'application.https://image.noelshack.com/fichiers/2019/38/5/1568964899-5.png
Si le maitre d'hotel ouvre une porte, on peut acceder à la chambre depuis l'exterieur (en se rendant à la bonne adresse bien entendu).https://image.noelshack.com/fichiers/2019/38/5/1568964781-4.png
et bien en informatique bande de furieux, c'est la même chose.https://image.noelshack.com/fichiers/2017/10/1488820549-picsart-03-06-06-06-10.jpg
Si l'admin ouvre un port , on peut accéder à l'application depuis l'adresse IP en communiquant sur le bon port. Compris ?https://image.noelshack.com/fichiers/2019/38/5/1568964779-1.png
par exemple quand vous allez sur JVC, vous accedez en fait au serveur de la société (l'hotel), qui heberge un service web (la chambre), sur le port 80 (la porte)
( les jean-experts reverse proxy blablabla je vous mets à l'amande commencez pas a faire les fous a me parler de reverse proxy blabla la redondance les pool d'ip JE SAIS PUTAIN JE FAIS AU PLUS SIMPLE pour que tout le monde comprennehttps://image.noelshack.com/fichiers/2017/01/1483877998-risitas-instituteur.png)
OK c'est tout pour les ports.
donc faut aussi avoir des notions en HTML , en JAVASCRIPT, en algorithmie, et en SQL
je vous la fait très courte avec des analogies comme vous êtes pas très futfut'https://image.noelshack.com/fichiers/2017/11/1489815579-jesuspij4.png(non finalement j'aurai pas pu être profhttps://image.noelshack.com/fichiers/2017/20/1495043098-larry-thmetique.png)
HTML => c'est le langage qui permet de mettre en forme votre site web.
JAVASCRIPT => le JAVASCRIPT s’exécute sur la machine du CLIENT ok ? quand vous visitez un site internet et qu'il y a du javascript sur le site, le code s'execute sur VOTRE POSTE. Si vous voulez tout savoir et brassez devant les copains, vous pouvez meme leurs dire que le navigateur web alloue une plage mémoire dans le heap et charge le javascript dynamiquement dans la plage mémoire avant de l'executer dans un interpreteur implémenté au sein même du navigateur.
Si je vous ai perdu j'en ai rien à foutre, apprennez ça par coeur ce sera demandé dans l'intérohttps://image.noelshack.com/fichiers/2016/46/1479187311-jesus49.png. Non je déconne on s'en fou oubliez ce que je viens de dire.
ce qui est important, c'est que le JAVASCRIPT s’exécute CHEZ VOUS, DANS VOTRE NAVIGATEUR POURRIS . ok?https://image.noelshack.com/fichiers/2016/51/1482171512-chhhchhh.pngbien.
Le SQL, c'est le language qu'on utilise pour intéragir avec la base de donnée du site web. à moins que votre site ce soit un site d'une seule page, une "vitrine onepage" comme on les appels dans le jargon ( dont on a rien a foutre soit dit en passant arretez avec vos CV one page sinon je vous mets une steakhttps://image.noelshack.com/fichiers/2020/11/1/1583757367-tape-nuque-claque.png) , bah il va y avoir des données, à afficher, à sauvegarder, à manipuler etc. ces données, on les stock dans une base de donnée (SQL, NOSQL, OU QUE SAIS-JE ENCORE..). on va commencer simple, et dire que c'est une base de donnée SQL d'accord mes petits crayons adorés ?https://image.noelshack.com/fichiers/2017/11/1489815579-jesuspij4.png
https://image.noelshack.com/fichiers/2017/11/1489815579-jesuspij4.pngil est mignon celui là avec son chapeau guili guili guiliii ENLEVE TA CASQUETTE DANS MA CLASSE ESPECE DE SALE FILS DE P...oui bon aller va t'asseoirhttps://image.noelshack.com/fichiers/2020/19/2/1588673311-182d876e-3f6f-4b2b-9069-be8ac159c9cc.jpeg
Suite au prochain épisode si ça vous plait mes crayons, uppercutez et abonnez vous sinon la sweet je l'écris pas et vous trouverez un autre moyen pour rentrer dans la boite mail à papa maman pour qu'ils voient pas que vous payez le onlyfan à belledelphine avec leurs cartes bleushttps://image.noelshack.com/fichiers/2017/47/2/1511287070-risi-femme3.png
