Web

Follow the Rabbit Tandis qu'Alice s'occupait de son jardin, elle est tombée sur un lapin blanc affolé. Celui-ci, pressé, lui a demandé de le suivre. Sans hésiter, Alice a décidé de le poursuivre dans son mystérieux terrier. https://follow-the-rabbit.france-cybersecurity-challenge.fr SHA256(follow-the-rabbit-public.tar.gz) = 6d5af5b83e3c9d3d5bb556965440df80507406239e68ef94c03ba1482d99f411. Analyse Le challenge nous offre une archive contenant des fichiers docker ainsi que le code source de la configuration nginx. docker-compose.yml: version: '3' services: follow-the-rabbit: build: context: . args: FLAG: FCSC{flag_placeholder} ports: - 8000:80 Dockerfile:...

Hello from the inside Votre nouveau stagiaire aimerait bien vous persuader que les architectures orientées micro-service améliorent nettement la sécurité de vos systèmes d'information. Il a décidé de vous le démontrer en réalisant une preuve de concept du type "Hello world", déployé à la hâte sur un serveur HTTP Apache. Allez-vous lui proposer un contrat à la fin de son stage ? https://hello-from-the-inside.france-cybersecurity-challenge.fr/ Note : Aucun bruteforce n'est nécessaire à la résolution du challenge....

Peculiar Caterpillar Alors qu'elle se promenait au Pays des merveilles, Alice tomba sur une chenille étrange. À sa grande surprise, cette dernière se vantait d'avoir construit son propre site web en utilisant Javascript. Bien que le site semblait simple, Alice ne pouvait s'empêcher de se demander s'il était vraiment sécurisé. https://peculiar-caterpillar.france-cybersecurity-challenge.fr/ SHA256(peculiar-caterpillar-public.tar.gz) = 0aad816ba8eeff048785257f1bc157e83e59ec3246af0f9556ef7b6e39b56b6f. Analyse Le challenge nous offre une archive, contenant plusieurs fichiers intéressants. On apprend notamment que l’application est codée en Node....

Tweedle Dum Au cours de ses aventures au Pays des merveilles, Alice a rencontré une curieuse paire de jumeaux : Tweedledee et Tweedledum. Les deux avaient créé un site web simpliste en utilisant Flask, une réalisation qui a suscité l'intérêt d'Alice. Avec son esprit curieux et son penchant pour la technologie, Alice ne pouvait s'empêcher de se demander si elle pouvait pirater leur création et en découvrir les secrets. Note : Tweedle Dum est la version "facile" du challenge, regardez Tweedle Dee pour la version "difficile"....

CVE PMB Introduction On a recent pentest, I faced a web app that use PMB CMS full up to date. The CMS is Open Sourced so, I directly download it and start to analyze the code. PMB is a CMS used in multiple French organization and by other people over the web. The CMS help manage library or media library. After some hours of analysis, I manage to get an XSS on an endpoint but, not more....

Vice-VeRSA Points: 199 (dynamique) L'administrateur se cache bien d'indiquer aux utilisateurs que leurs messages sont enregistrés. Prouvez-lui qu'on ne peut pas la faire à l'envers aux utilisateurs. http://challenges2.france-cybersecurity-challenge.fr:5003 Tags: web, crypto Analyse Avec le nom du challenge et les tags, je comprends que le challenge va être orienté crypto avec une partie web. Plus précisément sur du chiffrement RSA. Dans un premier temps, j’aime bien regarder le code source html de chaque page pour me faire une arboresence de toutes les pages disponibles....

RainbowPages v2 Points : 250 (dynamique) La première version de notre plateforme de recherche de cuisiniers présentait quelques problèmes de sécurité. Heureusement, notre développeur ne compte pas ses heures et a corrigé l'application en nous affirmant que plus rien n'était désormais exploitable. Il en a également profiter pour améliorer la recherche des chefs. Pouvez-vous encore trouver un problème de sécurité ? URL : http://challenges2.france-cybersecurity-challenge.fr:5007/ Ce challenge fait suite au challenge RainbowPages...