Termux est un émulateur de code disponible sur Android. Il permet d’exécuter des commandes sur votre smartphone. Il est intéressant d’y déployer certains outils comme NMAP afin de détenir de nombreux outils dans notre poche. Installation de Termux On débute ce tutoriel en installant Termux.Il est préférable de passer par la version disponible sur F-Droid […]
Installer NMAP sur Android Lire la suite »
Termux est un émulateur de code disponible sur Android. Il permet d’exécuter des commandes sur votre smartphone. Il est intéressant d’y déployer certains outils comme Metasploit afin de détenir de nombreux outils dans notre poche. Installation de Termux On débute ce tutoriel en installant Termux.Il est préférable de passer par la version disponible sur F-Droid
Installer Metasploit sur Android Lire la suite »
Aujourd’hui nous allons voir comment installer OpenVAS (Open Vulnerability Assessment Scanner). Ce scanner de vulnérabilités permet d’auditer un parc informatique à la recherche de vulnérabilités connues sur le réseau. Cela ne fait pas de miracle mais permet néanmoins de détecter des failles éventuelles qui seraient passées entre les mailles de filet.
OpenVAS : Installation et configuration Lire la suite »
Aujourd’hui nous allons voir comment réaliser une campagne de phishing afin de bypasser une authentification mutlifacteur. Nous utiliserons pour cela l’outil evilginx présent sur Kali Linux. Nous reproduirons le template d’authentification d’Office365 afin de leurrer nos utilisateurs. Pour réaliser cette maquete il est préférable de disposer d’un serveur internet dédié ainsi que d’un nom de domaine qui vou servira à réaliser la campagne. Pour mon test j’ai réalisé cette démo sur une machine locale avec le mode développeur mais pour des raisons pratiques, je vous ai détaillé les commandes nécessiares à une réalisation grandeur nature.
Bypasser une authentification a facteurs multiples (MFA) via un phishing Lire la suite »
Aujourd’hui nous allons étudier un outil d’OSINT très pratique qui permet de retrouver des adresses e-mails de personnes dans des entreprises uniquement à partir de leur nom.
OSINT : Hunter.io, débusquer des adresses e-mails de professionnels Lire la suite »
Vidéo de mise en placed’une attaque par phishing.
Mise en place d’une attaque par phishing Lire la suite »
Nessus est un scanner de vulnérabilités. Il est très efficace et reconnu sur le marché de la sécurité. Il est aussi très simple d’utilisation (Il faut néanmoins avoir de bonnes connaissances en informatique en général pour comprendre les rapports).
Nessus installation et scan de vulnérabilités Lire la suite »
Ghidra est un outil de la NSA (National Security Agency aux Etats Unis) qui permet de décompiler n’importe quel logiciel afin d’en analyser le code source. Il peut être très utile pour réaliser du reverse engineering notamment sur des malwares afin d’étudier leur comportement.
Installation et utilisation de Ghidra (reverse engineering) Lire la suite »
Nous allons voir ensemble comment exploiter la vulnérabilité LOG4J afin de compromettre une machine vulnérable.
Pour cet atelier, je me suis basé sur une application web vulnérable disponible sur github :
Exploitation de la vulnérabilité LOG4J Lire la suite »
Cette faille affecte les machines Windows exécutant SMB. La vulnérabilité permet à un attaquant d’exécuter un code malveillant à distance. L’exploit cible une vulnérabilité dans l’implémentation du protocole Server Message Bloc (SMB) de Microsoft, par l’intermédiaire du port 445.
Exploitation de la vulnérabilité EternalBlue Lire la suite »