Dernièrement

Voici une série de challenges App-Script orientés Docker. Vous allez apprendre à manipuler docker afin d’évader le conteneur et avoir accès à la machine hôte.

• Docker - I am groot
• Docker - Sys-Admin’s Docker
• Docker - Talk through me

Merci à Nishacid pour cette série de challenges !

Toute l’équipe de Root Me vous souhaite de passer de joyeuses fêtes de fin d’année !

Quelques cadeaux de Noël avant l’heure pour ceux qui ne les auraient pas encore remarqués :

• un Spip tout neuf, en version 4
• amélioration de la sécurité de vos authentifiants avec un nouveau plugin : chiffrer
• un thème sombre : disponible via les réglages de votre navigateur ou système d’exploitation
• de nouveaux rangs : leurs icônes sont encore mouvantes
• nouveau système de contribution et de déploiement des challenges pour les membres
• de nombreux bugs corrigés (changement email, badges incorrects, CTF all the day, etc.)

Pour bien démarrer les fêtes de fin d’année, voici une nouvelle série de challenges forensic orienté mobile.

Vous pourrez étudier de nombreux artefacts présents dans les systèmes Android et iOS. Trois challenges sont disponibles : une introduction à l’investigation d’un iPhone, l’exploration de la mémoire vive d’un Android, ainsi qu’une enquête complète sur ces deux types de téléphone.

• iOS - Introduction
• Find me on Android
• The Lost Case - Investigation Mobile

Merci à Itarow et à Worty pour ces nouveaux challenges !

Voici une nouvelle série de challenges web client et serveur.
Dans cette série vous aborderez des vulnérabilités parfois méconnues, à savoir une introduction à la sécurité des Web Sockets, un premier challenge sur le Prototype Pollution en NodeJS ainsi qu’une désérialisation d’objet PHP avancée.

• Web Socket - 0 protection
• NodeJS - Prototype Pollution Bypass
• PHP - Unserialize Pop Chain

Merci à Worty pour ces nouveaux challenges !

L’ESNA de Bretagne a choisi Root-Me Pro pour parrainer sa nouvelle promotion d’étudiants en filière cyberdéfense !

Parmi les faits qui ont motivé les équipes à s’investir dans cette nouvelle aventure, voici les plus significatifs :

• Un responsable pédagogique passionné, à l’écoute et au contact de ses étudiants (bravo à Guillaume Chouquet)
• Une très forte cohésion entre les étudiants mais aussi avec les équipes pédagogiques et administratives
• Des projets concrets et innovants avec de vrais clients
• Un accès 24h/24 aux infrastructures de l’école et aux nombreux équipements (c’est peu de le dire) mis à disposition des étudiants
• Un enseignement en cybersécurité très dense et axé sur la pratique, dès la première année
• Une équipe pédagogique composée de professionnels et d’universitaires
• 100% des bac +4 ont été admis en bac +5 à l’EICnam (école d’ingénieur du CNAM)

Nous pouvons d’ailleurs souligner la récente victoire de l’équipe #ESNArcotrafiquants à l’#EC2 (European Cyber Cup) organisée durant le #FIC2021.

Voici une nouvelle série de challenges web client sur les vulnérabilités de type XSS DOM Based.

• XSS DOM Based - Introduction
• XSS DOM Based - Filters Bypass
• XSS DOM Based - Eval
• XSS DOM Based - AngularJS

Merci à Ruulian pour ces challenges !

Face à la multiplication des menaces, la cybersécurité des SI industriels n’a jamais été aussi importante notamment dans des contextes où elle vise à assurer la protection de systèmes d’importance vitale.

Forts de ce constat, Sup’ La Mache, le centre de formation de l’Ecole La Mache dédié à l’alternance sur les formations post bac, a souhaité répondre aux besoins de ses clients et prospects en majorité dans le domaine industriel en créant une nouvelle formation, proposée en alternance sur deux années : Expert.e. en cybersécurité industrielle.

Pour que cette formation soit la plus opérationnelle, de nombreux moyens pédagogiques seront mis à la disposition des étudiants :

• Abonnement aux environnements Root-Me PRO
• Laboratoire d’entrainement à la protection des systèmes industriels entièrement virtualisé fourni par Elysium Security
• Laboratoire industriel dans nos nouveaux locaux sur Lyon

Si vous êtes étudiant.e BAC+3, salarié.e (en reconversion ou désirant se spécialiser) ou encore en recherche d’emploi, vous pouvez encore postuler pour la rentrée d’octobre 2021. Deux profils se distinguent :

• Le profil « automaticien » : personne ayant un bagage technique dans le domaine de l’automatisme et des systèmes industriels
• Le profil « informaticien » : personne ayant un bagage technique dans le domaine informatique et tout particulièrement la sécurité des systèmes d’information (SSI).

Rendez-vous sur le site internet de Sup’ La Mache pour plus d’informations sur la formation

Voici une série de challenges pour découvrir de nouveaux types de hashes que vous rencontrerez généralement lors des pentests d’infrastructure Windows. Vous apprendrez à les reconnaître dans les sorties des outils de la suite Impacket.

• Hash - NT
• Hash - LM
• Hash - DCC
• Hash - DCC2
• CISCO - Salted Password

Merci à Shutdown, Tidusrose et Podalirius pour ces challenges !

Certains fondateurs étant des joueurs historiques de Root-Me, il nous semblait donc tout à fait naturel de proposer nos formations à la communauté

Située à Saint-Quentin-en-Yvelines, l’Ecole 2600 propose une formation sur 3 ans entièrement dédiée aux métiers de la cybersécurité. L’ingénierie pédagogique s’appuie sur 20 ans d’expertise, d’enseignement et de recherche dans l’écosystème de la sécurité informatique..

Les candidatures sont ouvertes aux titulaires de Bac +2 / licence pour un cycle d’étude de 3 ans en alternance. Les admissions se font sur dossiers et entretiens de motivation et entretien technique.

• la première année permet d’avoir un socle technique de haut niveau
• la deuxième année est une année de perfectionnement et de consolidation
• la troisième année permet aux étudiants d’acquérir une expertise et une spécialisation

Plus d’information sur notre offre de formation/notre programme de formation

L’école concentre les meilleurs approches pédagogiques (mode projets, peer to peer et encadrement) et se distingue par une approche bottom-up et une formation solide sur la théorie et les bases fondamentales. C’est un véritable laboratoire qui réunit entreprises, enseignants, experts et étudiants. Nos approches pédagogiques innovantes valorisent particulièrement l’apprentissage par la pratique ainsi que la volonté d’aller plus loin qu’un simple cursus scolaire. Nous encourageons d’ailleurs nos étudiants à s’inscrire sur Root-Me, plateforme qui véhicule également ces deux valeurs.

Root-Me Pro sera intégré à la palette d’outils pédagogiques à disposition des élèves.

L’Ecole 2600 délivre un titre certifié RNCP de niveau 7 d’expert de la sécurité des données, des réseaux et des systèmes. L’Ecole est membre de l’ACN et dispose d’un partenariat avec Action Logement pour aider les étudiants à se loger lors de leur formation et de leur alternance.

Pour en savoir plus et candidater

Per aspera ad root 🏴‍☠️🇫🇷

Les nouvelles mitigations rendent l’exploitation des bugs de corruption de mémoire de plus en plus difficile. Les attaquants doivent donc redoubler d’ingéniosité afin de contourner ces protections et d’obtenir un shell.
Affutez vos compétences en app-système avec cette nouvelle série de challenges !

• ELF x64 - ret2dl_init
• ELF x64 - FILE structure hijacking
• ELF x64 - File Structure Hacking
• ELF x64 - Heap Filling
• ELF x64 - Advanced Heap Exploitation - Heap Leakless & Fortified

Un grand bravo à kikko, voydstack et nobodyisnobody pour le développement de ces nouveaux challenges !