Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité de l'Information

Android - Shady VPN

apges01 — 2025-09-08T10:01:30Z

Challenge sponsorisé par Airbus lors du CTF "Security Hacking Contest 2023"

M. Y utilise l'application VPN NxShield pour protéger son identité lorsqu'il navigue sur Internet. Votre tâche dans les étapes suivantes sera d'analyser cette application pour en comprendre le fonctionnement.

En parallèle, nos équipes réseau ont pu intercepter une communication, il y a environ 2 jours, entre cette application et les serveurs VPN de NxShield. Vous devez trouver un moyen d'accéder aux données échangées lors de cette capture, qui seront très importantes pour identifier l'identité de M. Y.

Avant de commencer votre analyse, veuillez noter que nous avons fermé les serveurs utilisés par NxShield VPN. Malheureusement, certaines fonctionnalités de l'application ne sont plus disponibles, mais nous espérons que cela n'aura pas d'impact sur vos analyses.

C'est l'heure, le temps presse...

sha256sum (ch33.zip) : 5782eb96b88699962c063249cf8600d2515815cbca4315f662e19af70ee355e0

Informations :
Ce challenge comprend 4 flags à retrouver lors de l'analyse de l'application NxShield.

– Le code d'accès à l'application
– Le code d'activation du formulaire de connexion
– Le mot de passe de Mr Y.
– Le flag présent sur une image dans la capture réseau

Le format du flag est le suivant : sha256sum(flag1:flag2:flag3:flag4)

- Réaliste

VPN Provider

Mhd_Root , Nishacid — 2025-09-08T10:01:20Z

Challenge sponsorisé par Airbus lors du CTF "Security Hacking Contest 2023"

Nous enquêtons actuellement sur l'identité de madame Alice X, qui prévoit de commettre un attentat au cours des prochaines semaines. Récemment, nous avons pu intercepter une photo prise avec son téléphone portable personnel. Pouvez-vous faire une analyse approfondie de cette photo ? C'est la seule information dont nous disposons pour le moment...

Par ailleurs, selon nos équipes techniques, madame Alice X est une personne qui semble utiliser des outils comme un VPN qui lui permettent de garantir sa sécurité sur Internet.

Le flag du challenge se situe sur /flag.txt

- Réaliste

Vidéo analogique

kevin.mille — 2025-06-23T18:18:33Z

Vous devez trouver le flag dans ce signal vidéo analogique.

Format du fichier d'enregistrement :

fichier binaire
signal réel, en virgule flottante, quantifié sur 32 bits
fréquence d'échantillonnage = 26 Mech/s

Le signal ne contient que de la vidéo (pas d'audio).

- Réseau

Ruby on Rails - ransack

koma — 2025-06-23T18:18:19Z

Trouvez le mot de passe administrateur.

- Web - Serveur

PNG - EMD

Thibz — 2025-06-23T18:18:09Z

Nos agents ont découvert qu'un groupe d'extrémistes bretons communiquait entre eux au travers de cartes postales représentant les paysages de la région. Nous avons réussi à intercepter une image et nous sommes persuadés qu'elle contient des informations capitales pour démanteler ce groupe.

Quelques informations pour vous aider :
– La taille des groupes de pixels est 2
– La taille du message caché est de 892 caractères
– L'image doit être divisée en groupes contenant 2 pixels qui se succèdent sur l'axe des abscisses.
– Aucune clé secrète n'a été utilisée lors du chiffrement, il n'y a donc pas de permutation aléatoire des pixels

Bonne chance !

- Stéganographie

PE32+ - KeygenMe

Redouane — 2025-03-14T08:49:40Z

A vous de découvrir ce binaire, et de comprendre son fonctionnement.

L'objectif est de générer la clé d'activation pour l'utilisateur "Root-Me".

- Cracking

PE DotNet - Memory Protect

Vozec — 2025-03-14T08:49:35Z

On vous met au défi de casser ce keygen !
Votre mission, si vous l'acceptez, est de trouver le mot de passe valide pour l'utilisateur RootMeAdministrator.

Ce binaire s'autodétru.. euuuh non, se protégera dans 5 secondes ....

- Cracking

EVM - Bytecode

Elf — 2025-03-14T08:49:28Z

Votre collègue a eu une idée "brilliante" : mettre les gestionnaires de mots de passe à la poubelle au profit des smart contracts Ethereum pour vérifier ses mots de passes. Vous l'informez que c'est une idée risquée, mais il insiste : "Je n'ai pas publié le code source sur Etherscan, personne ne peut voler mon mot de passe".

Il est temps de lui montrer que la réalité est toute autre avec une démonstration pratique...

Adresse du contrat intelligent sur le testnet Sepolia : 0x6028Ee769D519A92bc5db0210C2cC34c6d178b93

- Cracking

Basic ? crackme

Dvorhack — 2025-03-14T08:49:23Z

Comme tout crackme, il faut trouver la clé qui permet de passer la vérification.
Mais il y a peut être des pièges !

- Cracking

NTRU | Multiple Transmission

Vozec — 2024-12-13T15:00:39Z

Vous mettez la main sur un téléphone portable et vous êtes sûr que l'un des contacts a un secret bien gardé.
Le problème est qu'il chiffre ses messages, qu'il considère comme importants. Demandez-lui le drapeau et déchiffrez le, il semblerait qu'il ait fait une erreur d'implémentation...

Sources à télécharger : https://static.root-me.org/cryptanalyse/ch72/ch72.zip

Paramètres de connexion au challenge

Hôte	challenge01.root-me.org
Protocole	TCP
Port	0

- Cryptanalyse