Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité de l'Information

Android - Shady VPN

apges01 — 2025-09-08T10:01:30Z

Challenge sponsorisé par Airbus lors du CTF "Security Hacking Contest 2023"

M. Y utilise l'application VPN NxShield pour protéger son identité lorsqu'il navigue sur Internet. Votre tâche dans les étapes suivantes sera d'analyser cette application pour en comprendre le fonctionnement.

En parallèle, nos équipes réseau ont pu intercepter une communication, il y a environ 2 jours, entre cette application et les serveurs VPN de NxShield. Vous devez trouver un moyen d'accéder aux données échangées lors de cette capture, qui seront très importantes pour identifier l'identité de M. Y.

Avant de commencer votre analyse, veuillez noter que nous avons fermé les serveurs utilisés par NxShield VPN. Malheureusement, certaines fonctionnalités de l'application ne sont plus disponibles, mais nous espérons que cela n'aura pas d'impact sur vos analyses.

C'est l'heure, le temps presse...

sha256sum (ch33.zip) : 5782eb96b88699962c063249cf8600d2515815cbca4315f662e19af70ee355e0

Informations :
Ce challenge comprend 4 flags à retrouver lors de l'analyse de l'application NxShield.

– Le code d'accès à l'application
– Le code d'activation du formulaire de connexion
– Le mot de passe de Mr Y.
– Le flag présent sur une image dans la capture réseau

Le format du flag est le suivant : sha256sum(flag1:flag2:flag3:flag4)

- Réaliste

VPN Provider

Mhd_Root , Nishacid — 2025-09-08T10:01:20Z

Challenge sponsorisé par Airbus lors du CTF "Security Hacking Contest 2023"

Nous enquêtons actuellement sur l'identité de madame Alice X, qui prévoit de commettre un attentat au cours des prochaines semaines. Récemment, nous avons pu intercepter une photo prise avec son téléphone portable personnel. Pouvez-vous faire une analyse approfondie de cette photo ? C'est la seule information dont nous disposons pour le moment...

Par ailleurs, selon nos équipes techniques, madame Alice X est une personne qui semble utiliser des outils comme un VPN qui lui permettent de garantir sa sécurité sur Internet.

Le flag du challenge se situe sur /flag.txt

- Réaliste

ComCyber - Challenge

redoste , Nishacid , Mika — 2024-11-19T09:01:21Z

Ce challenge vous est proposé grâce au Commandement de la cyberdéfense (COMCYBER)

- Réaliste

Mersenne with 2

ycam — 2024-04-05T12:00:19Z

Le bien connu "Mersenne Social Network" s'est fait pirater la semaine dernière ! Toute la base de données des utilisateurs avec les mots de passe a fuité ! Les équipes techniques sont toujours en pleine investigation. En attendant un retour à la normale, les inscriptions ainsi que l'authentification sont désactivées et tous les utilisateurs sont forcés de renouveler leur mot de passe. Arriverez-vous à profiter de cet état pour dérober le compte de l'administrateur ?

- Réaliste

Extractor

Elweth — 2024-04-05T12:00:10Z

Compromettez ce site internet et obtenez un accès root au serveur pour valider le challenge.

Attention : Ce challenge redémarre toutes les deux heures.

- Réaliste

C comme C-curisé

nikost — 2024-04-05T11:59:54Z

Votre meilleur ami vient de recevoir sa première formation obligatoire en sécurité des applications Web.
Etonné par la multitude de vulnérabilités courantes et leur impact, il a décidé de re-coder son blog lui même de zéro et d'ajouter des mécanismes de protection.
Il vous a fièrement annoncé que son serveur était maintenant "protégé contre toutes les failles connues".

Prouvez-lui le contraire en obtenant un accès root sur sa machine.

Démarrer le CTF all the day

- Réaliste

End Droid

Mhd_Root — 2023-07-13T14:04:51Z

Un petit groupe d'étudiants a voulu changer les vieilles habitudes et choisir un vieux téléphone Android comme serveur afin d'héberger leur application de gestion de projets.

Parviendrez-vous à récupérer les communications secrètes qu'il contient ?

Démarrer le CTF all the day

- Réaliste

Bohemian RhapC2

sm0k — 2023-03-23T16:31:27Z

Challenge sponsorisé par Airbus lors du CTF "Root Me If You Can 2022"

Une équipe de hackers est venue promouvoir leur nouvelle plateforme RaaS sur votre forum préféré ! La plateforme semble encore en développement et vous avez très peu d'informations.
Essayez de vous infiltrer dans la machine de l'administrateur principal afin de lui couper l'herbe sous le pied.
5 étapes seront nécessaires pour arriver à vos fins.

Le mot de passe de validation est le condensat sha256 des 5 flags intermédiaires à trouver :
sha256sum(flag1:flag2:flag3:flag4:flag5)

Démarrer le CTF all the day

- Réaliste

Windows - krbtgt history

Podalirius — 2023-03-22T18:00:04Z

Vous intervenez pour un audit d'infrastructure Active Directory en boite grise pour un client. Pour effectuer les tests, celui-ci vous transmet un compte utilisateur standard dans le domaine ROOTME.local :

 Domaine: ROOTME.local Contrôleur de domaine: DC-KRBTGT.ROOTME.local Nom d'utilisateur: pentest Mot de passe: Pent3st123!

Le flag de validation se trouve sur le bureau de l'Administrateur

Sources à télécharger : https://static.root-me.org/realiste/ch267/ch267.zip

Démarrer le CTF all the day

- Réaliste

Windows - sAMAccountName spoofing

Podalirius — 2023-03-22T17:59:49Z

 Domaine: ROOTME.local Contrôleur de domaine: DC-SAMAC.ROOTME.local Nom d'utilisateur: pentest Mot de passe: Pent3st123!

Le flag de validation se trouve sur le bureau de l'Administrateur

Démarrer le CTF all the day

- Réaliste