Foire Aux Questions

Cette page répondra à vos questions les plus fréquentes

Qu’est-ce qu’un "flag" ou un "mot de passe de validation" ?

Il s’agit du mot à trouver dans chaque challenge. Vous pourrez ainsi prouver que vous avez réussi l’épreuve en entrant ce mot de passe sur la page du challenge.

Mon adresse IP est bannie, comment retrouver un accès au portail ?

Un pare-feu nous permet de nous protéger des attaques par déni de service en bannissant automatiquement toute adresse IP :
 réalisant plus de 25 connexions TCP par secondes
 maintenant plus de 25 connexions TCP simultanément
Ce bannissement est temporaire et ne dure que 5 minutes. Ne retentez pas de connexions aux services sous peine de voir votre bannissement prolongé.

Je n’arrive pas à me connecter aux challenges

Pour pouvoir accéder aux machines de challenges, il faut être authentifié sur le portail www.root-me.org. Une fois authentifié, votre adresse IP est autorisée dans le pare-feu. Il faut donc utiliser la même adresse IP pour votre authentification et pour accéder aux challenges.
N’oubliez pas que les services SSH de Root-Me ne tournent pas sur le port 22. Il faut penser à spécifier le bon port à la connexion.
Utilisez la page État des services pour connaitre l’état de chaque service et savoir si votre adresse IP est bien autorisée à y accéder.
Attention, certains fournisseurs d’accès (principalement pour une connexion 4G) peuvent utiliser une adresse IP source différente pour chaque destination. Dans ce cas, vous ne pourrez pas accéder aux challenges.

Où sont passés mes points ?

Chaque semaine et à chaque validation les scores des joueurs sont recalculés. Ainsi, si le nombre de points d’un challenge que vous avez déjà validé a été modifié, lors de la prochaine validation la mise à jour des points pourra vous sembler incohérente.

Doit-on envoyer son cookie de session pour avoir accès aux challenges web ?

Non, il n’est jamais nécessaire d’envoyer les cookies du portail web (par exemple spip_session) pour avoir accès aux challenges web. Seul un filtrage par adresse IP est effectué.

Pourquoi la solution publiée ne fonctionne plus ?

Certaines solutions peuvent parfois ne plus fonctionner dans leur totalité. En effet, les challenges ou le système les hébergeant peuvent être mis à jour de temps en temps, et les solutions doivent s’adapter en conséquence.
Ces changements concernent souvent les challenges App-Système pour lesquels certaines protections peuvent changer au fil du temps. Par exemple, dash (utilisé par /bin/sh et donc par system(3)) ne conserve plus par défaut les privilèges effectifs (même comportement que bash), ce qui est à prendre en compte dans certaines exploitations.

Je débute et je suis perdu, par où commencer ?

S’attaquer aux challenges réalistes sans avoir de connaissances solides dans les failles communes n’est pas une bonne idée. Vous risquez uniquement de perdre du temps à vouloir en gagner. C’est pour vous permettre de progresser plus fluidement que nous vous proposons cet exemple de parcours d’apprentissage :

  • rubon182.svg   Réseau

    Apprenez à analyser et à manipuler les différents protocoles et services les plus courants pour les tourner à votre avantage.

    ressource(s) associée(s)
     Scapy en pratique
     Practical packet analysis - Wireshark
     Réseau
  • Programmation   rubon17.svg

    Automatisez des tâches de plus en plus complexes pour valider ces challenges en moins de quelques secondes.

    ressource(s) associée(s)
     Learning with Python
     Learning ruby.tar
     Apprenez ruby.tar
  • rubon18.svg   Cryptanalyse

    Retrouvez les secrets protégés par des systèmes de chiffrement plus ou moins solides en réalisant des attaques cryptographiques.

    rubon67.svg   Stéganographie

    Si la cryptographie est l’art du secret, la stéganographie est l’art de la dissimulation : l’objet de la stéganographie n’est pas de rendre un message inintelligible aux personnes non autorisées mais de le faire passer inaperçu.

    ressource(s) associée(s)
     Stéganographie
     Cryptographie
  • Web - Serveur   rubon68.svg

    Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

    Web - Client   rubon16.svg

    Apprenez à exploiter les failles des applications web pour impacter leurs utilisateurs ou contourner des mécanismes de sécurité côté client.

    ressource(s) associée(s)
     OWASP testing guide v4
     Sécurité du Code des Applications Web
     Exploitation - Web
  • rubon208.svg   Forensic

    Mettez à l’épreuve vos techniques d’investigations numériques en analysant des traces mémoire, des fichiers de journalisation, des captures réseaux...

    ressource(s) associée(s)
     Forensic
  • App - Script   rubon189.svg

    Cette série d’épreuves vous confronte aux vulnérabilités liées à des faiblesses d’environnement, de configuration ou encore à des erreurs de développement dans des langages de script ou de programmation.

    App - Système   rubon203.svg

    Cette série d’épreuves vous confronte aux vulnérabilités applicatives principalement liées aux erreurs de programmation aboutissant à des corruptions de zones mémoire.

    Cracking   rubon69.svg

    Ces challenges permettent de comprendre le sens du terme « langage compilé ». Ce sont des fichiers binaires à décortiquer pour aller chercher les instructions bas niveau permettant de répondre au problème posé.

  • rubon70.svg?1637496509   Réaliste

    Vous allez vous retrouver dans des environnements complets sur des thèmes divers et variés. À vous d’en comprendre le fonctionnement, d’identifier les faiblesses et de cibler les vulnérabilités à exploiter.

    rubon196.svg?1637496499   CTF all the day

    Améliorez vos techniques de hack dans un environnement réel où l’objectif est de compromettre, « rooter » complètement la machine !