Frequently Asked Questions

This page will answer to your most frequent questions

What is a "flag" or a "validation password"?

This is the word to find in each challenge. You will be able to prove that you have passed the challenge by entering this password on the challenge page.

My IP address seems to be banned, how can I access the website again?

A firewall makes us safe against Deny of Service attacks, banishing every IP address that :
- initiates more than 100 connections per second
- maintains more than 100 TCP connections simultaneously

This banishment is temporary and lasts only 5 minutes. Don’t try to connect to our services during ban time or it will be extended.

I cannot connect to challenges

In order to access to the challenges’ machines, you must be authenticated to the portal www.root-me.org. Once you are authenticated, your IP address will be allowed by the firewall. You have to use the same IP address for your authentication and for challenges.
Don’t forget that Root-Me’s SSH services dont work on port 22. You must give the right port when you connect.
Use the Services state page to be informed of the state of each service and if your IP address is allowed to access it.

Where are my precious points gone?!

Weekly, and at each flag validation, players’ score are recalculated. So if the amount of points given by a challenge changes, your score will change as well.

Should we send session cookie to access web challenges?

No, it is never necessary to send the web portal cookies (for example spip_session) to have access to the web challenges. Only IP address filtering is performed.

I’m a beginner and I’m a bit lost... where should I start?

Some Root-Me sections are quite hard, like the Realistic challenges that need strong knowledge about webapp flaws for example.
It is the number of lost beginners that made us think you need an example of learning path to show you where to go first :

  •  Redes

    Pon de tu lado analizando y manipulando los protocolos y servicios de red más comunes.

    Fuentes asociadas
    - Scapy en pratique
    - Practical packet analysis - Wireshark
    - Réseau
  •  Programación

    Automatiza tareas cada vez más complejas para validar los retos en pocos segundos.

    Fuentes asociadas
    - Learning with Python
    - Learning ruby.tar
    - Apprenez ruby.tar
  •  Criptoanálisis

    Busca la solución atacando sistemas de encriptación más o menos sólidos

     Esteganografía

    Si la criptografía es el arte del secreto, la esteganografía es el arte del disimulo : el objetivo de la esteganografía es hacer un mensaje que pase desapercibido.

    Fuentes asociadas
    - Stéganographie
    - Cryptographie
  •  Web - Servidor

    Estos retos te permitiran aprender técnicas intrusivas en la web. Desde explotación de vulnerabilidades de configuración hasta inyecciones de código lado servidor.

     Web - Cliente

    Aprende a explotar vulnerabilidades de aplicaciones web para impactar sus usuarios o saltar los mecanismos de seguridad lado cliente (lado usuario).

    Fuentes asociadas
    - OWASP testing guide v4
    - Sécurité du Code des Applications Web
    - Exploitation - Web
  •  Forense

    Prueba tus técnicas forenses analizando volcados de memoria, capturas de red, ficheros de registro ...

    Fuentes asociadas
    - Forensic
  •  App - Script

    APLICACIONES - SCRIPT. En esta série te enfrentas a vulnerabilidades ligadas a debilidades del entorno, de configuración y de errores de desarrollo en lenguajes de script o programación.

     App - Sistema

    APLICACIONES - SISTEMA. Aquí los retos a superar se basan en debilidades debidas a errores de programación en ciertos lenguajes de alto nivel (desbordamiento de buffer, corrupción de memoria, ...)

  •  Realista

    Vas a encontrarte en en entornos completos de variada temática. Para comprender el funcionamiento, encontrar y explotar las debilidades encontradas.

     CTF all the day

    CAPTURAR LA BANDERA TODO EL DIA. Mejora tus técnicas de hack en un entorno real. Objetivo: comprometer -rootear- la máquina.