Foire Aux Questions

Cette page répondra à vos questions les plus fréquentes

Qu’est-ce qu’un "flag" ou un "mot de passe de validation" ?

Il s’agit du mot à trouver dans chaque challenge. Vous pourrez ainsi prouver que vous avez réussi l’épreuve en entrant ce mot de passe sur la page du challenge.

Mon adresse IP est bannie, comment retrouver un accès au portail ?

Un pare-feu nous permet de nous protéger des attaques par déni de service en bannissant automatiquement toute adresse IP :
- réalisant plus de 100 connexions TCP par secondes
- maintenant plus de 100 connexions TCP simultanément
Ce bannissement est temporaire et ne dure que 5 minutes. Ne retentez pas de connexions aux services sous peine de voir votre bannissement prolongé.

Je n’arrive pas à me connecter aux challenges

Pour pouvoir accéder aux machines de challenges, il faut être authentifié sur le portail www.root-me.org. Une fois authentifié, votre adresse IP est autorisée dans le pare-feu. Il faut donc utiliser la même adresse IP pour votre authentification et pour accéder aux challenges.
N’oubliez pas que les services SSH de Root-Me ne tournent pas sur le port 22. Il faut penser à spécifier le bon port à la connexion.
Utilisez la page État des services pour connaitre l’état de chaque service et savoir si votre adresse IP est bien autorisée à y accéder.

Où sont passés mes points ?

Chaque semaine et à chaque validation les scores des joueurs sont recalculés. Ainsi, si le nombre de points d’un challenge que vous avez déjà validé a été modifié, lors de la prochaine validation la mise à jour des points pourra vous sembler incohérente.

Doit-on envoyer son cookie de session pour avoir accès aux challenges web ?

Non, il n’est jamais nécessaire d’envoyer les cookies du portail web (par exemple spip_session) pour avoir accès aux challenges web. Seul un filtrage par adresse IP est effectué.

Je débute et je suis perdu, par où commencer ?

S’attaquer aux challenges réalistes sans avoir de connaissances solides dans les failles communes n’est pas une bonne idée. Vous risquez uniquement de perdre du temps à vouloir en gagner. C’est pour vous permettre de progresser plus fluidement que nous vous proposons cet exemple de parcours d’apprentissage :

  •  Réseau

    Apprenez à analyser et à manipuler les différents protocoles et services les plus courants pour les tourner à votre avantage.

    ressource(s) associée(s)
    - Scapy en pratique
    - Practical packet analysis - Wireshark
    - Réseau
  •  Programmation

    Automatisez des tâches de plus en plus complexes pour valider ces challenges en moins de quelques secondes.

    ressource(s) associée(s)
    - Learning with Python
    - Learning ruby.tar
    - Apprenez ruby.tar
  •  Cryptanalyse

    Retrouvez les secrets protégés par des systèmes de chiffrement plus ou moins solides en réalisant des attaques cryptographiques.

     Stéganographie

    Si la cryptographie est l’art du secret, la stéganographie est l’art de la dissimulation : l’objet de la stéganographie n’est pas de rendre un message inintelligible aux personnes non autorisées mais de le faire passer inaperçu.

    ressource(s) associée(s)
    - Stéganographie
    - Cryptographie
  •  Web - Serveur

    Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

     Web - Client

    Apprenez à exploiter les failles des applications web pour impacter leurs utilisateurs ou contourner des mécanismes de sécurité côté client.

    ressource(s) associée(s)
    - OWASP testing guide v4
    - Sécurité du Code des Applications Web
    - Exploitation - Web
  •  Forensic

    Mettez à l’épreuve vos techniques d’investigations numériques en analysant des traces mémoire, des fichiers de journalisation, des captures réseaux...

    ressource(s) associée(s)
    - Forensic
  •  App - Script

    Cette série d’épreuve vous confronte aux vulnérabilités liées à des faiblesses d’environnement, de configuration ou encore à des erreurs de développement dans des langages de script ou de programmation.

     App - Système

    Cette série d’épreuve vous confronte aux vulnérabilités applicatives principalement liées aux erreurs de programmation aboutissant à des corruptions de zones mémoire.

  •  Réaliste

    Vous allez vous retrouver dans des environnements complets sur des thèmes divers et variés. À vous d’en comprendre le fonctionnement, d’identifier les faiblesses et de cibler les vulnérabilités à exploiter.

     CTF all the day

    Améliorez vos techniques de hack dans un environnement réel où l’objectif est de compromettre, « rooter » complètement la machine !