sstic

SSTIC 2013 - Rump Session

g4l4drim

g4l4drim

7 min read

Cette année, je fait pas de rump, alors je vais pouvoir vous liveblogguer ce moment riche et fun du SSTIC. Et je peut vous dire qu’il y à du monde à se bousculer au bas de l’amphi ! C’est un exercice difficile que de Rumper, faut caser en 3 min à peine et 5 slides maxi un message clair sans se faire applaudir par le public. car les applaudissement peuvent signifier qu’il en à marre s’ils surviennent avant la fin du temps imparti.

Je souhaite bon courage aux Rumpers !

Trucs en stock sur SSTIC par le Staff:

Localisation du social event, etc… nottament les finances de l’association avec 70% qui part dans la bouffe. L’autre message, c’est les soumissions, il n’y en a pas assez, il en faut plus. Pas d’Auteurs, pas de conf, alors envoyez votre soumission, même pas complète ! Les places sont parties en 4min 11s sur la première vague !!! et environ 20% de l’amphi (estimation à main levée) sont des nouveaux venus au SSTIC.

MGCP: un protocole de VOIP oublié – joffrey CZARNY:

(edit: slides)
Un protocole oublié de tous, sans authentification, tout pourri avec une sécurité proche de 0. On peut envoyer touplein de messages pour modifier une connexion à la volée, et scanner de grandes classes d’addresses très rapidement si on tape sur les gateway. On peut interroger les gateway sur leur capabilities et donc fuzzer de façon spécifique une gateway. Bref plein de fonctions funky pour détourner un flux RTP. des tools vont être publié sur bitbucket.

Quel est l’os de Kim Jong-un ? par Pierre Capillon

(edit: slides – l’une des plus fun de cette année)
Java, on tape dans une poubelle, on trouve 3 0days. L’auteur à créé un site java-0day.com avec plein de hits en provenance d’Oracle.com avec des browsers tout pourris. 1154 hits IE6. Un hit d’obama, un hit du pentagone, des gens d’APT-1… de la syrie, de l’iran avec un Ubuntu pas à jour. et UN HIT DE COREE DU NORD, du coup on à l’IP de la Corée du Nord. Et donc Kim Jong-un surf sous mac OS pas à jour !

Complétez la phrase: la sécurité est un … par Nicolas Ruff.

Une collection de fails sur les interfaces d’admins des appliances, genre sudo tar de n’importe quoi, vu que les interfaces sont codés en PHP. Avec des pseudo-backdoors et des failles dans des produits hélas certifiés CSPN par l’ANSSI.

Une autre perspective aux darknets

(edit: slides)
les ip non-routables sont parfois requêtés sur internet parceque certaines machines sont mals configurés, ou que les gens requêtent des adresses ip un peu au hasard. Et donc un labo à annoncé le prefix 193.X.X.X pour topper les machines qui requêtent sur cet espace d’adressage. En blackhole ils ont donc vu passer du netbios, du ntp etc… Nottament ya une imprimante qui envoie du syslog pour demander du papier. Et du syslog avec l’ensemble des commandes tapé sur des routeurs…

Histoire d’un bug vieux de 20 ans

Fuzzer avec une mémoire saturée c’est rigolo. La faille en question c’est PATHALLOC qui permet une élévation de privilèges impactant de NT à Windows 8, publique et pas patchée.  L’auteur nous détaille donc comment on peut l’exploiter.

Cloud iso 14001 par Arnaud Ebalard

(edit: slides)
Comment faire un serveur low power pour stocker des data à la maison. Proc récent, de la ram, interface gbit et une conso inférieure à 10watt et coutant moins de 100€. Exit Qnap, synology et cie… on fini avec un Netgear readyNAS Duo v2. ça se démonte bien, il y à une liaison série. En mettant deux bons disques dedans, on sature l’interface Gbit. La maj de NetGear contiens un Armada370 avec un bit NX et FPU, plus de ram… bref de la bonne cam. Le 3/11 on devrais avoir un super mini-cloud. 

WTF Word Terminator Flow

(edit: slides)
Word c’est proprio, office c’est une usine à gaz. Donc pour se débarasser de Word et faire chier les wordeux Eric leblond nous explique comment utiliser Suricata pour Killer les connexions lorsqu’elles contiennent des documents Word. En suite on viens tagguer les paquets avec de la QoS au débit très faible pour les transferts Word. Une belle démo sur les utilisations possibles de Suricata en mode IPS lorsque c’est couplé à NetFilter. Plus d’infos sur son blog.

Annonces conférences: 

Botconf: deadline le 30 Juin – Soumettez !!! – Botnets, Virus, Exploit Kits
GreHack: deadline le 30 Juin – Soumettez !!! – Sécurité, Free pizza durant le CTF
Owasp EU Tour 2013 – L’Owasp s’arrête en france à Sophia Antipolis

Raspberry Spy

(edit: slides)
Interception de paquets façon keylogger physique à moins de 50$. Bon sur un raspy ya pas de seconde carte ethernet, alors faut en acheter une en USB. On ballance une Raspbian dessus, tcpdump et un script qui fait la capture au démarrage. ça se cache bien, et personne y fait attention. Bon par contre faut alimenter le bouzin en USB ou piquer une prise, et ça ne supporte pas la PoE.

me@yourhome – how to succeed in your robbery 2.0

Si vous êtes ici, vous n’êtes pas chez vous, et donc on peut vous cambrioler. Via twitter, Facebook et les coordonnées GPS.

IOC

Un arbre de conditions écrit en XML qui permet avec des outils Mandiant de détecter si une machine est compromise ou pas (cf MISC). L’orateur à créé un outil qui s’appelle IOC détector pour tester ses règles. Yara c’est un autre outil de description de signatures de malwares. 

Demo du kernel sous Ada

Une belle démo du micro-noyau Ada d’hier avec en prime la correction d’un bug live, et le ping de la machine.

Stack overflow != Stack based buffer overflow

(edit: slides)
Un stack overflow, c’est quand la pile déborde vraiment sur d’autre parties du code lorsqu’il y à pas assez de mémoire allouée pour la pile et qu’on fait trop de récursion ou qu’on utilise des trop gros tableaux sur la pile. Et le plus drole, c’est qu’en Ada on peut faire exploser la pile. et ça dépend du compilateur employé. 

Analyse d’un AD par P. Biondi

Pour une fois, c’est pas Scapy, bon l’outil est pas encore open-source vu que l’outil à été codé avant-hier !!! Le but c’est de Nettoyer un AD ou une forêt d’AD pour dégager des mauvaises pratiques, des oublis ou des bakcdoors… Récupération du ntds.dll puis importation dans une BDD MongoDB, et interrogation de la BDD. On peut importer les AD en paralelle ce qui fait gagner du temps ! Même si on comprend rien de ce qu’on lit parceque c’est du Windows :’D

PandaOCR

(edit: slides)
Un ocr minimaliste pour casser des captcha lors d’un PENTEST. L’idée était de casser du clavier virtuel pour prouver que ça sert à rien. Par un mécanisme d’aprentissage l’outil va identifier les différents chiffres composant le clavier virtuel. Scriptable, il a été adapté aux captchas avec police inconnue.

Hack my CCTP

(edit: slides  – élue rump la plus drôle de l’année à l’unanimité par moi même)

Rump sous Helium !!! Un jour mon chef m’a demandé de rédiger un CCTP, du coup j’vais vous expliquer comment en gagner un à tout les coups…
Ya des grilles, des conditions, et en fait c’est Hackables vu que la note technique et financière sont calculés. L’orateur à essayé de prévenir l’administration comme quoi c’était pourri. En ajoutant plein de tranches et qu’on met toutes les thunes dans l’obligatoire on obtien un super score technique et financier. Après avec un faux concurent complice, on fait une offre blindé techniquement mais complètement débile au niveau du prix, les meilleurs techniquement se casse la geule au niveau de la note.

(edit: la vidéo http://www.dailymotion.com/video/x10opn8_hack-my-cctp_fun#.UbXIefnTp8E )

RW2 – Des photos sans photorec

(edit: slides)

Un format Raw d’appareil photo qui permet de sortir des photos que l’on corrige en suite en Software. Le problème c’est que sortis des outils officiels bah on à rien. Donc retro-conception pour raison d’interropérabilité. Le rumpeur à donc utilisé pintools pour reverser la formule employée. ça marche pas en pratique hélas :(. du coup le rumpeur veut bien un coup de main pour avoir des belles photos !

Photorec – par Christophe Grenier

(edit: slides)
Récupération de données avec photorec ! puisque les gens ont réclamé une rump photorec l’an dernier. Reconnait plus de 500 formats de fichiers et traite tout plein de filesystems. C’est toujours en ligne de commande, mais c’est plus rapide. Sauf que maintenant l’auteur de photorec nous à fait une interface graphique.

Je choisis l’option offensive (ou pourquoi il ne faut pas s’auto-intoxiquer)

(edit: slides)

Bon ça troll sec, et c’est chiant et faut arrêter de raconter n’importe quoi. L’état est mis à jour tout les 5 ans, et des patchs sont releasé au parlement régulièrement. De plus ça ne sert à rien de garder vos 0day sous le coude ça dérange le rumper.  « quand la confiance dans l’état se pert, la perte de liberté n’est pas loin ».
« Résoudre le challenge du sstic 10j, un poc d’OS en ADA, 1an, il est ou le vrai challenge ? » et sinon l’état recrute.

TNS Bit flip attack

(edit: ma rump technique préférée)

Mitm sur du TNS Oracle. En interceptant une connexion TNS, il faut s’arranger pour pas faire crasher le client ou le serveur, histoire de pouvoir injecter votre requête SQL au milieu des échanges du DBA ou autre <3. Le projet Houracle vise à mettre au point un proxy TNS. L’authentification oracle est tellement bien foutue, que lorsqu’on fait un mitm, on peut déchiffrer le mot de passe à partir des échanges sans avoir à casser les hash.( Une demo en live BRAVO ! )

Read more