http://www.ghostsinthestack.org/ Ghosts In The Stack, site publiant des articles de TranceFusion et Heurs, traitant de la sécurité informatique. License Creative Commons by-nc-sa 2.0 fr http://www.ghostsinthestack.org/images/logo.png http://www.ghostsinthestack.org/ Sun, 07 Mar 2010 12:12:30 +0100 http://www.ghostsinthestack.org/index.html Sun, 07 Mar 2010 00:00:00 +0100 Vous l'avez certainement remarqué, le forum est mort depuis maintenant près d'un an, à cause d'un hébergeur moisi qui a mis la clé sous la porte. Pour redonner de la vie au site, nous avons dans un premier temps ajouté la communauté Stribe, que certains d'entre vous ont déjà testé. D'autre part, nous venons de découvrir un forum très sympathique nommé Zenk Security, très actif et avec une bonne ambiance. Pour renforcer l'aspect communautaire de GITS, nous allons rediriger notre lien "Forum" vers celui-ci. Nous vous invitons à vous y inscrire et à participer aux échanges. Après inscription, un simple message de présentation suffit pour pouvoir accéder à la partie privée du forum. http://www.ghostsinthestack.org/index.html Mon, 25 Jan 2010 00:00:00 +0100 Le week-end dernier s'est déroulé Insonmi'hack, un challenge de hack suisse. J'y étais pour représenter la team HZV avec Crashfr, Virtualabs et Fluxius. Et la bonne nouvelle, c'est qu'on a gagné ! Le challenge était bien sympa et assez varié (aussi bien du web que de la crypto et de l'appli), même s'il manquait quelque peu de réalisme. En tout cas nous avons passé un super moment. Voici un résumé de la soirée avec quelques photos. http://www.ghostsinthestack.org/index.html Thu, 31 Dec 2009 00:00:00 +0100 Ce matin au boulot crashfr me dépose sur le bureau un joli mag que j'attendais avec impatience, MISC. En effet, il y a peu de temps j'ai écrit un article pour eux en partenariat avec Christophe DEVINE. J'ai principalement rédigé la première partie (recherche de vuln + exploitation), Christophe a lui fait un retour sur l'IAWACS et présente les limites des anti-virus. N'hésitez pas à nous faire des retours sur vos impressions, les prochains éventuels articles n'en seront que meilleurs :-P Nous espérons que vous prendrez autant de plaisir à lire cet article que nous en avons pris à l'écrire ! Au passage, Joyeux noel et bonne année ;-) http://www.ghostsinthestack.org/index.html Mon, 21 Dec 2009 00:00:00 +0100 Bien le bonjour à tous (ou bonsoir pour les nocto-surfeurs) ! Depuis quelques jours / semaines on taf sur un moyen de bypasser le SEHOP avec virtualabs et on a trouvé quelque chose d'à peu près convenable. Le SEHOP est une nouvelle sécurité introduite dans Windows vista (SP1), 2008 et 7. Cette protection permet de rendre les exploitations de type SEH impossible à exploiter (en théorie). Vous trouverez dans le PDF suivant nos tests et implémentations pour bypasser cette sécurité (sous certaines conditions bien entendu). Bonne lecture ! Bypassing SEHOP http://www.ghostsinthestack.org/index.html Tue, 17 Nov 2009 00:00:00 +0100 On continue sur les gentilles vulnérabilités avec kaspersky (un BSOD). Cette fois je pense qu'il est possible de l'élever en privilege escalation, mais j'ai pas trop pris le temps de creuser la chose jusqu'au bout (ca m'a quand même pris 2 jours d'exploitation). Aujourd'hui l'exploit est détecté comme un "trojan" de type "killav" par l'anti virus... vive les descriptions explicites ! Je vous invites à essayer de plus pousser le sploit (pour une version plus aboutie me contacter par mail). Publication : http://sysdream.com/article.php?story_id=323§ion_id=78 http://www.ghostsinthestack.org/index.html Mon, 12 Oct 2009 00:00:00 +0100 Bon c'est une gentille vulnérabilité trouvée en kernel puisqu'elle ne permet qu'un simple BSOD :-( Mais l'exploitation a été assez tendue parce que GMER obfusque ses IOCLT code, donc RE à gogo et KABOOM ! Bref c'est sympa comme tout, dommage qu'on ne puisse modifier qu'une adresse source :'( GMER est un outil de détection de malware en noyau et ce sans signature. Il fait des analyses sur les différents opcodes, pointeurs, chainages de drivers, etc... ainsi que des vérifications sur les structures et fonctions pour déterminer si un rootkit est présent ou non. Un super tool à avoir quoi !!! Publication : http://www.sysdream.com/article.php?story_id=293§ion_id=78 http://www.ghostsinthestack.org/index.html Tue, 22 Sep 2009 00:00:00 +0100 Ok, ca fait 1 mois que je l'ai publiée cette faille, mais des contacts m'ont fait remarquer (à juste titre) que je ne l'avais pas postée sur le site... C'est donc chose faite ! Cette vulnérabilité permettait depuis un compte utilisateur d'obtenir une exécution de code en noyau. Dans l'exploitation je m'élève les privilèges en SYSTEM puis lance cmd.exe, soit la console. Ce qui donnait donc un accès à la machine avec tous les droits ! L'exploit est ici http://www.ghostsinthestack.org/index.html Mon, 21 Sep 2009 00:00:00 +0100 Eh oui, le défaçage de Thehackademy.net dans la nuit de samedi à dimanche n'était rien d'autre qu'un gros fake orchestré par l'équipe d'HZV :). Beaucoup d'internautes, dont Zataz, s'en sont aperçus grâce aux détails laissés sur la page : En retenant les 1ères lettres de chaque mot du message, on obtient la phrase suivante : VIRTU VA SE MARIER Le logo présent sur la page représente deux alliances Le nom de l'image (logo_dc.png) correspond à ses initiales La date indiquée sur la page est celui de son mariage Enfin, le nom de la fausse team FTHC correspond aux initiales des auteurs de ce faux deface : Freeman, Trance, Heurs et Crashfr Pour les nostalgiques, ou ceux qui auraient loupé cet événement, Zone-h a fait un screenshot pour vous :) http://www.ghostsinthestack.org/index.html Sat, 19 Sep 2009 00:00:00 +0100 Le site de The Hackademy aurait apparement été défacé, à en croire leur page d'accueil. Ce serait l'oeuvre de la team FTHC, qui demeure inconnue pour le moment. Aucune information concernant la faille exploitée ou les revendications des auteurs de ce deface n'est disponible pour le moment. http://www.ghostsinthestack.org/index.html Thu, 17 Sep 2009 00:00:00 +0100 Je viens de publier un petit article concernant une méthode relativement peu connue pour exploiter une faille include. C'est une méthode alternative aux exploitations utilisant les logs. Ici, le but est d'injecter du code dans sa session PHP (matérialisée par un fichier sur le serveur) qu'on inclut ensuite en utilisant l'include. Etant donné la forme et la taille de l'article, je n'ai pas jugé intéressant de le poster sur GITS. Il se trouve sur mon blog. Bonne lecture ;)