Ce qui vient de sortir et ce qui arrive - nouveaux labs, défis quotidiens et nouveaux chapitres.
Faites la rétro-ingénierie d'un binaire de licence Linux, récupérez un flag caché et écrivez un keygen pour forger la clé admin. Lisez le désassemblage ARM64 avec objdump et GDB pour casser le contrôle d'activation. Un crackme pratique : saurez-vous le résoudre ?
Les charges chiffrées cachent le contenu, jamais le motif. Lancez Suricata sur une vraie capture, lisez les alertes, puis attrapez un canal d'exfiltration par tunnel DNS caché en pleine vue et le beacon C2 qui bat à intervalle fixe. 🛡️
Les macros lancent encore PowerShell, et cette chaîne reste dans vos logs Windows si vous collectez le bon événement. Déployez Sysmon, lisez l'événement 4688 et traquez la paire winword vers powershell qui précède le rançongiciel. 🛡️
Lire les événements bruts un à un ne trouve jamais l'attaquant. Filtrer puis agréger, si. Vous écrirez les requêtes SPL et Elastic qui transforment un mur de bruit en une piste classée, le geste qui nomme la menace avant la fin. 🛡️
Vous ne pouvez pas détecter ce que vous n'avez jamais collecté. Montez un vrai SIEM, enrôlez un agent et voyez une connexion échouée arriver sur le tableau de bord en quelques secondes. L'outil gratuit qui vous fait recruter. 🛡️
Exploitez une véritable attaque SSRF dans un SaaS d'aperçu de liens pour atteindre le service de métadonnées du cloud (IMDS), voler les identifiants IAM temporaires de l'instance et abuser d'un rôle trop permissif pour lire un secret interne. Déroulez toute la chaîne SSRF-vers-cloud en pratique dans le Terminal d'attaque.
On ne défend pas ce qu'on ne sait pas nommer. Vous étiquetterez de vraies alertes avec leurs identifiants de technique MITRE ATT&CK, puis colorerez une couche Navigator en carte de chaleur qui montre où vous êtes aveugle, avant un attaquant. 🛡️
Écrivez une règle Sigma et déployez-la sur Splunk, Elastic et Wazuh d'un coup. Vous attraperez du PowerShell encodé, convertirez la règle avec sigma-cli, puis l'ajusterez jusqu'à ce que les faux positifs cessent. Le multiplicateur écrire-une-fois. 🛡️
Aucune alerte, et pourtant ils sont là. Vous partez en chasse : empilez les processus de tout le parc, trouvez le seul certutil qui a téléchargé une charge, et balayez chaque hôte avec Velociraptor. La compétence qui attrape l'invisible. 🛡️
Les flux de renseignement vous noient sous des hashs et des IP qu'un attaquant change gratuitement. Vous enrichirez de vrais indicateurs dans MISP et les classerez sur la Pyramide de la douleur, pour cibler ce qu'ils ne peuvent pas changer. 🛡️
Des tableaux de bord tout verts ne valent rien si les attaquants rôdent des semaines. Vous ferez passer un incident par un vrai playbook de triage, automatiserez le bruit avec le SOAR et calculerez les deux chiffres qui pilotent tout SOC. 🛡️
Le chiffrement laisse un message visiblement brouillé. La stéganographie le cache : rien ne semble anormal. Vous lancerez le balayage de première intervention (file, strings, exiftool, binwalk) et extrairez des données après le dernier pixel. 🔍
Une photo nettoyée n'est pas une photo propre. Les tags EXIF, IPTC et XMP gardent GPS, commentaires et même une miniature cachée. Vous lancerez exiftool pour extraire le GPS, lire UserComment, sortir la miniature et décoder l'hex en ASCII. 🧭
Une image peut s'ouvrir parfaitement tout en cachant un ZIP entier collé après son marqueur de fin. Vous lirez l'octet qui dit « stop ici », puis extrairez l'archive avec binwalk et dd. Les malwares usent de cette ruse pour contourner les filtres. 🔍
Choisissez comment vous voulez commencer
Connectez-vous à votre compte