Wargames d’OverTheWire
(overthewire.org)- Les Wargames d’OverTheWire sont un espace d’apprentissage où l’on pratique les concepts de sécurité de manière ludique, autour d’Unix/Linux, de la sécurité web, de la cryptographie et du reverse engineering
- On commence généralement par Bandit pour acquérir les bases, puis on peut poursuivre avec Natas, Krypton ou Leviathan selon le domaine qui vous intéresse
- Ensuite, avec Narnia, Behemoth, Utumno et Maze, la difficulté augmente autour de l’exploitation binaire et du reverse engineering
- Les descriptions détaillées et les informations de connexion de chaque wargame sont disponibles sur la page dédiée à chaque jeu dans le menu de gauche
- Les jeux basés sur un shell utilisent des ports SSH différents ; il est donc important de consulter les indications de la page du jeu concerné avant de se connecter
Apprendre la sécurité par le jeu
- La communauté OverTheWire propose des wargames permettant de mettre en pratique des concepts de sécurité
- Les règles détaillées et les informations propres à chaque wargame sont disponibles sur la page correspondante accessible depuis le menu de gauche
- En cas de problème, de question ou de suggestion, vous pouvez participer au chat
Ordre recommandé et mode de connexion
- Le point de départ est Bandit, un jeu d’introduction centré sur les bases d’Unix/Linux
- Une fois les fondamentaux acquis, vous pouvez poursuivre avec l’un des jeux suivants selon votre centre d’intérêt
- Natas : sécurité web
- Krypton : cryptographie
- Leviathan : reverse engineering
- À l’étape suivante, la difficulté monte avec des jeux davantage axés sur l’exploitation binaire et le reverse engineering
- Narnia : introduction à l’exploitation binaire et au reverse engineering
- Behemoth, Utumno, Maze : exploitation binaire et reverse engineering
- Les jeux basés sur un shell utilisent chacun des ports SSH différents
- La méthode de connexion en SSH est indiquée en haut à gauche de la page de chaque jeu
1 commentaires
Avis sur Hacker News
Ressources à consulter aussi :
https://linuxsurvival.com/
https://old.reddit.com/r/linuxupskillchallenge/
https://github.com/learnbyexample/TUI-apps — une ressource que j’ai créée, qui propose des exercices interactifs sur grep, sed, awk, etc.
Impossible de parler d’OTW sans mentionner smash the stack
Le meilleur aspect de ces communautés, c’était les canaux IRC qui les accompagnaient, mais aujourd’hui la plupart sont morts
Il y avait des gens connus comme Jduck ou spender, et si l’on supportait l’ambiance rude, on pouvait apprendre auprès des meilleurs
Aujourd’hui, la scène est plutôt dans un état zombie ; les jeux sont globalement à jour, mais l’énergie n’est plus la même qu’avant
J’imagine qu’il y avait le ton cassant habituel ou de l’élitisme, mais je n’en suis pas sûr
Même aujourd’hui, j’évite encore la stéganographie dans les CTF
Articles liés :
Wargames can help you to learn and practice security concepts through games - https://news.ycombinator.com/item?id=29724594 - décembre 2021, 26 commentaires
The Bandit Wargame - https://news.ycombinator.com/item?id=29708304 - décembre 2021, 1 commentaire
OverTheWire: Wargames to learn and practice security concepts - https://news.ycombinator.com/item?id=16252873 - janvier 2018, 23 commentaires
Wargames - https://news.ycombinator.com/item?id=9878302 - juillet 2015, 17 commentaires
J’ai récemment terminé un certificat de niveau master en cybersécurité, et une bonne partie des premiers travaux pratiques consistait simplement à suivre OTW et à terminer quelques leçons
C’est une excellente ressource, et si je l’avais connue plus tôt, je n’aurais peut-être pas payé autant pour la formation et je me serais contenté des exercices OTW
Je me demande aussi à quel point tu as trouvé cela utile dans le cadre de la formation
J’apprends déjà beaucoup rien qu’avec les exercices Bandit, et comme je crois comprendre que c’est destiné aux débutants, finir l’ensemble doit être assez intéressant
OTW et ses ressources sont excellents, mais cela reste proche d’un niveau débutant
Des ressources de formation relativement récentes avec une bonne courbe d’apprentissage :
https://pwn.college/
https://dreamhack.io
https://guyinatuxedo.github.io
https://www.picoctf.org/
J’ai pas mal côtoyé ce genre de groupes à leurs débuts, et c’est vraiment chouette de voir que la plupart des gamins qui géraient des sites comme hackr.org, darkdevelopments.com ou ssgroup.org dans les années 2000 s’efforcent aujourd’hui de créer de bons environnements d’apprentissage pour les autres
Hackthissite et websec.fr sont aussi d’excellentes ressources créées par des gens de la même lignée
J’ajoute aussi un classique absolu, du moins à mes yeux :
https://www.hackthissite.org/
HTS est ce qui m’a fait commencer l’informatique
Quelque chose de similaire pour PowerShell :
https://underthewire.tech/wargames
Je me souviens qu’après avoir terminé chaque niveau, on pouvait laisser son nom et un petit mot dans des fichiers
.txtdu système de fichiersC’était généralement du niveau de « Kilroy was here », mais pour un ado, le simple fait de s’y ajouter donnait vraiment l’impression d’être un hacker 1337, et c’était assez motivant
https://microcorruption.com vaut aussi le détour
Pas besoin de connaissances spécifiques à Linux : on passe directement à l’assembleur MSP430, et c’est une petite bonne introduction à l’exploitation de binaires et de systèmes embarqués
Par hasard, je viens de retrouver le source perdu d’un défi de rétro-ingénierie de binaire que j’avais écrit en 2010
Je recommande de le compiler sans regarder d’abord
Utilisez la branche “modern” et suivez les instructions du README concernant le patch
bomb.chttps://github.com/RPISEC/csci-4971-bomb
Merci de l’avoir conçu