4 points par GN⁺ 2023-08-28 | 1 commentaires | Partager sur WhatsApp
  • Les Wargames d’OverTheWire sont un espace d’apprentissage où l’on pratique les concepts de sécurité de manière ludique, autour d’Unix/Linux, de la sécurité web, de la cryptographie et du reverse engineering
  • On commence généralement par Bandit pour acquérir les bases, puis on peut poursuivre avec Natas, Krypton ou Leviathan selon le domaine qui vous intéresse
  • Ensuite, avec Narnia, Behemoth, Utumno et Maze, la difficulté augmente autour de l’exploitation binaire et du reverse engineering
  • Les descriptions détaillées et les informations de connexion de chaque wargame sont disponibles sur la page dédiée à chaque jeu dans le menu de gauche
  • Les jeux basés sur un shell utilisent des ports SSH différents ; il est donc important de consulter les indications de la page du jeu concerné avant de se connecter

Apprendre la sécurité par le jeu

  • La communauté OverTheWire propose des wargames permettant de mettre en pratique des concepts de sécurité
  • Les règles détaillées et les informations propres à chaque wargame sont disponibles sur la page correspondante accessible depuis le menu de gauche
  • En cas de problème, de question ou de suggestion, vous pouvez participer au chat

Ordre recommandé et mode de connexion

  • Le point de départ est Bandit, un jeu d’introduction centré sur les bases d’Unix/Linux
  • Une fois les fondamentaux acquis, vous pouvez poursuivre avec l’un des jeux suivants selon votre centre d’intérêt
    • Natas : sécurité web
    • Krypton : cryptographie
    • Leviathan : reverse engineering
  • À l’étape suivante, la difficulté monte avec des jeux davantage axés sur l’exploitation binaire et le reverse engineering
    • Narnia : introduction à l’exploitation binaire et au reverse engineering
    • Behemoth, Utumno, Maze : exploitation binaire et reverse engineering
  • Les jeux basés sur un shell utilisent chacun des ports SSH différents
    • La méthode de connexion en SSH est indiquée en haut à gauche de la page de chaque jeu

1 commentaires

 
GN⁺ 2023-08-28
Avis sur Hacker News
  • Ressources à consulter aussi :
    https://linuxsurvival.com/
    https://old.reddit.com/r/linuxupskillchallenge/
    https://github.com/learnbyexample/TUI-apps — une ressource que j’ai créée, qui propose des exercices interactifs sur grep, sed, awk, etc.

  • Impossible de parler d’OTW sans mentionner smash the stack
    Le meilleur aspect de ces communautés, c’était les canaux IRC qui les accompagnaient, mais aujourd’hui la plupart sont morts
    Il y avait des gens connus comme Jduck ou spender, et si l’on supportait l’ambiance rude, on pouvait apprendre auprès des meilleurs
    Aujourd’hui, la scène est plutôt dans un état zombie ; les jeux sont globalement à jour, mais l’énergie n’est plus la même qu’avant

    • Je me demande ce que veut dire « si l’on supportait l’ambiance rude, on pouvait apprendre auprès des meilleurs »
      J’imagine qu’il y avait le ton cassant habituel ou de l’élitisme, mais je n’en suis pas sûr
    • Je me demande s’il existe aujourd’hui des communautés modernes dans le même domaine, avec un esprit et une ambiance similaires
    • C’était amusant jusqu’à ce que j’arrive aux défis de stéganographie
      Même aujourd’hui, j’évite encore la stéganographie dans les CTF
  • Articles liés :
    Wargames can help you to learn and practice security concepts through games - https://news.ycombinator.com/item?id=29724594 - décembre 2021, 26 commentaires
    The Bandit Wargame - https://news.ycombinator.com/item?id=29708304 - décembre 2021, 1 commentaire
    OverTheWire: Wargames to learn and practice security concepts - https://news.ycombinator.com/item?id=16252873 - janvier 2018, 23 commentaires
    Wargames - https://news.ycombinator.com/item?id=9878302 - juillet 2015, 17 commentaires

  • J’ai récemment terminé un certificat de niveau master en cybersécurité, et une bonne partie des premiers travaux pratiques consistait simplement à suivre OTW et à terminer quelques leçons
    C’est une excellente ressource, et si je l’avais connue plus tôt, je n’aurais peut-être pas payé autant pour la formation et je me serais contenté des exercices OTW

    • Par pure curiosité, je me demande si tu as terminé tout OTW
      Je me demande aussi à quel point tu as trouvé cela utile dans le cadre de la formation
      J’apprends déjà beaucoup rien qu’avec les exercices Bandit, et comme je crois comprendre que c’est destiné aux débutants, finir l’ensemble doit être assez intéressant
    • Au fond, cela semble surtout montrer la faiblesse des certificats de niveau master
      OTW et ses ressources sont excellents, mais cela reste proche d’un niveau débutant
  • Des ressources de formation relativement récentes avec une bonne courbe d’apprentissage :
    https://pwn.college/
    https://dreamhack.io
    https://guyinatuxedo.github.io
    https://www.picoctf.org/

  • J’ai pas mal côtoyé ce genre de groupes à leurs débuts, et c’est vraiment chouette de voir que la plupart des gamins qui géraient des sites comme hackr.org, darkdevelopments.com ou ssgroup.org dans les années 2000 s’efforcent aujourd’hui de créer de bons environnements d’apprentissage pour les autres
    Hackthissite et websec.fr sont aussi d’excellentes ressources créées par des gens de la même lignée

  • J’ajoute aussi un classique absolu, du moins à mes yeux :
    https://www.hackthissite.org/

    • J’y ai été développeur autrefois
      HTS est ce qui m’a fait commencer l’informatique
  • Quelque chose de similaire pour PowerShell :
    https://underthewire.tech/wargames

  • Je me souviens qu’après avoir terminé chaque niveau, on pouvait laisser son nom et un petit mot dans des fichiers .txt du système de fichiers
    C’était généralement du niveau de « Kilroy was here », mais pour un ado, le simple fait de s’y ajouter donnait vraiment l’impression d’être un hacker 1337, et c’était assez motivant
    https://microcorruption.com vaut aussi le détour
    Pas besoin de connaissances spécifiques à Linux : on passe directement à l’assembleur MSP430, et c’est une petite bonne introduction à l’exploitation de binaires et de systèmes embarqués

  • Par hasard, je viens de retrouver le source perdu d’un défi de rétro-ingénierie de binaire que j’avais écrit en 2010
    Je recommande de le compiler sans regarder d’abord
    Utilisez la branche “modern” et suivez les instructions du README concernant le patch bomb.c
    https://github.com/RPISEC/csci-4971-bomb

    • C’était un très bon exercice pour débuter
      Merci de l’avoir conçu