"Savoir attaquer pour mieux se défendre", telle est la maxime de cette formation Hacking et Sécurité 2020. Partir d’une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusions sur les réseaux et les applications. La présente formation hacking et sécurité 2020 se compose de 4 parties : • Méthodologies de Pentest, Reconnaissance Passive et Active • Les techniques d'OSINT - L'essentiel • Attaques Réseaux, Physiques et Clients • Attaques AD et Web Dans cette quatrième partie, nous découvrirons ensemble les principales techniques d’attaques dans les environnements active directory et applications web qui nous permettront d’acquérir les bases pour des formations plus avancées.

1. Formation
Hacking & Sécurité
Acquérir les fondamentaux
Hacking et Sécurité 2020 (4/4) - Les Attaques AD et WEB
Une formation
Hamza KONDAH

4. Une formation
Introduction
Le Hacking éthique
Démocratisation des techniques de
pentesting
Evolution de la demande du marché
Volatilité des vulnérabilités
La cybercriminalité qui s’organise !
Domaine vaste

5. Une formation
Plan de la formation
Présentation de la formation
1. Découvrir les techniques d’OSINT de reconnaissances
passive
2. Maitriser les techniques de reconnaissance active
3. Maitriser les attaques réseaux
4. Découvrir les attaques sur les systèmes
5. Découvrir les attaques physiques
6. Introduire les attaques AD
7. Découvrir les attaques Web
Conclusion et perspectives

6. Une formation
Public concerné
Responsables DSI
Responsables sécurité du SI
Chefs de projets IT
Techniciens et administrateurs systèmes et
réseaux
Consultants en sécurité de l'information

7. Une formation
Connaissances requises
Bonnes connaissances en systèmes
d'exploitation et réseau
Bonnes connaissances en sécurité des
systèmes d'information
Optionnel : Connaitre le C, Python,
HTML et JS

8. AVERTISSEMENT
Ni le formateur Ni Alphorm ne sont responsables de la
mauvaise utilisation du contenu de cette formation
L’utilisation des outils doit être réalisée uniquement au
sein d’un environnement virtuel ou avec une autorisation
préalable de l’entreprise

9. Une formation
Hamza KONDAH
Mettre en place les
composants du LAB

10. Architecture du LAB

11. Introduire le chapitre sur le
Pentest AD
Une formation
Hamza KONDAH

12. Une formation
Introduction
Un chapitre introductif aux exploitations AD
Manipulation d’un exemple de Kill Chain
Formation introductive
Un des sujets des plus importants en 2020/2021
Zone très souvent sous estimés
Techniques d’exploitations et de persistances Quasi
illimité …

13. AD = SPOF

14. Une formation
Les attaques, c’est pas ce qui manque …

15. Une formation
Hamza KONDAH
Découvrir l’Active Directory

16. Une formation
Définition
Complexité
Que ciber ?
Source du problème ?
Plan

17. Une formation
Définition
Active Directory est un service
d’annuaire qui centralise la gestion
des utilisateurs, des ordinateurs et
d’autres objets au sein d’un réseau
Plateforme de gestion d’identité
95% des entreprises du fortune
1000 utilisent Active Directory

18. Une formation
Définition
L’authentification des utilisateurs
se fait via des tickets kerberos
Les machines « non-windows »
peuvent aussi s’authentifier à l’AD
- RADIUS
- LDAP

19. Compléxité …

20. Que cibler ?

21. Que cibler ?

22. L’AD peut être exploité sans utiliser d’exploits
patchable
À la place, on abuse de fonctionnalités, confiance,
composants et bien plus…

23. Source du problème ?

24. Une formation
Hamza KONDAH
Découvrir la killchain dans un
environement AD

25. Kill Chain

26. Kill Chain

27. Une formation
Hamza KONDAH
Prise de contrôle initiale :
Exploiter le LLMNR-NBTS
Poisoning

28. Une formation
Définition
Quand est il utilisé ?
Lab : LLMNR poisoning
Contremesures
Plan

29. Une formation
Définition
LLMNR :Link-local Multicast Name
Resolution
Protocole utilisé pour identifier les
hôte quand le service DNS est en
échec
Utilisse le username le hash NTKLv2
de l’utilisateur

30. Une formation
Quand est il utilisé ?
• Erreur de frape
• Erreur de configuration
• Protocole WPAD
• Google Chrome

31. Une formation
Lab : LLMNR poisoning

32. Une formation
Contremesures
Désactiver LLMNR et NBT-NS
Mots de passes utilisateurs forts (> 16
caractères) et complexe
Changer régulièrement de mot de passe
Filtrage de traffic
SMB Signing
Supervision

33. Une formation
Hamza KONDAH
Prise de contrôle initiale
Exploiter le SMB Relay

34. Une formation
Introduction
Conditions requises
Représentation
Lab : SMB Relay
Contremesures
Plan

35. Une formation
Introduction
Technique souvent utilisé afin de
pouvoir gagner un accès shell aux
machines
À la place de récupérer des hashes avec
Responder, on va pouvoir les relayer et
essayer de s’authentifier auprès des
machines (gain d’accès)

36. Représentation
https://beta.hackndo.com/ntlm-relay/

37. Une formation
Conditions requises
SMB Signing désactivé
L’utilisateur dont les identifiants sont
relayés doit être administrateur au
niveau de la machine

38. Une formation
Lab : SMB Relay

39. Une formation
Contremesures
Activation de l’SMB Signing à tout les
niveaux
Désactivation de l’authentification
NTML dans le réseau
Restriction administrateurs locaux
Gestion des privilèges

40. Une formation
Hamza KONDAH
Prise de contrôle initiale :
Exploiter PSEXEC pour avoir
un shell

41. Une formation
PSEXEC
Pass The Hash
Lab : Exploiter PSEXEC
Plan

42. Une formation
PSEXEC
« PsExec est un remplaçant léger de Telnet
qui vous permet d'exécuter des processus sur
d'autres systèmes, avec une interactivité
complète pour les applications de console,
sans avoir à installer manuellement le
logiciel client. »
https://docs.microsoft.com/en-
us/sysinternals/downloads/psexec

43. Une formation
Pass The Hash
Une technique qui permet à l'utilisateur de
s'authentifier en utilisant un nom
d'utilisateur valide et le hachage, au lieu du
mot de passe non haché.
Attaque extrêmement efficace, simple et
facile à mettre en œuvre.

44. Une formation
Lab : Exploiter PSEXEC

45. Une formation
Hamza KONDAH
Effectuer de la reconnaissance :
Exploiter Powerview pour de
la reconnaissance

46. Une formation
Introduction
Objectifs
Powerview
Lab : Powerview
Plan

47. Une formation
Introduction
La reconnaissance dans les environnements AD
est une phase extrêmement importante
Dance cet approche, c’est une reconnaissance
interne du contexte entreprise
Autrement dit : Reconnaissance LDAP
Peut être native ou automatisé via des outils

48. Une formation
Objectifs
Utilisateurs
Groupes
Relations
Session
Politique de sécurité/GPO
Paramètres
OS
….

49. Une formation
Powerview
PowerView est un outil PowerShell de
reconnaissance AD
Plusieurs taches automatisées
Utilise principalements des Hoooks
Powershell AD et fonctions d’API Win32

50. Une formation
Lab : Powerview

51. Une formation
Hamza KONDAH
Effectuer de la reconnaissance :
Exploiter Bloodhound pour
de la reconnaissance

52. Une formation
Introduction
BloodHound
Méthodologie d’analyse
Lab : Bloodhound
Plan

53. Une formation
Introduction
BloodHound utilise la théorie des graphes pour
l’identification des chemins d’attaques (Chemin
le plus court  Administrateurs de domaines).
BloodHound utilise une approche assez simple
pour la collecte de données avec les ingestors
Interface GUI
Il existe un ensemble de requêtes Built-in pour les
actions les plus fréquentes

54. Source GroupeCible
MemberOf

55. Source Cible
AdminT
o

56. Source Cible
HasSession

57. Antoine Server1
AdminTo
Eric Domain Admins
MemberOf

58. Une formation
Lab : Bloodhound

59. Une formation
Hamza KONDAH
Apprendre les techniques post
exploitation :
Apprendre à effectuer du
password spraying

60. Password Spraying
Attaques de bruteforcing
Pass The Password
1. Utiliser des tactiques de recherche en ligne et d'ingénierie sociale pour
identifier les organisations cibles et les comptes d'utilisateurs
2. Utilisation de mots de passe faciles à deviner (par exemple,
"Password123") pour exécuter l'attaque
3. Exploiter les comptes compromis pour obtenir des listes plus complètes
4. Attaques latérales au sein du réseau compromis et exfiltrez les données

61. Une formation
Hamza KONDAH
Apprendre les techniques post
exploitation :
Apprendre à dumper les
secrets avec secretsdump

62. Une formation
Hamza KONDAH
Apprendre les techniques post
exploitation :
Exploiter l'attaque
Kerberoasting

63. Une formation
Rappel
Kerberoasting
Etapes d’attaques
LAB : Kerberoasting
Plan

64. Une formation
Rappel
Kerberos représente un protocole qui
permet à des utilisateurs (clients) de
s’authentifier sur un réseau, et d’accéder à
des services (authentifiée) .
Centralisation d’authentification
Centralisation d’authentification
Protocole basé sur les tickets

65. Une formation
Rappel
KDC
Client
Service

66. Processus d’authentification
Client

67. Kerberoasting
SPN
SPN

68. Kerberoasting
ServiceClass Host Port ServiceName
LDAP WIN-RT9EO2D1C/alphorm.lab 443

69. Kerberoasting
Etape 0 : Accédez au
système client du réseau
de domaine.
Étape 1 : Découvrez ou
scannez le SPN enregistré.
Étape 2 : Demande de
ticket TGS pour le SPN
découvert à l'aide de
Mimikatz/Rebeus/Invoke-
Kerberos…
Étape 3 : Dumper le ticket
TGS qui peut avoir
l'extension .kirbi ou ou un
hash ou ccache
Étape 4: Convertissez le
fichier .kirbi ou
ccache/hash dans un
format crackable
Étape 5 : Utilisez un
dictionnaire pour l'attaque
par force brute.

70. Une formation
LAB : Kerberoasting

71. Une formation
Hamza KONDAH
Apprendre les techniques post
exploitation :
Exploiter la vulnérabilité
ZeroLogon

72. Une formation
Introduction
La vulnérabilité existe en raison d'un défaut
dans un système d'authentification
cryptographique utilisé par le Netlogon
Mise à jour des mots de passe de l'
ordinateur.
Cette faille permet à l'attaquant d'usurper
l'identité du contrôleur de domaine
Dump et accès complet 

73. Une formation
Hamza KONDAH
Découvrir les techniques de persistances :
Découvrir les Golden et Silver
ticket

74. Une formation
Introduction
Golden Ticket : Procedure
Lab : Golden Ticket
Plan

75. Une formation
Introduction
Outils utilisé afin de pouvoir dumper les identifiants,
tickets kerberos et autres informations sensible de la
mémoire
Credential dumping, pass the hash, over pass the
hash, pass the ticket, golden ticket…
Créer par benjami

76. Une formation
Introduction
Attaque découverte par Benjamin Delpy
(@gentilkiwi)
Permet de fournir un accès complet au domaine
cible
Ce qui implique l’accès aux :
• Machines (Incluant le DC)
• Dossiers
• Fichiers
Un Golden ticket peut perdurer pendant des années

77. Source : Présentation de Benjamin dellpy - mimikatz:présentationetutilisationavancée

78. Golden Ticket : Procedure
1. Compromettre un
ordinateur cible avec un
malware
2. Compromettre un
utilisateur qui dispose
des privilèges de
réplication ou d’accès
d’administrateurs à un
contrôleur de domaine.
3. Se connecter au DC et
obtenir via un dump le
hash du mot de passe du
compte Krbtgt
Il ne reste qu’à charger
le ticket Kerberos

79. Une formation
Hamza KONDAH
Découvrir l’OWASP

80. Une formation
OWASP
Open Web Application Security Project
Communauté à but non lucratif travaillant
sur la sécurité des applications web
Plusieurs projets: Top 10, guides, outils
(ZAProxy, DependencyCheck…) et plus
encore …

81. Top 10 OWASP

82. Injection SQL

83. Violation de gestion d’authentification

84. Une formation
Violation de gestion d’authentification
Session hijacking
Attaques type Man In The Middle, ARP
Poisoning
<#Démo EtterCap#>

85. Violation de gestion d’authentification

86. Violation de gestion d’authentification
Mots de passe non protégés en base de
données
Les mots de passe sont stockés en clair en BDD
Le mot de passe est envoyé par mail lors d’un
changement
Les mots de passe sont hashés en MD5, SHA-1…
Pas de salage sur les mots de passe

87. Violation de gestion d’authentification
Faiblesse dans la gestion des sessions
Pas de timeout de sessions
Les IDs de session sont envoyés à travers des
URLs
Les IDs de sessions sont faibles
Non rotation des IDs de session après
connexion
PAS DE HTTPS

88. Une formation
Hamza KONDAH
Maitriser les outils de scanning
Web

89. Lab : Scanning

90. Une formation
Hamza KONDAH
Apprendre à exploiter des
mauvaises configurations de
sécurité

91. Une formation
Introduction
Exemples de mauvaises configuration
Lab : Exploitation MCS
Plan

92. Mauvaises configurations de sécurité

93. Exemples
Logiciels non mis à jour !
OS
Web/App
Serveur
Librairies
Modules,
plug-in
Fonctions inutiles ou activés
dangereuses
Ports
Services
Pages
Comptes
Privilèges

94. Une formation
Exemples
Mots de passe par défaut
Messages d’erreurs affichés
Configuration par défaut
Configuration non sécurisés

95. Une formation
Lab : Exploitation MCS

96. Une formation
Hamza KONDAH
Apprendre à exploiter de failles
Cross-Site Scripting (XSS)

97. Une formation
Introduction et définitions
Cross Site Scripting
Les types d’XSS
Les XSS avancées
Plan

98. Une formation
Type d’injection permettant de faire exécuter du
code sur le navigateur de la victime, par le biais
d’une page Web
Langage JavaScript, ActiveX, VBScript
Attaques possibles :
Cross-Site Scripting (XSS)
Redirections
Voler des
cookies
Phishing Etc.

99. Une formation
Reflected XSS

100. Une formation
Stored XSS

101. Une formation
DOM XSS

102. XSS avancée
evilXSS
GET /page?evilXSS HTTP/1.1
②
③
GET /page?cook=abcd123 HTTP/1.1
①
④

103. Une formation
Cross-Site Scripting (XSS)
BeEF framework
BeEF est un framework permettant
d’exploiter des vulnérabilités XSS au
travers de navigateurs Web
Le nombre de possibilités est énorme

104. Une formation
Hamza KONDAH
Maitriser les attaques de type
CSRF

105. Une formation
Introduction
L’attaque par Cross-Site Request Forgery (CSRF)
consiste faire exécuter des actions à une victime à
son insu
Le principe est simple : l’attaquant forge une
page/requête malveillante, qui va forcer les
navigateurs des victimes qui la visitent d’effectuer
une requête (implicitement)
Cette requête correspond à l’action que l’on veut
faire exécuter à la victime

106. evilForm
①
GET /page HTTP/1.1
②
③
④
Attaques CSRF

107. GET /page HTTP/1.1
②
③
④
POST /page2 HTTP/1.1
csrf=
①
Attaques CSRF

108. Une formation
Introduction

109. Une formation
Hamza KONDAH
Apprendre à exploiter des
composants vulnérables

110. Violation de contrôle d’accès

111. Une formation
Violation de contrôle d’accès
Fonctionnalités restreintes accessibles par
l’utilisateur
Manque de contrôles au niveau des
authentifications
Les contrôles s’effectuent sur des données clients
La configuration par défaut n’interdit pas tous les
droits d’accès

112. RFI

113. Une formation
Violation de contrôle d’accès
Host-header attack
Les développeurs font confiance aux
Headers HTTP pour forger des liens,
importer des fichiers etc
Les headers HTTP peuvent être manipulés
par l’attaquant
L’attaquant peut modifier les requêtes pour
y insérer du code malveillant

114. Une formation
Violation de contrôle d’accès
User-Agent Spoofing
De la même manière, il est possible de modifier le
User-Agent pour y insérer ce que l’on veut à la place :

115. SSRF (Server Side Request Forgery)
L’attaquant abuse des fonctionnalités d’un serveur pour
exécuter des attaques sur un autre serveur

116. Exposition de données sensibles

117. Une formation
Exposition De Données Sensibles
Les données sont stockées en clair
Les données circulent en clair sur :
Le réseau interne
Le réseau externe
Internet
Des algorithmes faibles sont utilisés
Les clés de chiffrement sont faibles

118. Cross-Site Request Forgery (CSRF)

119. Cross-Site Request Forgery (CSRF)
L’attaquant redirige la victime sur un lien dans le but
d’effectuer une action précise

120. Cross-Site Request Forgery (CSRF)

121. Une formation
Hamza KONDAH
Découvrir la désérialisation
non sécurisée

122. Une formation
Définition
Représentation
La désérialisation non sécurisé
Lab : Désérialisation non sécurisé
Plan

123. Une formation
Définition
La désérialisation non sécurisée représente une
vulnérabilité peu connue, mais extrêmement
efficace
Comprenons d'abord ce que signifie la sérialisation
et la désérialisation
La sérialisation est le processus de conversion de
structures de données complexes, telles que des
objets et leurs champs, en un format « plus plat »

125. Une formation
Définition
La désérialisation est le processus de restauration
de ce flux d'octets en une réplique entièrement
fonctionnelle de l'objet d'origine, dans l'état
exact où il a été sérialisé.

127. Une formation
La désérialisation non sécurisé
Cela permet potentiellement à un attaquant de
manipuler des objets sérialisés afin de transmettre
des données nuisibles dans le code de l'application.
Il est même possible de remplacer un objet sérialisé
par un objet d'une classe totalement différente..
Ce qui peut résulter :
• Elévation de privilèges
• RCE (Remote Code Execution)
• Dénis de service
• Injection d’informations falsifiés

128. Une formation
Lab : Désérialisation non sécurisé

129. Une formation
Hamza KONDAH
Exploiter l'exposition d'informations
sensibles

130. Une formation
L'exposition d'informations sensibles
L’exposition d’informations sensibles peut concerner :
• Des fichiers ou répertoires sensibles exposés
• Des serveurs non sécurisés exposés
• Transmission de données en clair (réseaux)
• Algorithmes cryptographiques faibles
• Voir partie – Reconnaissance Passive et Active

131. Une formation
Hamza KONDAH
Apprendre à exploiter les
injections SQL

132. Une formation
Plan
Les injections SQL
Impact des injections SQL
Lab : Les injections SQL

133. Une formation
Les Injections SQL
L'injection SQL est une vulnérabilité de sécurité Web
qui permet à un attaquant d'interférer avec les
requêtes qu'une application effectue sur sa base de
données.
Vulnérabilités la plus critique du Web
Exploite une erreur de validation des input
utilisateurs

134. Les Injections SQL

135. Exemple
https://alphorm.com/formation?category=sécurité
Select * From formations
WHERE category = ‘sécurité’ and released = 1

136. Une formation
Exemple
https://alphorm.com/formation?category=sécurité ‘--
Select * From formations
WHERE category = ‘sécurité’ ‘—’and released = 1

137. Une formation
Exemple
https://alphorm.com/formation?category=sécurité ‘
+OR+1=1--
Select * From formations
WHERE category = ‘sécurité’ OR 1=1

138. Les Injections SQL

139. Une formation
Impact des injections SQL
Accès non autorisé à la base de données,
partiellement ou complètement
Remote Code Execution
Mise en place d’une backdoor
Altération de données

140. Une formation
Lab : Les injections SQL

141. Une formation
Hamza KONDAH
Maitriser le Repporting

142. Une formation
Le Repporting
Le Repporting représente une base pyramidal de
votre travail de pentester
Un rapport structuré est un must-do
La rédaction d'un rapport de test d'intrusion est un
art
Le rapport sera également envoyé au
management et à l'équipe technique de
l'organisation cible.

143. Une formation
Hamza KONDAH
Conclusion

144. AVERTISSEMENT
Ni le formateur Ni Alphorm ne sont responsables de la
mauvaise utilisation du contenu de cette formation
L’utilisation des outils doit être réalisée uniquement au
sein d’un environnement virtuel ou avec une autorisation
préalable de l’entreprise

145. Une formation
Bilan
Découvrir les techniques d’OSINT de reconnaissances
passive
Maitriser les techniques de reconnaissance active
Maitriser les attaques réseaux
Découvrir les attaques sur les cliens
Découvrir les attaques web
Introduire les attaques AD
Découvrir les attaques physiques

146. Prochainement

147. À vos claviers !

148. Prochainement