SSTIC 2024 - J2
Landlock: from a security mechanism idea to a widely available implementation
Protéger les données & protéger le système ce n'est pas la même chose. Toute application peut à un moment ou l'autre se faire compromettre à l'exécution (bug, 0-day, etc... ). Toutes ces applis n'ont pas forcément besoin d'accéder à tout. Le sandboxing répond à ce problème en créant un environement d'exécution restreint tout en augmentant le coût d'une attaque car il faut un bypass de la sandbox en plus de la vuln applicative (comme on à pu le voir hier avec V8).
Souvent les sandbox nécessitent de retravailler les applications pour transformer tous les appels privilégiés en appels passant par la sandbox, ce qui est assez coûteux au niveau du développement. D'autres sandbox niveau Kernel nécessitent des privilèges élevés et donc ne peuvent être mis en place par les dev ou les utilisateurs.
C'est là ou Landlock rentre en jeu en fournissant une couche de sécurité supplémentaire qui peuvent être gérée par les dev au travers de 3 syscall pour venir restreindre les privilèges des processus fils, même dans des contextes assez privilégiés. Une fois les privilèges restreints, il n'y a pas moyen de revenir en arrière et de relâcher la politique pour les process fils.
La vrai difficulté quand on propose une nouvelle brique de sécurité, c'est que ça prend du temps pour que ça soit adopté. Depuis la RFC en 2016 il y a eu du chemin de fait. Et pousser ça en Upstream dans le Kernel ça prend du temps, mais ça permet d'améliorer la qualité du code, et de limiter les coûts de maintenance tout en rendant la solution disponible au plus grand nombre.
La consécration, c'est quand des attaquant prennent en compte Landlock dans ses bypass pour se débarasser du mécanisme comme dans le cas de la supply chain attack sur la lib xz.
Samsung meets mediatek: a bug chain
Le galaxy A225F est basé sur un SoC Mediatek, avec des bouts de code Samsung dedans. Il y a une faille dans le secureboot. Cette chaîne de boot démarre avec le chargement d'un secure monitor ARM basé sur la trust zone, et le chargement en zone non-trusté d'un "little kernel" LK modifié par Samsung qui gère le protocole Odin, Knox et un parser JPEG. L'archive JPEG n'est pas signée et représente une surface d'attaque intéressante, cf logofail. Parser des jpeg c'est compliqué, et la lib contiens un heap overflow. Bon l'avantage de LK c'est qu'il y a aucune mitigation anti-exploitation. Comme la partition contenant les jpeg est persistante, la RCE est persistante, et ça permet de prendre le contrôle du boot du téléphone.
Par contre il faut pouvoir poser ces JPEG sur la flash. Pour ce faire, les orateurs se sont intéressés à Odin. Odin vérifie la signature des images qu'il charge avant de flasher. Pour ce faire il utilise le PIT qui est présent dans l'eMMC. Les partitions décrites dans le PIT sont protégées. Mais certaines partitions non-protégées peuvent-être flashés. Le mécanisme du PIT va chercher une partition "pit" et si elle est présente, cela change le comportement de l'update. En jouant avec on obtient une deuxième CVE qui impacte les samsung Mediatek & Qualcom.
Le secure monitor, c'est un composant très critique, et toute vuln dans ce composant à un impact majeur. Ya pas beaucoup de code dedans, du coup on peut faire une analyse statique. En regardant le "passe-plat" entre le secure world et le normal world, on peut identifier des fonctions vulnérables. Dans ces fonctions les orateurs ont trouvé un moyen de leak une addresse de l'espace privilégié et une autre vuln pour mapper l'info à cette addresse. Avec ça on peut aller récupérer des secrets arbitrairement.
Avec toutes ces vulns, on peut prendre le contrôle d'un téléphone samsung bas/moyen de gamme avec un accès physique au téléphone.
Communication longue distance en ISO 14443
Une carte sans contact n'a pas de batterie, et c'est le lecteur qui alimente la carte via un champ magnétique façon chargeur sans fil. La carte communique en modulant sa puissance. La lecture d'une carte à distance c'est très dur, 27cm l'interception à distance du lecteur c'est 10m, de la carte 1m. Bref le signal décroit très fortement avec la distance. Par contre le scénario d'interaction à distance avec le lecteur n'a pas été très étudié dans l'état de l'art. C'est le sujet choisis par les orateurs.
Le lecteur envoyant un champ très intense, et l'attaquant n'ayant pas besoin d'être alimenté, il y a moyen de taper ça à longue distance. Certains lecteurs sans-contact se mettent à jour ou se configurent avec une carte sans-contact. Il a fallu modifier un émulateur de carte assez performant car le protocole exige une réponse en moins de 90 micro-secondes ! Ils ont utilisé un ADALM2000 et un FPGA pour fabriquer le moyen d'attaque. Deux antennes ont été fabriquée avec du carton et du scotch cuivre, et quelques resistances pour filtrer comme il faut. La portée à l'émission est envisageable à quelques mettres genre l'étage du dessus ou du dessous, mais c'est probablement améliorable. Plus de détails dans les actes.
Tears for fears: breaking an RFID counter
L'arrachage en RFID, c'est quand on passe trop vite sur le lecteur et du coup la transaction n'est pas complète. Les ST25TB sont des cartes RFID signées, et la signature est mise à jour à la modification. Gentilkiwi avait présenté l'attaque l'an dernier. En gros avec un émulateur on peut empêcher la mise à jour du compteur en bloquant l'écriture, du coup le pass est toujours valide. Les orateurs ont donc cherché à compromettre ce compteur pour re-initialiser la carte et pouvoir s'en servir indéfiniment. Chaque compteur est basé sur deux sous-registres et ils se relayent pour assurer la valeur du compteur. C'est mis en oeuvre pour éviter les problèmes d'écriture lorsque le signal est un chouilla pourri. Pour ce faire la carte accepte un état de "bit faible" ou le signal est "entre deux valeurs" au niveau puissance. En jouant sur ces weak bits, on peut modifier ces compteurs en jouant sur l'arrachage et la distance.
The post-quantum cryptography transition: Burden or opportunity ?
La crypto post-quantique, elle sera là, quoi qu'il arrive. Mais c'est la première fois qu'on change énormément de choses, et du coup c'est l'occaz de faire mieux. L'ordi quantique pour péter RSA et Diffie-Hellman, sur la base de l'algo de Shor's il est crédible en terme de place, de capacité, et de conso énergétique. L'attaque de Grover permet de réduire en gros la clef de moitié, ce qui réduit l'espace de recherche. Du coup vaut mieux avoir des grosses clefs, et éventuellement deux algo crypto, au cas ou l'un des deux casse...
Damn Vuln IoT SoC
Un System on Chip, c'est une puce avec tout ce qu'il faut pour faire une machine: RAM, ROM, SPI, CPU, etc... Ces systèmes sont soit fondu dans une puce, soit claqué sur un FPGA quand on debug. Parfois la conception d'une chip peut présenter des défauts, des bug voir carrément des backdoors. Ces vulns sont difficiles à patcher puisqu'il faut refaire la puce. Exemple de vulns: des race conditions sur des accès DMA. Le but de cette plateforme, c'est d'offrir un support pédagogique et d'expérimentation avec un mécanisme permetant de générer ce systèmes sur un FPGA et ce de façon modulaire.
Le SoC est généré via LiteX qui supporte un grand nombre de kits FPGA. Pour y ajouter des vulns, les orateurs ont implémenté les portions vulns directement en python, ou alors avec des blocs de VHDL spécifique.
Getting ahead of the schedule: manipulating the kubernetes scheduler to perform lateral movement in a cluster.
Un noeud sur kubernetes, c'est une machine qui héberge un kubelet. Le noeud cause avec l'api-server pour savoir quels pods il doit exécuter. Un pod c'est un conteneur soit containerd, soit podman, soit docker, etc... Le scénario d'attaque part du principe que l'attaquant a compromis un conteneur dans l'infra (un pod quoi). Pour LPE, on utilise des défauts de conf etc... ce qu'on apppelle un escape de conteneur. Un pipeline de CI/CD exécute souvent ses tâches dans des noeuds. Si un compte du git servant a la CI/CD se fait compromettre, l'attaquant a du coup un pod sous son contrôle. Les comptes de services peuvent être variés, et ne sont pas forcément présent sur tous les noeuds. Dans kubernetes, on peut séparer les noeuds en plusieurs groupes pour gérer l'isolation entre les types de pods exécutés. Le scheduleur k8s n'a pas été très étudié d'un point de vue sécurité. Le scheduleur suis l'exec des noeuds et si ya un noeuds qui n'a pas de pod, il va lui filer des pods à exécuter.
L'exécution d'un pod est géré en fonction des besoins et contraintes sur les fonctions dispo sur les noeuds. Chaque plugin sert de filtre pour gérer les conditions d'exécution et savoir si on peut affecter un pod à un noeud. Une fois le filtrage fait, on va scorer pour s'assurer que le choix du pod est adapté aux perfs & cie. Comme le scheduler se base sur des infos exposés par les pods et le noeuds, on peut influer sur les décisions du scheduler pour faire venir sur un noeud un pod qui nous intéresse (une fois l'élévation de privilège faite).
Le compte de service avec le privilège patch-pod permet par exemple de modifier les label des pods, pour provoquer par exemple la re-génération d'un pod vulnérable dans d'autres noeuds.
Sécurité des environements de CI/CD
Pour péter un environement de CI/CD il faut un compte sur l'environnement, en gros assez de privilèges pour aller exécuter du conteneur depuis un git. Dans les actions github on a des mécanismes permettant d'interroger l'env de ci-cd appellé github context. Ce sont des variables type template qui permettent de récupérer des secrets, des propriétés, des variables, etc. Le token github permet de pousser, dans les org antérieures à 2023, du code sur le git. Les actions sont parfois conditionnés au fait d'avoir contribué une fois, voir être autorisé manuellement, mais elle peuvent aussi être accessibles à tous. le pull_request_target permet d'ajouter des permissions au github token. Bref ya une chié de paramètres qui influent sur ce qu'on peut faire dans la CI/CD qu'un attaquant devra enchainer correctement pour compromettre l'environement. Les workflow github sont très présents, et il faut déclancher le workflow sur de la donnée contrôlée par l'attaquant. Pour attaquer un projet, il faut pouvoir contribuer, genre pousser une modif sur la doc, et du coup on contourne la limitation "first-time contribution". La ref qui sert à l'exécution du workflow peut parfois servir dans le code exécuté dans le workflow, et du coup on peut y mettre une injection de commande ou un reverse-shell. Parfois on peut trouver des variables d'environnement qu'on peut claquer. Sous Linux, une variable d'environnement peut permettre via github_env de définir une variable d'environnement arbitraire et faire une injection de dll via ld_preload ou un trick du genre.
Bref, c'est gavé de tricks, et de repo vulns, allez voir les actes. Et pour l'outillage, ya un outil octoscan.
PyAxml
Les manifest android sont construit en AXML. Lors de la compilation, le manifest & cie du développeur sert à construire le manifest android, le zip du package etc... dans ces fichiers on a par exemple le .dex contenant le code et le .axml qui contiens des ressources ou le manifest android. Quand on veux patcher une appli android, il faut aller manipuler des fichies axml, et c'est à ça que sert la lib.
Retour sur le challenge SSTIC 2024
Le challenge à été créé par Thallium cette année. l'objectif c'était de résister plus longtemps au challenge que 8j. Résultat, il l'a résolu en 4j. Le thème cette année c'était l'infiltration dans un groupe mafieux.
Solution du challenge SSTIC
Le début de l'investigation c'est deux pdf et un fichier de localisation Tesla. Quand on regarde le format du fichier on tombe sur TeslaMate, c'est un import postgres. Avec graphana sur l'outil on choppe des traces gps chelous, et des noms de rues de l'espace. Sur les id openstreetmap on trouve rien de bon. L'orateur explore plein de fausses pistes, mais on fini par trouver un token chifffré dans la DB pour s'authentifier sur accounts.tesla.com mais ça aussi c'est une fausse piste. Quand on prend le dashboard "most visited places" ça reconstruit une URL.
Step 1 - c'est un MiTM entre la tesla et le serveur de license fictif, et du coup il faut récupérer la clef de licence. On a du coup soit les données soit un message d'erreur. Un indice cependant, le invalid iso padding. C'est un vieux padding du format java card qui met sur la piste d'une vuln padding oracle. Une fois la crypto pétée on récupère les messages du serveur vers le client avec un truc à rejouer pour obtenir la clef.
Step 2 - c'est un serveur de jeu ou ya mafiadev. C'est un jeu en 2D en multijoueur créé en C avec la SDL pour la partie graphisme. Le protocole de com' contieny des échanges de chat, l'état de la carte et les interactions. Quand le perso sort de l'écran, ya un bug dans les points de vie. Ce bug mène à une vuln d'use-after-free. En poussant le joueur on peut trigguer l'UAF en le sortant de l'écran et on a une infoleak exploitable.
Step 3 - on est sur mafiadev, et il a un outil de chat qu'il a mis en place. Le chat interne est sans chiffrement mais avec signature utilisant le HSM. Tout est fourni pour mettre au point l'attaque. Le HSM contient une porte dérobée qu'on viens trigguer via les paramètres extra_1 et extra_2. Il faut comprendre les fonctions backdoorés et comment les utiliser pour provoquer une injection de faute qui colle avec un papier académique dont il faut implémenter l'attaque.
Step 4 - on peut envoyer des messages au boss de la mafia qui utilise un chromium sans sandbox avec un module tier d'authentification maison appellé Blink. Du coup c'est du pwn de navigateur avec de l'infoleak, la mise en place d'un arbitrary write etc... (cf writeups)
Step 5 - ya un driver windows vulnérable à exploiter pour passer NT Authority System. Sur la VM via python, ssh et WinrM. Le driver simule un protocole à la TOR avec des paquets envoyés sur le réseau. La vuln se joue dans la partie LocalPort type 6 pour lequel il y a une toctou avec une confusion de type à exploiter.
Step 6 - dans le dossier Personnal, ya un fichier audio qui lorsqu'on affiche le spectrogramme affiche le flag.
Rumps
Rump0: la rump du CO qui respecte pas le timer. Le thème cette année ce sont les JO.
Jouer avec les network namespaces - for fun, security and profit (Josselin Mouette)
Les bonnes pratiques d'admin, l'interface d'admin est sur une interface réseau dédiée... mais t'a a gérer le pool vpn, faut automatiser ça, mais ya des tables de routage cachées, bref c'est compliqué... Du coup chez exaion ils ont décidé d'utiliser des namespaces avec un fichier de conf réseau pour chaque patte et hop t'a des config simples séparées, et pas de merdes de routage. Ca simplifie aussi la vie pour gérer les interfaces ipsec. Le tout est sur Github
Sure not to rust-up a little (Philippe Thierry)
Le langage RUST est assez populaire, et memory safe, tout en étant performant. mais ça génère pas mal de contraintes, mais surtout ya un gros fanclub assez débile et qui saoule tout le monde. Parfois ça peut foutre la merde dans le pragmatisme du choix. Restez donc rationnels dans vos choix, et pas en fonction de la hype, sinon vous aurez des mauvaises surprises à l'intégration.
Hackropole : choix techniques (Alexandre Iooss)
La plateforme de CTF Hackropole est dynamique, parceque la plupart des archives, elles filent le code source et faut se débrouiller pour les faire tourner. L'autre approche c'est de laisser tourner le chall de CTF en permanence, ce qui est risqué niveau sécu. Pour l'archivage du coup ils ont choisi de produire des pages statiques avec les résultats, et un système de validation de flag simple. La solution est open-sourcée et hop c'est sur github :)
Axml by proffesor squirrel (Benoît Forgette)
Explication du format AXML, avec des stringblock de partout avec des tableaux et des offsets de tableaux bref ça peut pas bien finir. Dedans ya de la gestion de champs tailles dans tous les sens pour lesquels les tailles des stringblock sont pas bon mais android s'en fout. Les ressources, c'est des tableaux d'attributs et c'est l'bordel.
Ponçage d'une IHM industrielle (Damien Cauquil)
Une IHM industrielle ça sert a controler des machines avec un gros cordon ombilical. C'est connecté en mode IP avec du SSH et du Web. Sur un objet connecté, on dump le firmware, mais la c'est plus simple, on se connecte en admin et on récupère le rootfs et le firmware. C'est pas protégé, c'est pas chiffré. L'auth web est basée sur Nginx et PAM. L'authentfification est codée en basic auth en JS. du coup un compte admin, un mot de passe bidon et ça marche. La vérification des groupe appelle exec, du coup on peut rce via la partie authentification.
Apache Guacamole - Extract credz (Antoine Cervoise)
Apache Guacamole permet d'avoir un accès web pour du rdp, ssh vnc, etc... et c'est parfois utilisé comme un bastion. Parfois ya des credz par défaut guacamole/guacamole. Pour extraire les mots de passes il suffit d'avoir un accès admin, et d'utiliser un honeypot ssh pour laisser les utilisateurs se connecter sur le pot de miel. La suppression d'un profil ne dégage pas les logs. Recommandation: utiliser du mfa ! utilisez l'auth par clef !
Retours sur une formation certifiante sur mesure destinée à l’industrie automobile (Olivier Guerrier)
Chez renault ils ont du mal a recruter et avoir des personnes compétentes pour leurs besoins sécu. Du coup ils ont mis en oeuvre une formation sur mesure adaptée à l'industrie automobile.
Contournement du chiffrement de disque Windows Bitlocker (Sylvain Leroy - Jérôme Maurin - Dionys Colson)
Les postes d'admin sécurisé c'est pas simple. Pour construire un poste windows, on fait du mdt, et on a un env de pre-install sur lequel il faut mettre des drivers pour que l'installation se passe bien. Si il a pas son driver, on tombe sur un shell. Et en fait a l'install, le windows il arrive a bypass l'acces bitlocker ! En gros au boot on retire le disque, les clef bitlocker sont en mémoire, on relance la détection des disques, on met le disque dedans, et la le disque est accessible !!! la CVE date de janvier 2024, et pensez a mettre un pin pour protéger le TPM.
Casser BitLocker en 3 min. ? (Adel Allam)
scénario: un poste volé ou perdu, souvent on répond wai ya bitlocker, et en fonction de la configuration ça va être si robuste qu'on croit. On peut sniffer la clef du TPM au boot en se branchant dessus à partir de la docu de la carte mère ou du chip et avec le bus SPI. A minima pour protéger le TPM faut y mettre un pin.
Priorisation de vulnérabilités sur des systèmes industriels (Tanguy Pascale)
Dans l'ensemble des CVE publiés yen a pas masse avec des gros score. Le CVSS ça aide pas toujours à prioriser. le KEV liste les vulns connues comme exploités, mais sur des systèmes indus c'est compliqué de prioriser la tartine de CVE. Du coup l'orateur à utilisé du threat modeling pour réussir à gérer sa priorisation de façon automatisée.
DenyLocker (Florian Martin)
Applocker sert à verrouiller l'usage de logiciels et ça permet de durcir, en prime t'a des journaux d'évènements complémentaires à sysmon qui permet d'identifier les binaires exécutés depuis les clefs usb etc... Les listes de blocage sont souvent appliqués en premier, les autorisation arrive après. Une stratégie consiste à utiliser des règles de type Authorisation. Si on peut pas on peut utiliser l'outil denylocker qui évite d'avoir a faire la gpo en mode clickclick. l'outil est sur Github.
The mysteries of the FUJ02B0 file (Nicolas Iooss)
Parfois quand on fait une recherche sur google on tombe sur UN résultat. Ce résultat est un fichier vmcore kdump indexé par google, en gros un crash dump kernel. Avec du forensics avec strings & grep on tombe sur un mot de passe. Le jira sur lequel il est présent sur un projet "lustre" avec un environement de test, et dans les tickets ya des coredump de noyaux linux. Bref, gaffe a vos core dumps sur vos infra de test, ça peut contenir des credz.
Adieu les mots de passe, bonjour les passkey (Corentin Mors)
Bill gates a dit que les gens faisait nimp avec les mots de passes, mais on les utilise toujours. Cependant l'alliance FIDO pousse à dégager les mots de passes pour que les gens utilisent des passkey a base de crypto assymétrique basé sur WebAuthN, et résistant au phishing & MiTM. C'est déjà dispo sous windows, linux, macos.
ROPing your way around the EDR (Farid Ayoujil - @faridtsl)
Explication sur la création de process et le hooking fait par les EDR pour intecepter ces appels. Pour éviter ça, le malware utilise souvent du direct syscall pour aller causer direct avec le kernel. Du coup si on fait des indirect syscall via des rop chain dans ntdll ce qui permet d'exec le code comme s'il provenait de NTDLL.
Sécurité des basebands, ou le meilleur du pire. (Apolline Zehner)
le baseband est un processeur dédié chargé des com réseau (wifi, bt, 4g, 5g) et il a une API qui permet a l'OS de causer au baseband. Les basebands sont gavé de vulns, exemple avec MediaTek dont on peut modifier le firmware, ou y exploiter une vuln pour aller écrire directement dans la mémoire du téléphone Android. Ya pas de protec dedans, pas de stack canary, pas d'aslr etc...
SELKS a 10 ans (Eric Leblond)
Selks est un outil autour de suricata qui fait IDS réseau et NSM voir NDR. C'est basé sur des conteneurs docker, avec de l'elk, du kibana bref c'est clef en main. Au début c'était une Debian Live, maintenant c'est bien packagé avec de la journalisation pcap. Et ya pas Zeek dedans parcequ'on a pas besoin d'avoir zeek pour faire du NSM, suricata le fait déjà.
Flag4jobs - Plateforme de CTF (@xanhacks)
Chaque joueur sur la plateforme à un env d'exécution rien que pour lui, et du coup si ça crash, il fait pas chier les autres (coucou htb). Ils se concentre sur des compétences utiles professionellement.
Je suis un vrai parisien mobile ! (Alexandre Chazal)
Le métro, c'est nul, ya trop de gens, et ça pue. Les trotinettes en libre service c'est pas efficace et c'est ban. Les vélos ils sont plus stylé et vont plus vite, le seul soucis, c'est qu'on les trouve pas. L'orateur a cartographié la position des vélos, et il trouve pas ses vélos. L'un des fournisseurs fait de l'opendata et n'affiche pas les infos utiles. Quand on reverse l'appli du fournisseur, on y trouve des credz qui permettent de récupérer les infos.
RF swift: a swifty tool for RF security assessments (Sébastien Dudek)
Faire un setup radio, ça demande du boulot, de mettre des bouts de code ensembles avec des dépendances à la con, bref c'est pas simple, encore pire si vous devez l'utiliser en pentest. Ya des solutions genre DragonOS, mais faut un pc dédié ou le faire tourner dans une VM. RF Swift ça sert à éviter d'avoir a wipe tout son pc entre deux pentests. C'est basé sur docker et ya déjà plein de conteneurs pratiques en radio.
Scapy + eBPF = <3 (Guillaume Valadon)
Comment identifier un process qui emmet des paquets ? bah on peut faire du scapy, du tcpdump, etc... mais ça fonctionne pas bien avec linux. ChatGPT propose lui d'utiliser bpftrace. ça se base sur eBPF qui permet d'accrocher un programme à un évènement. Du coup pour éviter les dépendances, il a rajouté un loader eBPF à SCAPY.
NixOS Unleashed for (not only) Redteam/Pentest (Samy Lahfa (AkechiShiro))
NixOS est un os tendance, et ya des distrib orienté pentest.
Et la du coup c'est les rump non-streamés.
Embedded system assessment par twisted wires
Quand il faut trouver un trou de sécu, l'attaquant s'arrête pas au fonctionnement hard ou soft, en vrai il s'en fout. Audit d'un hardwar durci soudé aux ultrasons et tropicalisé à coup de vernis. Les ocmposant sont collés avec de l'underfill. Bref Dremel, Acétone, et on fini par obtenir un pcb utilisable, mais petit petit petit (meme tout petit ici ? ). L'orateur trouve un port JTAG, mais il est désactivé. Attaque par faute, il le dump, et la dans IDA, pas de strings, que dale. Depuis la datasheet, ya un svd qui donne le memory mapping. Avec un peut de tenet/frinet mais toujours rien sur l'usb. Bref gros taff pour fuzzer le firmware et réussir à poncer le device.
How to associative
Histoire de Rump In Rennes créé par deux étudiants, qui décident de créer une asso, chopper des sponsors, etc... et faire une 3ème édition en décembre.
Dedicated onion tunneling for fun and profit
Télécharger 6 To de façon "confidentielle" c'est pas simple, ya TOR mais c'est lent, on peut multiplexer du TOR mais c'est toujours lent. Sinon tu peut mettre 3 tunnels les uns dans les autres avec du wireguard, du socat et hop. Pour éviter la coopération entre les pays tu fais la géopolitique du pauvre pour tes choix de providers VPN.
Une box vulnérable.
La box internet fait une desynchro, les mecs demande si vous êtes chez vous, on veux accéder à votre box mais faut appuyer sur un bouton pour que le SAV puisse se connecter. Du coup l'orateur a voulu se débarasser de sa box, mais c'est pas si simple, faut le mdp fibre, conf les vlan, etc... toujours pas d'internet. Dans l'interface web de la box on peut faire du ping, c'est injectable, on choppe un reverse shell. Bref les box adsl c'est toujours de la merde niveau sécu.