Auditer son serveur apache avec Nikto sous Kali Linux

kali linux

Nikto est un outil pré-installé dans Kali Linux, elle permet de faire un audit rapide de son serveur Web. Dans ce billet je vais travailler sur un serveur WEB local hébergé dans une machine virtuelle sous Vmware. Dans le billet je vais auditer une configuration Apache2 classique.

Continuer la lecture de Auditer son serveur apache avec Nikto sous Kali Linux

Diagnostiquer vos failles SQL avec SQLMAP

kali linux

Les failles dites SQL sont également « injections SQL » permettent à un attaquant d’avoir accès aux informations stockés dans votre base de donnés.
L’attaque se déroule comme pour une faille dite XSS en jouant sur les syntaxes envoyés. Si le webmaster n’a pas correctement rédigé et sécurisé sont code certain indice laisse penser à une faille SQL. Tout comme pour les failles XSS il existe beaucoup de possibilités d’exploitation aussi l’outil SQLMAP permet de scanner de manière complète une URL afin de découvrir des failles SQL potentielles.

Continuer la lecture de Diagnostiquer vos failles SQL avec SQLMAP

Diagnostiquer vos failles XSS avec XSSER

kali linux

Dans ce billet je vais présenter le paquet XSSER sous Kali Linux qui permet de diagnostiquer si certain de vos sites peuvent être victime de failles XSS. Les failles XSS sont décrite comme des vulnérabilités permettant à l’attaquant d’injecté du code et ainsi permettre des actions non désiré pour un visiteur. On peut ainsi citer le vol de cookies, la redirection vers une page de phising ou autres …

Les failles XSS sont généralement présente dans les variables passés en URL.

EX :

http://www.lesitevulnerable.ledomain/index.php?recherche=larecherchedunutilisateur

devient

http://www.lesitevulnerable.ledomain/index.php?recherche=<h1>affichage de texte</h1>

Pour cette exemple je me suis contenté d’inscrire brutalement des balises HTML afin de faire comprendre l’idée. On peut cependant faire passer sous plusieurs formes des arguments. XSSER permet de tester toutes (ou presque) les combinaisons possibles de failles XSS.

Ainsi on va lancer l’interface graphique de l’outil via, xsser — gtk.

0 lancement xsser

Continuer la lecture de Diagnostiquer vos failles XSS avec XSSER

Ajouter des Scripts à l’ouverture de Session Windows 7 dans un domaine 2k8

rp_Windows-Server-20081-300x2241.jpg

Dans ce billet je détail une procédure simple afin de permettre l’exécution de script .cmd à l’ouverture et fermeture de session dans un domaine Windows server 2008 Standard. Les clients sont pour leur part en windows 7.

Commencez par vous ouvrir le gestionnaire de stratégies de groupes. Sur l’Unité d’organisation de votre choix faite un clique-droit puis « créer un objet GPO dans ce domaine, et le lier ici« .

0 nouvelle gpo dans gestion de stratégie de groupe

Lorsque la nouvelle GPO est disponible n’oubliez pas de l’activer via « Clique droit, Appliqué », puis de modifier le filtrage de sécurité. ( En l’occurence la cible sur laquelle vous souhaitez appliquer la GPO) dans mon exemple ce sera le groupe « comptabilité » ou sont regrouper tout les collaborateurs du service comptabilité.

Continuer la lecture de Ajouter des Scripts à l’ouverture de Session Windows 7 dans un domaine 2k8

Installation de l’application WEB GLPI sur Debian

0 logo glpi

Dans ce billet je détail une procédure simple afin d’installer GLPI sur un serveur Web Apache. La procédure se déroule dans un environnement Linux Debian. Je pars du principe que la machine possède un serveur WEB/SQL en local. (127.0.0.1)

Pour débuter je vais faire une présentation rapide de GLPI. Lr projet a été lancé en 2003 par une communauté. On le désigne comme une application web permettant dé gérer un parc informatique ainsi que les services associés. Il est distribué sous licence GPL et donc gratuit.

Vérifiez que PHP et MYSQL sont bien installé et à jour :

aptitude install php5-mysql

Continuer la lecture de Installation de l’application WEB GLPI sur Debian

Installation et Configuration IPcop sur VMware Workstation

vmware logo

Dans billet je vais présenter une procédure simple afin d’installer de configurer ipcop sous vmware workstation. IPCOP est une distribution très légère (environ 70mo) qui ne demande pas une très grosse configuration. Je me contente donc de 256 de RAM avec un disque dur de 1Go. Le réseau sera simple avec un zone dite GREEN, ORANGE (DMZ), RED.

Lors de la création de la machine virtuelle pensez à séléctionner « Custom » comme type d’installation. Je vais détailler rapidement chaque élément de l’installation custom.

Continuer la lecture de Installation et Configuration IPcop sur VMware Workstation

Installer VmWare Tools dans une machine virtuelle

kali linux

Dans un précédent billet je détaillais le procédure d’installation des additions invités sous VirtualBox. Dans ce billet je vais présenter une solution simple pour installer rapidement les outils VmWare dans une machine virtuelle Kali Linux (Linux kali 3.14-kali1-686-pae #1 SMP Debian 3.14.5-1kali1 (2014-06-07) i686 GNU/Linux)

Pour déterminer la version de votre systeme, insérez uname -r dans votre invité de commandes.

Les outils VmWare permettent d’avoir accès à un grand nombre d’options supplémentaires comme le partage de dossier entre le système Host et la machine virtuelle, les outils permettent également d’avoir un presse papier commun entre la machine hôte et la machine virtuelle.( Copier coller entre la machine virtuelle et la machine hôte) Les outils améliore également la gestion de la mémoire, les performances réseau et la gestion des protocoles de communication entre l’hôte et les invités.

Continuer la lecture de Installer VmWare Tools dans une machine virtuelle

La recherche d’adresses e-mail et de noms d’utilisateurs avec TheHarvester

theharvester menu laintimes

TheHarvester permet de rechercher des noms d’utilisateurs ou des adresses mails provenant de différentes sources publiques comme les moteurs de recherches. On peut également retourner les domaines qui pointe vers le votre dans le virtualhost.

Le test s’effectu sur une machine tournant avec Kali Linux 3.14.(3.14-kali1-amd64)
Dans ce billet je vais présenter la collecte d’adresses e-mail et de noms d’utilisateurs sur mon domaine laintimes.com avec le moteur de recherche Google ainsi que la liste des domaines présent sur l’host virtuel de votre domaine. Vous pouvez également ne pas spécifier de moteur en le remplaçant par « all ».

Continuer la lecture de La recherche d’adresses e-mail et de noms d’utilisateurs avec TheHarvester

La collecte de Meta donnés avec Metagoofil

metagoofil laintimes

Metagoofil est un outil permettant la collecte de meta donnés, on entend par la les informations potentiellement compromettantes contenue dans vos documents. Ce billet n’a pas pour objectif de promouvoir le piratage. Il est utile de pratiquer ce genre de tests sur vos domaines afin de vous assurer que les failles « rependues » soient détectées et fixées rapidement !

Dans ce billet je vais détailler la commande d’exemple permettant un diagnostic rapide, le test s’effectu sur une machine tournant avec Kali Linux 3.14.(3.14-kali1-amd64)

Continuer la lecture de La collecte de Meta donnés avec Metagoofil