Après avoir beaucoup aimé le challenge #Darknet proposé par @Vulnhub (http://jessgallante.blogspot.fr/2015/06/mon-tout-premier-challenge-ever.html) et de nombreuses discussions à ce sujet, je me suis laissée convaincre de réitérer l'aventure sur un nouveau type de challenges (merci John et merci @Philoupas pour l'idée des wargames OverTheWire :-p).
OverTheWire
Le premier des wargames proposés par OverTheWire à l'attention des débutantes et débutants est le wargame Bandit : "The Bandit wargame is aimed at absolute beginners. It will teach the basics needed to be able to play other wargames".
Parfait ! Ce wargame est composé de 27 niveaux, peut se dérouler à priori sans limite de temps (?) et chaque niveau donne les informations nécessaires pour le passage au niveau supérieur.
Parfait ! Ce wargame est composé de 27 niveaux, peut se dérouler à priori sans limite de temps (?) et chaque niveau donne les informations nécessaires pour le passage au niveau supérieur.
Mon après-midi avec un Bandit
Installée sur le front de mer avec ma carafe de thé glacé et ma playlist de Alicia Keys, je suis prête..
Le niveau 0 m'indique que je dois me connecter en SSH sur "bandit.labs.overthewire.org" avec un login et un mot de passe tous deux fournis par OverTheWire. Et une explication sur le site m'est fournie pour passer du niveau 0 au niveau 1..
Le niveau 0 m'indique que je dois me connecter en SSH sur "bandit.labs.overthewire.org" avec un login et un mot de passe tous deux fournis par OverTheWire. Et une explication sur le site m'est fournie pour passer du niveau 0 au niveau 1..
Silence.. on tourne..
Après un petit moment à enchainer les niveaux (https://twitter.com/JessicaGallante/status/610049421519290368), je me rend tout à fait compte de l'aspect didactique autant que ludique du challenge proposé. Les commandes suggérées pour passer d'un niveau à un autre me permettent d'apprendre des subtilités sympathiques et des pièges dans lesquels éviter de tomber et je ne reste pas longtemps coincée sur chaque niveau.
Après un petit moment à enchainer les niveaux (https://twitter.com/JessicaGallante/status/610049421519290368), je me rend tout à fait compte de l'aspect didactique autant que ludique du challenge proposé. Les commandes suggérées pour passer d'un niveau à un autre me permettent d'apprendre des subtilités sympathiques et des pièges dans lesquels éviter de tomber et je ne reste pas longtemps coincée sur chaque niveau.
Il m'aura finalement fallu une petite heure pour finir ce challenge et voir ce bandit s'éloigner sans regret :-)
Mes niveaux préférés (sans spoiler)
Mes niveaux préférés ont été les deux derniers niveau 24 et 25 pour deux raisons totalement distinctes.
Le niveau 24 n'est pas spécialement compliqué mais nécessite d'attendre que l'exploration par force brute fournisse le résultat attendu et hors l'idée de paralléliser les recherches (à priori en même temps qu'un autre joueur au vu des connexions :-p) il faut bien attendre que le service distant nous donne le fameux sésame..
Ceci est un vrai aperçu du temps qu'il faut parfois à une hypothèse pour se concrétiser (ou non).
I am the pincode checker for user bandit25. Please enter the password for user bandit24 and the secret pincode on a single line, separated by a space.
Le niveau 25 m'a semblé facile mais je connaissais ce type de vulnérabilité pour l'avoir vu exploitée lors d'un test d'intrusion (sur la commande "less") et je ne pense pas que j'aurais été capable de trouver la solution sans cette expérience passée.
Conclusion
Ce challenge Bandit est extrêmement ludique et didactique. Le niveau de complexité m'a semblé progressif et les indices fournis par OverTheWire tout comme les pages de manuel des commandes permettent de se documenter pour chacun des niveaux : je le recommande donc à toutes les débutantes et débutants si vous voulez passer un petit moment à vous creuser la tête :-)
Note : Si vous décidez de faire ce challenge, pensez à bien noter le mot de passe du dernier niveau que vous avez réussi à passer si vous décidez de vous interrompre pour éviter d'avoir à tout recommencer :)
Jess - @JessicaGallante
Aucun commentaire:
Enregistrer un commentaire
Votre avis ?