Trouver des failles sur des machines et savoir les exploiter.
Lors de ce projet, nous avions à disposition 5 machines virtuelles (VM) de chez TCM Security et notre but était d'obtenir la main sur ces machines au plus haut niveau possible, soit "root" sous Linux et "admin" voire "SYSTEM32" sous Windows. Pour cela, nous avons utilisé Kali Linux et ses outils ainsi qu'Internet pour trouver et exploiter les failles de ces machines.
Lors de ce projet, nous avons appris les différents types d'attaques possibles, trouver des failles grâce à des outils (Metasploit), faire des scans de réseaux, de ports (NMAP) ou de sites web (DirBuster), réaliser des attaques (BurpSuite), ou encore monter en privilège (LinPEAS ou WinPEAS). Tout cela nous a également permis de connaître les bonnes pratiques et recommandations de cybersécurité à adopter.
Nous avons eu peu de difficultés lors de ce projet. Ce qui nous a le plus bloqué était d'appliquer la méthodologie du pentesting et de ne pas griller les étapes : scanner, rechercher et attaquer, service par service. Il faut aussi regarder certains services en priorités car ils peuvent être plus vulnérables que d'autres. L'utilisation de certains outils et apprendre leur fonctionnement a aussi été un frein dans certains moments.
L'axe le plus important serait d'affiner les recherches de failles, éviter de "se jeter à l'eau" sans approfondir certaines pistes ou au contraire réduire les possibilités avant d'attaquer.
