Challenge : attaque de mots de passe⚓︎
Membre d’une équipe de cybersécurité, vous avez été choisi par une entreprise pour repérer les éventuelles failles de sécurité de son réseau intranet.
Après avoir mené différentes investigations, vous avez remarqué les points suivants :
- il existe trois types de session sur les ordinateurs de l'entrepise pour accéder à l'intranet : invité, utilisateur et administrateur ;
- lorsque l'on choisi la session invité ou utilisateur, la connexion se fait automatiquement à l'aide d'un mot de passe inconnu prérempli et la personne doit ensuite saisir un mot de passe personnel ;
- en revanche, la session administrateur n'a pas de mot de passe prérempli et on accède directement à son interface une fois celui-ci saisi et validé.
Après plusieurs attaques ciblées sur le réseau de cette entreprise, vous avez réussi à récupérer l’archive confidentielle suivante sur la gestion de l’intranet : gestion_intranet_confidentiel.zip
Votre objectif
Obtenir le mot de passe de l'administrateur.
Le flag est le SHA-256 de ce mot de passe.
Indice
Il existe de nombreux outils pour craquer des mots de passe. N'hésitez pas à aller consulter notre fichier texte Secret accessible depuis l'URL... Par ailleurs, connaissez vous la bibliothèque zipfile de Python ?
Félicitations !⚓︎
A retenir
Attention à la gestion de vos mots de passe :
- choisissez des mots de passe robustes ;
- ne choisissez pas des mots de passe trop proches pour la gestion d'applications sensibles ;
- ne laissez pas traîner des informations sensibles sans les protéger avec des mots de passe efficaces.
Pour plus d'informations, n'hésitez pas à consulter cette page.