Accueil » Créer son laboratoire de Hacking

CRÉER SON LABORATOIRE DE HACKING :

 

Pour découvrir la cybersécurité et pratiquer le hacking, vous devrez toujours utilisez les outils sans violer la loi ni attaquer des cibles interdites.

Pour l'exploitation web :

 

Vous devrez vous entraîner sur des plateformes comme Pentesterlab ou des sites web dédiés aux exercices comme Google Gruyère, ils sont gratuits ou payants et spécialement conçus pour que vous puissiez totalement vous lâcher et vous entraîner sans risque. Vous pourrez même détourner les systèmes en créant vous même vos scripts malveillants, les possibilités sont infinies, vous allez voir.

 

Vous n'aurez besoin que d'une connexion internet et un navigateur quelque soit votre système d'exploitation (voir chapitre exploitation web), même si vous n'avez qu'un smartphone vous pouvez déjà travailler.

 

il est par exemple possible de  lire le code source d'une page web et d'en trouver les failles sur des plateformes de hacking comme Root-me (vidéo ci-dessous):

 

 

Pour le Pentest à partir de la collecte d'information active, vous avez trois possibilités :

 

  • Vous vous entraînez seul, pour cela vous disposez d'au moins 2 machines, celle de l'attaquant et celle de la victime, vous pouvez même déployer plusieurs victimes. Dans ce cas vous devrez vous familiariser avec Linux.

 

  • Vous allez sur des plateformes gratuites comme Root-me mais vous devez avoir votre propre système linux spécialisé dans le hacking comme Kali et Parrot si vous êtes débutant mais n'oubliez pas que nous pouvons absolument tout faire à partier de n'importe quel système d'exploitation.

 

  • Vous allez sur des plateformes dédiées au pentesting comme Hackthebox, Pentesteracademy, etc...Dans ce cas n'importe quel système d'exploitation fera l'affaire car ils sont maintenant pourvus de "pwnbox" qui sont des systèmes d'exploitation Kali Linux (dans Hackthebox) ou Parrot OS (dans Pentesteracademy) auquel vous avez accès directement sur le site.

Dans les deux derniers cas vous devrez maîtriser un peu plus Linux mais de bonnes bases suffisent pour les exercices de débutants.

 

Le célébre STÖK connu pour être un professionnel des BugBounty explique le fonctionnement de la pwnbox

 

 

Les versions gratuites , elles, impliquent que vous ayez un système Linux opérationnel et que vous utilisiez un protocole SSH qui créera un tunnel sécurisé entre la plateforme et vous. C'est ce que vous utiliserez souvent dans Hackthebox Academy et dans Tryhackme

Pour travailler seul :

 

Le seul point crucial réside dans l'isolation du réseau. Pour cela rien de plus simple, déconnecter votre ordinateur d'internet, désactiver le wifi ou débrancher purement et simplement votre câble réseau. Vous ne devez prendre aucun risque de scanner une adresse ip en dehors de votre réseau car c'est interdit.

 

Un test d'intrusion est un processus destructif, un grand nombre d'outils utilisés peuvent faire dysfonctionner les systèmes attaqués. C'est pour cela que nous allons utiliser des machines virtuelles grâce à Virtual Box et VMWare et pour les utilisateurs de Windows 10 le Soussystème Windows pour Linux (WSL), pour les plus érudits, la meilleur solution consiste à utiliser Proxmox et à virtualiser n'importe quel système avec des vulnérabilités multiples mais cette solution demande une très bonne maîtrise de l'informatique. il existe de très nombreux tutos sur la question, vous verrez en fonction de l'utilisation d'un PC ou d'un Mac que certains systèmes virtuels fonctionnent plus ou moins bien surtout avec des problèmes de reconnaissance de matériel comme le clavier ou encore l'écran sur certain pc.

 

Il est indispensable pour vous entraîner de savoir déployer au moins 3 machines :

 

  • Kali Linux ou Parrot OS : qui servira de machine d'attaque.

 

  • Metasploit : machine linux volontairement non securisée comme cible.

 

  • Windows : comme machine cible mais qu'il faudra configurer pour rendre perméable.

Partir sur de bonnes bases :

 

Que ce soit sous Windows, Mac OS ou Linux, vous devez connaître quelques "trucs" avant de démarrer, nous vous conseillons Hackthebox Academy avec la première section "Linux Fundamentals", les fondamentaux Linux :

 

Vous apprendrez :

  • La structure Linux
  • Utiliser un Shell (terminal)
  • Vous promener dans le système
  • L'administration Linux
  • La gestion des permissions

 

Hackthebox fonctionne par récompense, vous gagner des boîtes à chaque bonne réponse qui vous permettent de débloquer des niveaux plus difficiles, l'apprentissage est très progressif mais il est en anglais.

 

 

Se Familiariser avec le Terminal

 

Que ce soit avec Windows, Mac OS, Android, IOS ou bien Linux, la première chose à faire est de se familiariser avec l'interface en ligne de commande.

 

une interface homme-machine dans laquelle la communication entre l'utilisateur et l'ordinateur s'effectue en mode texte :

 

  • l'utilisateur tape une ligne de commande, c'est-à-dire du texte au clavier pour demander à l'ordinateur d'effectuer une opération.

 

  • l'ordinateur affiche du texte correspondant au résultat de l'exécution des commandes tapées ou à des questions qu'un logiciel pose à l'utilisateur.

 

Une interface en ligne de commandes peut servir aussi bien pour lancer l'exécution de divers logiciels au moyen d'un interpréteur de commandes, que pour les dialogues avec l'utilisateur de ces logiciels. C'est l'interaction fondamentale entre un homme et un ordinateur (ou tout autre équipement informatique).

 

En gros, on supprime l'interface graphique, le fond d'écran, les icônes, la barre des tâches, etc...et on a plus qu'un écran noir.

 

Certains vont se dire : il est pas bien lui, pourquoi j'irais m'embêter avec un écran noir à taper des mots que je comprends à peine alors que je gère bien mon interface graphique?

 

Se familiariser avec le terminal c'est :

 

  • Comprendre le fonctionnement intime de mon ordi
  • Être beaucoup plus rapide dans mes actions
  • Faire du codage informatique
  • Comprendre le hacking
  • Avoir la classe... ; )

 

On peut même utiliser le terminal à partir de son smartphone, voir cette vidéo sur la chaîne YouTube Padawan Hacker :

 

Ici l'application utilisée est a-Shell disponible gratuitement pour IOS

et en plus elle a été crée par un Français Nicolas Holzschuch de Grenoble

 

 

Dans Windows

 

Dans Windows vous avez l'invite de commande ou CMD, anciennement cela correspond à l'ancien MS DOS que les plus vieux d'entre nous ont connus.

 

Voir la vidéo de Camille qui en explique les bases

 

 

Connaître le cmd de Windows rend celui-ci bien plus intéressant, vous pouvez converser avec votre machine directement sans interface graphique. Vous devez savoir vous balader dans le système de fichier de Windows pour l'exploitation de cibles.

 

Si vous faites de petits scripts sous python vous pouvez utiliser votre système Windows aussi bien qu'avec Kali ou Parrot, le scan de port peut se faire avec Zenmap sur Windows, toute la partie reconnaissance peut se faire sous windows (voir chapitre sur le dark python) même active donc ne vous précipitez pas sur les systèmes Linux si vous ne les maîtrisez pas encore.

 

Configurer votre laboratoire de hacking sur Windows 10

 

Allez voir sur https://docs.microsoft.com/fr-fr/windows/dev-environment/overview

Ce guide vous permet de commencer à installer et configurer les langages et les outils dont vous avez besoin pour développer avec Windows ou le Sous-système Windows pour Linux. Il se trouve dans Microsoft Docs.

 

Je dois vous avouer que ce qu'est entrain de faire Windows m'a réconcilié avec ce système d'exploitation. Avec une bonne utilisation du cmd et du WSL (Windows Subsystem for Linux), vous avez là un laboratoire de hacking idéal. Vous pouvez même utiliser Kali et l’exécuter en quelques secondes sans ralentir votre pc. Il est bien plus difficile d'obtenir un exécutable stable avec Virtualbox ou VMware. Cela fait plusieurs mois que mon fils utilise kali sur Windows sur son PC portable et il ne plante jamais.

 

Donc si vous êtes sur Win10, un conseil, gardez juste Microsoft office si vous y êtes habitué et faites tout le reste sur WSL, il y a même Ubuntu (mon préféré) dessus. Vous pourrez faire tout le reste sur des logiciels opensource.

 

La documentation sur le site est très bien faite alors n'hésitez pas lancez vous

 

 

 

Voici comment se présente la partie environnement de développement :

 

Installer Kali Linux sur Windows 10, un jeu d'enfant !

 

Tout dabord rendez vous sur https://docs.microsoft.com/fr-fr/windows/wsl/install-win10 à l'étape 1 : 

activer le sous-système Windows pour Linux.

 

Pour ouvrir le PowerShell de windows en tant qu'administrateur, le plus simple est de taper dans la barre de recherche de windows powershell et de choisir l'option " en tant qu'administrateur, attention windows vous demandera confirmation et pour cause ici vous marchez sur des oeufs il ne faut pas taper n'importe quoi cela équivaut au mode root sous Linux.

 

Pour résumer, PowerShell peut être utilisé de la même manière que l’invite de commande, avec une connaissance suffisante des commandes standard. Cependant, il permet également d’accéder à des fonctions internes Windows plus approfondies, telles que le registre et Windows Management Instrumentation (WMI)

 

Ensuite copier la commande sur la documentation microsoft et collez là dans le PowerShell

 

 

Attendez que l'opération se termine

 

 

Puis redémarrez votre ordinateur et rendes vous directement à l'étape 6 : installer la distribution Linux de votre choix.

 

 

La première fois que vous lancez une distribution Linux nouvellement installée, une fenêtre de console s’ouvre et vous êtes invité à attendre une minute ou deux pour que les fichiers soient décompressés et stockés sur votre PC. Tous les lancements ultérieurs doivent prendre moins d’une seconde.

Vous devez ensuite créer un compte d’utilisateur et un mot de passe pour votre nouvelle distribution Linux.

 

 

Dernière étape il faut installer le terminal windows, oui vous avez bien lu, windows possède maintenant un terminal qui  permet d’activer plusieurs onglets (basculement rapide d’une ligne de commande Linux à l’autre, invite de commandes Windows, PowerShell, Azure CLI, etc.), de créer des combinaisons de touches personnalisées (touches de raccourci pour ouvrir ou fermer les onglets, Copier + Coller, etc.), d’utiliser la fonctionnalité de recherche et de configurer des thèmes personnalisés (modèles de couleurs, styles et tailles de police, image d’arrière-plan/flou/transparence)

 

Vous pouvez l'installer à partir de Microsoft Store il démarre avec PowerShell comme profil par défaut dans l’onglet Ouvrir ou avec le raccourci clavier Ctrl + Maj + t

 

 

Windows qui se transforme en laboratoire de hacking...on croit rêver.