Ghosts In The Stack est un site qui regroupe des documents (articles, programmes, etc) écrits par Trance et Heurs, ayant pour sujets principaux la sécurité informatique et le white hat hacking.
Les sujets traités sont vastes : étude des failles applicatives, des failles des sites web, de la création des shellcodes, des vulnérabilités réseaux, etc. Nous rédigeons des articles et concevons des programmes dans le but de faire grandir la base de connaissances que constitue ce site. Et nous souhaitons la partager avec vous. Nous vous encourageons à donner votre avis sur nos productions. Cela nous permettra d'obtenir un retour, et d'améliorer nos travaux.
Tous les documents présentés sur ce site sont libres, sous licence Creative Commons by-nc-sa 2.0.
Pour plus d'informations nous vous invitons à lire la page de présentation.
Postée le 25/01/2010 par Trance
Le week-end dernier s'est déroulé Insonmi'hack, un challenge de hack suisse. J'y étais pour représenter la team HZV avec Crashfr, Virtualabs et Fluxius. Et la bonne nouvelle, c'est qu'on a gagné !
Le challenge était bien sympa et assez varié (aussi bien du web que de la crypto et de l'appli), même s'il manquait quelque peu de réalisme. En tout cas nous avons passé un super moment. Voici un résumé de la soirée avec quelques photos.
Postée le 31/12/2009 par Heurs
Ce matin au boulot crashfr me dépose sur le bureau un joli mag que j'attendais avec impatience, MISC. En effet, il y a peu de temps j'ai écrit un article pour eux en partenariat avec Christophe DEVINE. J'ai principalement rédigé la première partie (recherche de vuln + exploitation), Christophe a lui fait un retour sur l'IAWACS et présente les limites des anti-virus. N'hésitez pas à nous faire des retours sur vos impressions, les prochains éventuels articles n'en seront que meilleurs :-P
Nous espérons que vous prendrez autant de plaisir à lire cet article que nous en avons pris à l'écrire ! Au passage, Joyeux noel et bonne année ;-)
Postée le 21/12/2009 par Heurs
Bien le bonjour à tous (ou bonsoir pour les nocto-surfeurs) !
Depuis quelques jours / semaines on taf sur un moyen de bypasser le SEHOP avec virtualabs et on a trouvé quelque chose d'à peu près convenable. Le SEHOP est une nouvelle sécurité introduite dans Windows vista (SP1), 2008 et 7. Cette protection permet de rendre les exploitations de type SEH impossible à exploiter (en théorie). Vous trouverez dans le PDF suivant nos tests et implémentations pour bypasser cette sécurité (sous certaines conditions bien entendu).
Bonne lecture !
Postée le 17/11/2009 par Heurs
On continue sur les gentilles vulnérabilités avec kaspersky (un BSOD). Cette fois je pense qu'il est possible de l'élever en privilege escalation, mais j'ai pas trop pris le temps de creuser la chose jusqu'au bout (ca m'a quand même pris 2 jours d'exploitation). Aujourd'hui l'exploit est détecté comme un "trojan" de type "killav" par l'anti virus... vive les descriptions explicites !
Je vous invites à essayer de plus pousser le sploit (pour une version plus aboutie me contacter par mail).
Publication : http://sysdream.com/article.php?story_id=323§ion_id=78
Postée le 12/10/2009 par Heurs
Bon c'est une gentille vulnérabilité trouvée en kernel puisqu'elle ne permet qu'un simple BSOD :-(
Mais l'exploitation a été assez tendue parce que GMER obfusque ses IOCLT code, donc RE à gogo et KABOOM ! Bref c'est sympa comme tout, dommage qu'on ne puisse modifier qu'une adresse source :'(
GMER est un outil de détection de malware en noyau et ce sans signature. Il fait des analyses sur les différents opcodes, pointeurs, chainages de drivers, etc... ainsi que des vérifications sur les structures et fonctions pour déterminer si un rootkit est présent ou non. Un super tool à avoir quoi !!!
Publication : http://www.sysdream.com/article.php?story_id=293§ion_id=78
