d

WE ARE WISE ACADEMEX

Let’s Work Together

contact@wiseacademex.com

4 rue de berne, Résidence Tilila, 7éme étage, N°14

TESTS D’INTRUSION 1

  • 2 Jours

A PROPOS

s'inscrire

OBJECTIF

Préparer un test d’intrusion réussi
Maîtriser toutes les phases d’un test d’intrusion (de la découverte à la post exploitation
Découvrir facilement et rapidement le réseau cible

  • Exploiter en toute sécurité les vulnérabilités identifiées
  • Élever ses privilèges pour piller les ressources critiques
  • Rebondir sur le réseau compromis

Comprendre les vulnérabilités exposées par les réseaux externes et internes
Utiliser efficacement la trousse à outils du pentester.

illustration1

pré-requis

illustration2
  • Des notions en IT et/ou SSI. Des notions d’utilisation d’une distribution Linux est un plus.

Qui Devrait Suivre cette formation

Consultants SSI, RSSI, Architectes.

illustration3

PROGRAMME

INTRODUCTION AUX TESTS D’INTRUSION

  • Équipement et outils
  • Organisation de l’audit
  • Méthodologie des tests d’intrusion
  • estion des informations et des notes
  • Exemple de bon rapport d’audit
  • Les meilleurs pratiques : PASSI

RAPPELS ET BASES

  • Les shells Unix *sh
  • Les shells Windows cmd & powershell
  • Rappels sur les réseaux tcp/ip
  • Rappels du protocole HTTP
  • Introduction à Metasploit
    – Exploits et Payloadso
    – Fonctionnalités utiles
    – Base de données
    – Modulles
    – Customisation
  • ises en pratique

DECOUVERTE D’INFORMATION

  • Reconnaissance de la cible
    – Open Source Intelligence
  • Découverte passive du SI
    – Écoute réseau
  • Scans réseau
    – Cartographie du réseau
    – Découverte de services
    – Identification des Systèmes d’exploitation
  • Scanners de vulnérabilités
    – Scanner Open Source Openvas
  • Mises en pratique

MOTS DE PASSE

  • Attaques en ligne
    – Brute force en ligne
    – Outils Open Source
  • Attaques hors ligne
    – Analyse d’empreintes
    – Méthodologies de cassage
    – Les Raibow Tables
  • Outils Open Source
  • Mises en pratique

EXPLOITATION

  • Identification des vulnérabilités
    – Contexte des vulnérabilités
    – Étude de divers types de vulnérabilités
  • Méthodologie d’exploitation
    – Identifier le bon exploit ou le bon outil
    – Éviter les problèmes
    – Configurer son exploit
  • Exploitations à distance
  • Exploitations des clients
  • Mises en pratique

POST-EXPLOITATION

  • Le shell Meterpreter et ses addons
  • Élévation de privilèges
  • Fiabiliser l’accès
  • Pillage
    – Vol de données
    – Vol d’identifiants
  • Rebond
    – Pivoter sur le réseau
    – Découvrir et exploiter de nouvelles cibles
  • Mises en pratique

INTRUSION WEB

  • Méthodologie d’intrusion WEB
  • Utilisation d’un proxy WEB
    – Proxy Open Source ZAP
  • Usurpation de privilèges
    – CSRF
  • Les injections de code
    – Côté client : XSS
    – Côté serveur : SQL
  • Compromission des bases de données
  • Autres types d’injections
  • Les inclusions de fichiers
    – Locales
    – A distance
  • Les webshells
    – Précautions d’emploi
  • Mises en pratique

INTRUSION WINDOWS

  • Méthodologie d’intrusion Windows
  • Découverte d’informations
    – Identification de vulnérabilités
    – Techniques de vols d’identifiants
  • Réutilisation des empreintes
    – Technique de “Pass The Hash”
  • Élévation de privilèges
    – Locaux
    – Sur le domaine : BloodHound
  • Échapper aux anti-virus
    – Techniques diverses
    – Outil Open Source Veil
  • utillage powershell
    – Framework Open Source PowerShell Empire
  • Mises en pratique

INTRUSION UNIX/LINUX

  • Méthodologie d’intrusion Linux
    – Rappels sur la sécurité Unix
  • écouverte d’informations
    – Identifications de vulnérabilités
  • Élévation de privilèges
    – Abus de privilèges
    – Exploitation de vulnérabilités complexes
  • Mises en pratique
s'inscrire
Open chat