Write-up Myster Mask (FCSC 2022)

Write-up of the Myster Mask side-channel analysis challenge of French Cybersecurity Challenge 2022. Official description Myster Mask a conçu une implémentation qui craint un max ! Vous allez devoir analyser les traces de consommation d’un début d’implémentation de l’AES faite par Myster Mask. Saurez-vous exploiter ces traces pour faire la différence ? La partie à cibler correspond à l’étape d'inversion présente dans le calcul de la boîte S dans le premier tour de l’AES. Seule cette étape est implémentée, il n’est pas necessaire de connaître l’AES puisque ce challenge est spécifiquement centré sur l’étape d’inversion....

Write-up Secure Green Server (FCSC 2022)

Write-up of the Secure Green Server fault injection challenge of French Cybersecurity Challenge 2022. Official description La société MegaSecure mets à disposition un serveur sécurisé permettant de lancer des opérations tout en maîtrisant la consommation énergétique de ce dernier. Le serveur permet d’exécuter des commandes de manière sécurisée. En effet, il repose sur un composant sécurisé afin de vérifier la signature de toute commande reçue avant de l’exécuter. Le code Python équivalent à la signature est le suivant : 1 2 def sign(self, m): return pow(int(sha256(m), 16), self....

Write-up X-Factor (FCSC 2022)

Write-up of the X-Factor challenge of French Cybersecurity Challenge 2022. Official description Un commanditaire vous a demandé de récupérer les données ultra secrètes d’une entreprise concurrente. Vous avez tenté plusieurs approches de recherche de vulnérabilités sur les serveurs exposés qui se sont malheureusement révélées infructueuses : les serveurs de l’entreprise ont l’air solides et bien protégés. L’intrusion physique dans les locaux paraît complexe vu tous les badges d’accès nécessaires et les caméras de surveillance. Une possibilité réside dans l’accès distant qu’ont les employés de l’entreprise à leur portail de travail collaboratif : l’accès à celui-ci se fait via deux facteurs d’authentification, un mot de passe ainsi qu’un token physique à brancher sur l’USB avec reconnaissance biométrique d’empreinte digitale....

Recover OwnCloud calendars

How to recover calendars from a OwnCloud database dump. I had to recover someone’s calendars from an OwnCloud SQL dump. I will detail the steps I went through in this post. Export CalDav calendar from SQL dump To explore a large SQL file, here my_database_dump.sql, it is easier to import it as a new database rather than exploring the text file. Here I am using PostgreSQL but it should also work with MySQL or MariaDB. 1 2 sudo -u postgres createdb owncloud_backup sudo -u postgres psql owncloud_backup < my_database_dump....

Create a WiFiMap using Grafana and Prometheus

This article details how to display Unifi access points metrics on a Grafana Worldmap. I have been working on deploying and setting up a new monitoring stack for Crans network organisation. We switched from Munin and Icinga2 to Prometheus paired with Grafana dashboards. Using Prometheus SNMP1 exporter, this new monitoring stack can collect metrics from all of our Unifi WiFi access point. This article describes a minimal setup that display Unifi metrics onto a Grafana Worldmap panel. What components will be used Unifi Controller: the official controller to provision and monitor Unifi access points, Prometheus: time-series database, Prometheus SNMP exporter: a Prometheus exporter collecting metrics from SNMP, Grafana: a tool to create dashboards to analyse Prometheus metrics....