CVE-2019-15642 – Authenticated RCE on Webmin <= 1.920

CVE-2019-15642 – Authenticated RCE on Webmin <= 1.920

Rpc.cgi After the XXE, we found another bug in Webmin. This time it’s rpc.cgi which is vulnerable. More precisely a call to “unserialise_variable” function is done before than...
Published on: Jul 31 2019
By: Loïc
1 Comment
CVE-2019-15641 – Authenticated XXE on Webmin <= 1.930

CVE-2019-15641 – Authenticated XXE on Webmin <= 1.930

Description From http://www.webmin.com : Webmin is a web-based interface for system administration for Unix. Using any modern web browser, you can setup user accounts, Apache, DNS, file sharing...
Published on: Jul 30 2019
By: Loïc
Leave a Comment
CVE-2019-13031 – XXE on LemonLDAP::NG < 2.0.5

CVE-2019-13031 – XXE on LemonLDAP::NG < 2.0.5

Global presentation As described on https://lemonldap-ng.org/start : LemonLDAP::NG is an open source Web Single Sign On (WebSSO), Access Management and Identity Federation product, written...
Published on: Jul 23 2019
By: Calypt
Leave a Comment
L’audit Red Team

L’audit Red Team

L’origine du terme Red Team Le terme est reconnu pour avoir été développé lors de la Guerre froide par le camp américain pour faire face aux ennemis du bloc soviétique. Le concept est globalement...
Published on: Jun 03 2019
By: Nicola Sevenier
Leave a Comment
GreHack 2015 – Write-up CRYPTO 250 John & Bill

GreHack 2015 – Write-up CRYPTO 250 John & Bill

L’épreuve : Les fichiers de l’épreuve se trouvent sur le site de GreHack. On y trouve 2 clefs publiques, respectivement celles de John et de Bill, ainsi qu’un même message chiffré...
Published on: Nov 26 2015
By: Loïc
Leave a Comment
[Phishing] Vol de mot de passe sur Gmail

[Phishing] Vol de mot de passe sur Gmail

Le vol de mot de passe par phishing est surement la méthode avec le meilleur ratio simplicité / efficacité. Certaines attaques peuvent être relativement évoluées, et il est aisé pour une victime...
Published on: Feb 09 2015
By: Loïc
Leave a Comment
Boston Key Party 2014 – Write-up Mind your P’s and Q’s! CRYPTO 100

Boston Key Party 2014 – Write-up Mind your P’s and Q’s! CRYPTO 100

Fichiers de l’épreuve (fournis par Boston Key Party) : challenge-cd6d19866c42e274cd09604adaf4077b.tar Description : « The flag has been split into several files, and encrypted under RSA-OAEP....
Published on: Mar 04 2014
By: Loïc
Leave a Comment
Dissection d’une attaque par Phishing #1

Dissection d’une attaque par Phishing #1

Le jeudi 16 janvier 2014, Calypt a été avertie d’un email de phishing diffusé le jour même. Après avoir avertis les différents acteurs, nous vous proposons une rapide analyse de cette attaque.     Le...
Published on: Jan 22 2014
By: Loïc
2 Comments
GreHack 2013 – Write-up CRYPTO 500 Wiener

GreHack 2013 – Write-up CRYPTO 500 Wiener

  Dans ce write-up du challenge Crypto 500 – Wiener de GreHack, nous utilisons Sage et OpenSSL. Il est possible d’utiliser ses propres outils comme Pari/GP mais si vous n’avez pas...
Published on: Nov 28 2013
By: Loïc
Leave a Comment
Grehack 2013 résumé – partie #1

Grehack 2013 résumé – partie #1

Le 15 novembre se déroulait la seconde édition de la Grehack, conférence en sécurité prenant place à Grenoble, au cœur des Alpes. Calypt était sur place au milieu de 250 participants pour une...
Published on: Nov 28 2013
By: Valentin
Leave a Comment