Conseils, services, ingénierie en informatique. Mise en place de solutions technologiques, et support, pour les entreprises.

Note utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives
 

 

Pentesting par l'équipe de CTF Red Team LGHM, le gang des hackers de Montreuil

 CTF equipe LGHM Le gang des hackers de montreuil     rgpd

L'équipe de CTF Red Team LGHM (Association loi 1901 à but non lucratif LGang des Hackers de Montreuil) 

LGHM est indépendant de Consultingit. 1er client, ou partenariat, joint venture.

 

Lors de ses projets de création de l'application (applications web ou applications mobile smartphones Android iphone IOS) Consultingit intègre maintenant une phase de pentesting (bug bounty comme certains l'appellent). Consultingit fait appel à la célèbre équipe Red Team CTF LGHM, (aussi connue sous le nom de l'association loi 1901 à but non lucratif Le Gang des Hackers de Montreuil), cette "RED TEAM" de hackers éthiques (chapeaux blancs) consultants en cybersécurité: pour sécuriser les applications, trouver les failles et les vulnérabilités du programme, avant que le programme passe en production. Cela évite qu'ensuite des hackers mal intentionnés (les black hats, ou chapeaux noirs) trouvent des failles et les exploitent. 

 Consultingit suite fleche 299

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Naissance de LGHM equipe pentesters

LGHM s'est faite connaitre à l'occasion du CTF organisé par l'école TELECOM PARIS ENST, sur le projet "Ponemongo , pwnez-les tous" .

 pwne les tous

But du jeu: "hacker" la vrai position GPS générée par l'application sur le smartphone. La remplacer par des fausses coordonnées GPS.

1) installer l'application Android "pwnez-les tous" sur smartphone Android, en suivant ce tutoriel installation application Android PonemonGo Pwnez-les-tous

ponemongo la carte

Consultingit suite fleche 299

  

Une question? Posez-la ici

besoin de pentesting de tests d'intrusions?

Clients/partenaires de LGHM equipe pentesters


Partenaires

Merci aux partenaires, mécènes, sponsors, clients qui missionnent nos Certifiés Ethnical Hackers CEH

 




zerodiumowasp


cybereasonwavestone

YogoshaxmcosquadUndernews

 

Nullconadvenssyberarkcyber defense magasineDigital forensic magazine

crowdstrikehacker oneyes we hack

Consultingit suite fleche 299

  

Une question? Posez-la ici

besoin de pentesting de tests d'intrusions?

LGHM le gang des hackers de Montreuil et son 1er client: Orange Bank

gang des hackers de montreuil orange bank montreuil

Attention aux arnaques

Orange Bank, 67 Rue Robespierre, 93100 Montreuil. Le plan se déroulait à merveille, jusqu'à ce que L'URSSAF (Didier MALRIC) refuse de délivrer "l'attestation de vigilance" et a empêché la Red Team LGHM de continuer à travailler (légalement). Une des solutions proposée par l'ESN était d'appeler le 08 92 231 041 Prix de la communication: 2eur99 par appel, et 2eur99 par minute. Au bout de 6 minutes d'attente (21 euros) on a raccroché. La dernière fois que l'on a vu Didier, c'était dans une Red Room du Dark Web en compagnie de notre Far1d-Victor le nettoyeur

Consultingit suite fleche 299

LGHM le gang des hackers de Montreuil et son 2eme client: UBI SOFT Emea 

le gang des hackers de montreuil client ubisoft

Ubisoft EMEA 28 rue Armand Carrel 93100 Montreuil

La particularité de ce client: il ne sait pas qu'il est client :-DDDDD #blackbox #pentesting #socialengineering #exfiltration de données par notre Ninjarchiviste

Consultingit suite fleche 299

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Compétences techniques de la Red Team CTF LGHM (Le Gang des Hackers de Montreuil)

Filtrage réseau: Netfilter/Iptables : expert, (Checkpoint, Palo alto, Fortinet) : formateurs en cyber-sécurité

Filtrage Applicatif (WAF) : Modsecurity: expert, F5 BigIP module ASM : expert, FortiGate IPS: expert.

IDS/IPS: Snort 2.9, Suricata, Bro, Open OSSEC.

Scanner de vulnérabilités et audit de conformité : OWASP ZapNessus, OpenVas, Burp, Acunetix. Analyse de code source (outils open source).

SIEM& NSM : Prelude, OSSIM, Splunk, ELK, NSM( Kibana, Snorby, Sguil, Elsa) 

Audit et Analyse de risques : Sarbanes-Oxley, ISO 27001/2/5, EBIOS 

Authentification : PKI (EJBCA, OpenCA, TinyCA) OpenSSL, IPsec , Kerberos, SAML2, CAS 3.0, FIDO 2.0, OpenLDAP, X509. XCA PKI. OpenPGP Kleopatra 

Machine Learning : Apprentissage supervisé, extraction des caractéristiques, Boosting. 

Téléphonie sur IP: Asterisk, Call Manager. 

Tracking PC: Prise de controle des process computrace , Lojack , explications 

Langages: Python, Scapy, LUA, C, C++, (C#, VB, ASP).NET, PHP, Java, Kotlin, JavaScript , SQL Server, MySQL 

Web: Apache, IIS, Nginx, sécuriser les W.S avec Gida: SOAP/REST, CMS: Joomla , WordPress, Drupal . 

Systèmes d’exploitation: Windows stations & server , Linux LPIC 2+3. SELinux, Kali Linux Metasploit 

ERP/CRM: SAGE X3 open ERP, Sugar CRM.

Outils divers : des fois les outils "Corporate" fonctionnent mal alors on utilise des outils "maison", comme notre Asdecarre dans cette vidéo: "merde, merde, ça merde" : information Gathering; acccheck; ace-voip; Amap; APT2; arp-scan; Automater; bing-ip2hosts; braa; CaseFile; CDPSnarf; cisco-torch; Cookie Cadger; copy-router-config; Mitry; dnmap; dnsenum; dnsmap; DNSRecon; dnstracer; dnswalk; DotDotPwn; enum4linux; enumIAX; EyeWitness; Faraday  Fierce; Firewalk; fragroute; fragrouter; GhostPhisher; GoLismero; goofile; hping3; ident-user-enum; InSpy; InTrace; iSMTP; lbd; Maltego; Teeth; masscan; Metagoofil; Miranda; nbtscan-unixwiz; Nikto; Nmap; ntop; OSRFramework; p0f; Parsero; Recon-ng; SET; SMBMap; smtp-user-enum; snmp-check; SPARTA; sslcaudit; SSLsplit; sslstrip; SSLyze; Sublist3r; THC-IPV6; theHarvester; TLSSLed; twofi; Unicornscan; URLCrazy; Wireshark; WOL-E; Xplico; Vulnerability Analysis ; BBQSQL; BED; cisco-auditing-tool; cisco-global-exploiter; cisco-ocs; cisco-torch; copy-router-config; DBPwAudit; Doona; DotDotPwn; HexorBase; Inguma; jSQL Injection; Lynis; Nmap; ohrwurm; openvas; Oscanner; Powerfuzzer; sfuzz; SidGuesser; SIPArmyKnife; sqlmap; Sqlninja; sqlsus; THC-IPV6; tnscmd10g; unix-privesc-check; Yersinia; Exploitation Tools; Armitage; BackdoorFactory; BeEF; cisco-auditing-tool; cisco-global-exploiter; cisco-ocs; cisco-torch; Commix; crackle; exploitdb; jboss-autopwn; Linux Exploit Suggester; Maltego Teeth; Metasploit Framework; MSFPC; RouterSploit; SET; ShellNoob; sqlmap; THC-IPV6; Yersinia; Wireless Attacks; ; ; Airbase-ng; Aircrack-ng; Airdecap-ng and Airdecloak-ng; Aireplay-ng; Airmon-ng; Airodump-ng; airodump-ng-oui-update; Airolib-ng; Airserv-ng; Airtun-ng; Asleap; Besside-ng; Bluelog; BlueMaho; Bluepot; BlueRanger; Bluesnarfer; Bully; coWPAtty; crackle; eapmd5pass; Easside-ng; Fern Wifi Cracker; FreeRADIUS-WPE; Ghost Phisher; GISKismet; Gqrx; gr-scan; hostapd-wpe; ivstools; kalibrate-rtl; KillerBee; Kismet; makeivs-ng; mdk3; mfcuk; mfoc; mfterm; Multimon-NG; Packetforge-ng; PixieWPS; Pyrit; Reaver; redfang; RTLSDR Scanner; Spooftooph; Tkiptun-ng; Wesside-ng; Wifi Honey; wifiphisher; Wifitap; Wifite; wpaclean; Forensics Tools; Google hacking database; Netcraft; Binwalk; bulk-extractor; Capstone; chntpw; Cuckoo; dc3dd; ddrescue; DFF; diStorm3; Hyperion / shikata_ga_nai  (bypass antivirus) ; Veil evasion framework ; Dumpzilla; Evans Debuggre ; extundelete; Foremost; Galleta; Guymager; iPhone Backup Analyzer; p0f; pdf-parser; pdfid; pdgmail; peepdf; RegRipper; Volatility; Xplico; Web Applications; Base64encode, Base64dfecode; Netcat reverse shell; TCPDump Iptables ; Highon.coffee ; Dirty Cow (<2016); Email enumeration SimplyEmail ; apache-users; Arachni; BBQSQL; BlindElephant; Burp Suite; Putty ; CutyCapt; DAVTest; deblaze; DIRB; SQLmap ; DirBuster; fimap; FunkLoad; Gobuster; Telnet; Recon-ng ; nmap ; Dig ; SMTP enumeration, POP3 enumeration ; SNMP enumaration ; Curl ; Nikto ; Proxychains; uGrabber; uniscan ; Medusa ; Fimap ; Wfuzz ; Staghide ; openVAS ; Nasm ; Mona ; msfvenom ; hURL; Mimikatz Kerberos; thc-pptp-bruter; boss-autopwn; joomscan; jSQL Injection; Absinthe; Maltego Teeth; Nikto; PadBuster; Paros; Parsero; dnscat2 ; plecost; Powerfuzzer; ProxyStrike; Recon-ng; Skipfish; sqlmap; Sqlninja; sqlsus; ua-tester; Uniscan; searchsploit; Vega; w3af; WebScarab; Webshag; WebSlayer; Shellcodes ; Webrick ; curl ; scp ; frogger ; BruteForceWL ; Hydra word lists ; Dictionnaires Rockyou ; John the Ripper ; upx ; wine; Pentestmonkey PHP reverse shell  ; WIndows GPP Groups.xml gpp-decrypt; 

WebSploit; Wfuzz; WhatWeb; WPScan; XSSer; zaproxy; Stress Testing; DHCPig; webshag; CIRT passwords, FunkLoad; iaxflood; Inundator; inviteflood; ipv6-toolkit; mdk3; Reaver; rtpflood; SlowHTTPTest; t50; Termineter; THC-IPV6; THC-SSL-DOS...

Consultingit suite fleche 299

LGHM equipe pentesters en sniffing du réseau, Eavesdropping

 le gang des hackers de montreuil sniffing darkweb laustral1en3

Pendant ce temps, Laustral1en, spécialiste du sniffing du Darkweb avec une paille Wireshark se fait plaisir

Consultingit suite fleche 299

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Tests DDOS

- DDoS…

 

DDOS

  

Consultingit suite fleche 299

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Tests en tous genres :

-SQLi : SQL injection, comme l’expert rabbin des bois

(PUB : on cherche des experts développement requêtes en langage SQL, select * , jointures, inner join, outer join…)

-Information Disclosure (si vous trouvez une faille, surtout ne la divulguez pas gratuitement comme Rabin des bois qui  fait une injection SQL à science PO, ou 0x426c7565 à l’école 42, car vous vous faites licencier, ou bien vous allez en prison. A moins d’avoir un contrat de pentester/bounty hunter/whitebox )

Steam revelation

Steam Valve n’a pas payé le chercheur, le chercheur s’est vengé en rendant publique la faille, des milliers de joueurs piratés :

« The researcher was asked not to disclose the bug but did so anyway”

https://www.zdnet.com/article/steam-vulnerability-reportedly-exposes-windows-gamers-to-system-hijacking/

- Brute Force…

 

- Cookies et Sérialisations…

- RCE & Injection de Commande

- Injection SQL, NoSQL, XPATH, LDAP Active Directory...

-XSS, Reflected, Stored, Dom Based..

- Reversing plugins, Flash, Silverlight, Webassembly…

- Phishing…

- WebEx, Whatsapp, Viber, Skype…

-Wifi, KRACK,ROCA…

-Wordpress, SEO…

- Cryptocurrency Mining Virus, Stuxnet…

-Hardware, IOT, Smartphone ambient light sensor, Ponephone…

Web, Active Directory, Android,

 Consultingit suite fleche 299

 

 

 

 

LGHM penteste les liens dans les newsletters de ses clients:

  

Théâtre du Rond-Point [Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.]

Patrick Robine revient avec son spectacle cultissime, Le Cri de la pomme de terre du Connecticut, mis en scène par Jean-Michel Ribes !

jeu. 26/09/2019 18:26 À cette occasion, nous vous proposons une offre exceptionnelle à moins 50%.

OFFRE VALABLE AVEC LE CODE "ROBINE" en CLIQUANT ICI

 

...

 

jeu. 26/09/2019 19:24 « Oups, un petit bug technique s'était infiltré dans cette news. Tout est réparé. Le code fonctionne!! »

 

 Consultingit suite fleche 299

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Demandez un audit pentest de vos applications, par la Red Team LGHM Le Gang des Hackers de Montreuil

Mais où trouver la Red Team LGHM le Gang des Hackers de Montreuil?

pentesting scripts kiddies gang hackers montreuil 

A coté du local des script-kiddies en Python Ruby , 99 bis rue Marceau, 93100 Montreuil !-DDD

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. 

Consultingit suite fleche 299

 

Des questions?

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.