Nom : …………………………………

Prénom :………………………………

2018/2019 Examen du module Introduction à la sécurité M1 SSI

Vous disposez d’un serveur proxy sur votre réseau d’entreprise qui met en cache et filtre les

accès web. Il a fermé tous les ports et services jugés non nécessaires. De plus il a installé un

parfeu qui ne permet pas aux utilisateurs de se connecter aux ports sortants. Vous constatez

qu’un utilisateur du réseau a réussi à se connecter à un serveur distant sur le port 80 en utilisant

netcat. Cet utilisateur pourrait déposer un shell à partir de la machine distante. Conscient du fait

qu’un attaquant veut pénétrer votre réseau d’entreprise laquelle des options serait-il susceptible

de choisir ?

Utiliser un VPN fermé ;

Utiliser un monkey shell ;

Utiliser un reverse shell via le protocole ftp ;

Utiliser un tunnel http ou un Stunnel sur les ports 80 et 443.

Mweswes souhaite installer une nouvelle application sur son serveur Windows 2012. Ayant

downloader l’application à partir d’un site pirate, il veut s’assurer que l’application ne

5contient pas de cheval de troie. Que doit-il faire ?

………………………………………………………………………………………………

………………………………………………………………………………………………

………………………………………………………………………………………………

………………………………………………………………………………………………

Votre responsable, Said kheloui, tente de modifier les paramètres d'une application Web

afin de modifier les instructions SQL analysées pour extraire des données de la base de

données. Comment appellerais-tu une telle attaque

Attaque des entrées SQL ;

Attaque piggyBack SQL ;

Attaque Select SQL ;

Attaque injection SQL.

L’ARP poisonning est exécuté en ……… étapes.. (Spécifier le nombre d’étapes)

Observations

Toute documentation est strictement interdite ;

L’usage des ordinateurs, téléphones mobiles ou autre équipement électronique est strictement

interdit ;

Les téléphones doivent être éteints. Un téléphone allumé est un motif d’exclusion de

l’examen ;

Le sujet est simple mais long (vous disposez en moyenne de 1,8mn par question) alors

concentrez-vous sur votre copie et ne vous préoccupez pas de vos voisins, amis, collègues ou

autres ;

Le corrigé de l’examen est caché dans le sujet

La notation se fera sur une échelle de 22/20

Vous découvrez les entrées suivantes dans votre weblog. Chacune montre une tentative

d’accès à l’un des deux root.exe ou cmd.exe qu’est ce qui cause cela ?

Le vers Morris ;

Le virus PIF ;

Trinoo ;

Nimda;

Code Red ;

Ping of death

Si vous recevez un paquet RST lors d’un scan ACK, ceci indiquera que le port est ouvert

Faux ;

Vrais;

On ne peut rien déduire.

Un programme de défense contre le port scanning tentera de :

Renvoyer de fausses données au scanneur de port ;

Inscrire une violation dans le journal de log et recommande l’utilisation d’outils

d’audit de sécurité ;

Limiter l’accès via le système de scan uniquement au ports public disponibles ;

Mettre à jour, à temps réel, les règles du parfeu pour empêcher la fin de l’analyse du

port.

Si vous rencontriez une machine sheepdip sur votre site client, que déduiriez-vous?

La machine sheepdip est utilisée uniquement pour le contrôle de virus;

L’ordinateur sheepdip est un autre nom pour désigner n honeypot ;

Le sheepdip coordonne et gère différents honeypots ;

La machine sheepdip diffère les attaques de tupe déni de service.

Si vous réalisez un sca de ports avec des paquets TCP ACK, que retourneront les ports

ouverts ?

RST;

Pas de réponse ;

SYN/ACK ;

FIN.

En examinant un rapport de journal, vous découvrez qu'une intrusion a été tentée par un

ordinateur dont l'adresse IP est affichée sous la forme 0xde.0xad.0xbe.0xef. Vous effectuez

un ping 0xde.0xad.0xbe.0xef. Quelle adresse IP répondra au ping et sera donc probablement

responsable de l’intrusion ?

192.10.25.9 ;

10.0.3.4 ;

203.20.4.5 ;

222.273.290.239.

Melissa est un virus qui attaque les plateformes Microsoft. Ce virus appartient à quelle

catégorie ?

Polymorphique ;

Secteur de boot ;

Système ;

Macro.

Cités quatre (04) outils utilisés pour l’analyse des malwares ?

………………………………………………………….

………………………………………………………….

………………………………………………………….

………………………………………………………….

Omar remarque que le port 1080 est sondé à plusieurs reprises. Il découvre que le protocole

utilisé est conçu pour permettre à un hôte situé en dehors d'un pare-feu de se connecter de

manière transparente et sécurisée à travers celui-ci. Il se demande si son pare-feu a été percé.

Quelle serait selon vous la bonne affirmation ?

Le pare-feu de omar est percé par une brèche du pare-feu ;

L’attaquant utilise le protocole ICMP pour avoir un canal couvert ;

Omar a un paquet Wingate qui fournit une redirection FTP sur son réseau ;

Quelqu’un utilise SOCKS sur le réseau pour communiquer via le pare-feu.

Quel type d’attaque change sa signature et / ou sa charge utile pour évader la détection des

antivirus

Polymorphique;

Rootkit ;

Secteur de boot ;

Infection de fichiers ;

Qu’est-ce qu’un sheepdip ?

C’est un autre nom pour désigner un honeynet ;

C’est une machine qui gère les honeynets ;

C’est le processus de contrôle des médias physiques à la recherche d’un virus avant

qu’ils ne soient utiliser sur l’ordinateur;

Aucune de ces propositions.

Vous êtes en train d’effectuer un IP spoofing pendant que vous scannez votre cible. Vous

découverez que votre cible possède le port 23 ouvert. Cependant vous ne pouvez pas vous

y connecter. Pourquoi ?

Le pare-feu bloque le port 23;

Vous ne pouvez pas spoofer + TCP ;

Vous avez besoin d’un outil telnet automatisé ;

L’OS ne répond pas au telnet même si le port est ouvert.

En faisant référence au service de nom de domaine, ce qui est désigné par une "zone"

C’est le premier domaine qui appartient à une entreprise ;

C’est une collection d'enregistrements de ressources;

C’est le premier type d'enregistrement de ressource dans la SOA ;

C’est une collection de domaines.

Que pouvez-vous déduire des résultats de la commande nmap affichées ci-dessous :

Staring nmap V. 3.10ALPHA0 (www.insecure.org/map/)

(The 1592 ports scanned but not shown below are in state: closed)

Port State Service

21/tcp open ftp

25/tcp open smtp

80/tcp open http

443/tcp open https

Remote operating system guess: Too many signatures match the reliability guess the

OS. Nmap run completed – 1 IP address (1 host up) scanned in 91.66 seconds

Le système est un contrôleur de domaine Windows ;

Le système n’est pas protégé par un Firewall;

Le système n’utilise ni Linux ni Solaris ;

Le système n’est pas patché correctement.

Un système de détection d’intrusion peut surveiller le trafic à temps réel dans un réseau.

Laquelle de ces techniques peut être très efficace pour évader une détection

La fragmentation de paquets;

L’utilisation de protocoles basés uniquement sur TCP ;

L’utilisation de protocoles basés uniquement sur UDP ;

L’utilisation exclusive de trafique ICMP fragmenté.

Qu'est-ce qui rend les vulnérabilités des applications Web si aggravantes ? (Choisissez

deux)

Elle peut être lancée à travers un port autorisé;

Le firewall ne la bloquera pas;

Elle existe exclusivement sur les plateformes Linux ;

Elle est indétectable par toutes les plateformes de sécurité.

Aymen, un administrateur de XYZ, était furieux lorsqu'il a découvert que son ami ryad a

utilisé une attaque de session hijack contre son réseau et sniffé sa communication, y compris

les tâches d’administration telles que la configuration de routeurs, pare-feu, IDS, via Telnet.

Aymen demande votre aide pour empêcher que des attaquants tels que ryad ne puissent

lancer un détournement de session dans XYZ.

Sur la base du scénario décrit ci-dessus, veuillez choisir les mesures correctives à prendre.

(choisissez deux)

L’utilisation de protocoles de chiffrement à l’instar de ceux disponibles dans la

suite OpenSSH;

Implémenter un système de fichier FAT32 pour une indexation plus rapide et des

performances éprouvées ;

Configurer les règles de spoofing appropriées sur les passerelles (internes et

externes ;

Monitorer le cache CRP en utilisant un IDS.

Vous êtes l’administrateur de sécurité d’un grand réseau. Vous voulez empêcher les

attaquants de lancer tout type de tracerout dans votre DMZ et de découvrir la structure

interne de la zone publique accessible du réseau. Comment allez-vous faire cela ?

Bloquer les requêtes ICMP sur le pare-feu ;

Bloquer les requêtes UDP sur le pare-feu ;

Les deux premières propositions ;

Il n’existe aucun moyen pour bloquer complètement les tracerout dans cette zone.

En scannant le réseau vous constatez que tous les serveurs web de la DMZ répondent au

paquet ACK sur le port 80. que pouvez-vous déduire de cette observation ?

Ils utilisent des serveurs web basés Windows ;

Ils utilisent des serveurs web basés UNIX ;

Ils n’utilisent pas d’IDS ;

Aucune des trois réponses.

Said a réussi à compromettre un serveur web placé derrière un pare-feu en exploitant une

vulnérabilité sur le programme du serveur web. Il souhaite procéder en installant une porte

dérobée. Cependant in craint que tous les ports entrants ne soient pas ouverts sur le pare-

feu. Parmi la liste suivante, identifier le port qui est souvent ouvert et qui permet d’atteindre

le serveur compromis par said.

53;

110 ;

25 ;

69.

Une fois que l’attaquant a pu avoir accès à un système distant en utilisant un username et

password valides, il va essayer d’augmenter ses privilèges en escaladant le compte

utilisateur vers un autre ayant plus de privilèges. Quelles est la meilleure contremesure

permettant de se protéger contre l’escalade de privilèges ?

Donner des tokens aux utilisateurs ;

Donner aux utilisateurs un minimum de privilèges;

Donner aux utilisateurs deux mots de passe ;

Fournir aux utilisateurs un document de politique de sécurité robuste.

Sur un Linux ayant une porte dérobée, il est possible que des programmes légitimes soient

modifiés ou victimes de chevaux de Troie. Comment est-il possible de répertorier les

processus et les UIDs qui leur sont associés de manière plus fiable?

Utiliser « ls » ;

Utiliser « lsof »;

Utiliser « echo » ;

Utiliser « netstat ».

Merouane est un pirate qui va faire du Wardriving. Il va utiliser PrismStumbler et veut lui

faire passer un logiciel de cartographie GPS. Quel est le logiciel de cartographie GPS

recommandé et bien connu pour l'interface avec PrismStumbler ?

GPSDrive;

GPSMap ;

WinCap ;

Microsoft Mappoint.

Salah est en train de réaliser un pentest. Il vient de terminer le scan de ports d’un système

sur le réseau. Il a identifié l’OS comme étant un linux et il a pu obtenir des réponses des

ports 23, 25 et 53. Il déduit que le port 23 exécute un service Telnet, le port 25 un service

SMTP et le port 53 un service DNS. Le client confirme cela et atteste que le service sont

actuellement disponibles et opérationnels. Dès que Salah tente de se connecter aux port 23

ou 25 via telnet, il obtient un ecran blanc en réponse. Lorsqu’il tape d’autres commandes

il ne voit que des blancs ou des « ___ » sur l’écran. Que déduirez-vous à partir de cela ?

Le service est protégé par un TCP wrappers;

Il existe un honeypot sur la machine scannée ;

Un attaquant a déjà remplacé le service par un cheval de troie ;

Les serveurs SMTP et Telnet se sont crachés.

Laquelle des fonctionnalités suivantes on retrouve chez un ver et pas chez un virus ?

La charge utile est très petite environ 800 octets ;

Il s’auto reproduit sans aucune intervention humaine;

Il n’a pas la possibilité de se propager par lui-même ;

Aucun des deux ne peut être détecter par un scanneur antivirus.

Quelle est la meilleure façon de se protéger contre les virus ?

Assigner uniquement des autorisations de lecture à tous les fichiers du système ;

Supprimer tout périphérique externe tel que les ports USB, lecteurs, …

Installer un outil de détection de rootkit ;

Installer et tenir à jour un logiciel antivirus.

Les virus scrubbers et autres programmes de détection de programmes malveillants ne

peuvent détecter que les éléments qu’ils connaissent. Parmi les outils suivants, lequel vous

permettrait de détecter les modifications non autorisées ou les modifications de fichiers

binaires sur votre système par des logiciels malveillants inconnus ?

Les outils de vérification de l’intégrité du système;

Logiciel antivirus ;

Gateway configuré correctement ;

Il n’y a pas moyen de les trouver jusqu’à ce que le fichier de mise à jour des

signatures soit installé.

Que retournera la requête SQL ci-dessous

SELECT * FROM product WHERE PCategory=’computers’ or 1=1- -‘

Tous les ordinateurs et tous 1’s ;

Tous les ordinateurs ;

Tous les ordinateurs et tout le reste;

Tout sauf les ordinateurs.

Le système d’authentification d’un ordinateur se pase sur un code PIN composé de 04

chiffres pour l’accès. Sachant que vous avez la possibilité d’effectuer des tentatives

illimitées de mot de passe en offline. Quelle serait l’attaqe la plus efficace pour bypasser le

code PIN ?

Anniversaire ;

Brute force;

Man in the middle ;

Dsmurf.

Une menace de base de données particulière utilise une technique d'injection SQL pour

pénétrer dans un système cible. Comment un attaquant pourrait-il utiliser cette technique

pour compromettre une base de données ?

Un attaquant utilise des routines de validation d'entrée mal conçues pour créer ou

modifier des commandes SQL afin d'accéder aux données non souhaitées ou pour

exécuter des commandes de base de données;

L’attaquant soumet des entrées qui executeront des commandes OS pour

compromettre le système ciblé ;

L’attaquant obtient le contrôle du système pour inonder le système cible avec des

requêtes pour empêcher les utilisateurs légitimes d'avoir accès ;

L’attaquant utilise une configuration incorrecte pour avoir l’accès avec des

privilèges plus élevé que prévu de la base de données.

Vous êtes en train de pentester le site web de l’entreprise « Elile TV » en utilisant la

technique des injections SQL. Vous introduisez la chaine de caractère suivante dans le

champs username ‘’anything or 1=1-‘’

Voici la réponse fournie par le serveur

Quelles serait la prochaine étape à faire ?

Identifier le contexte de l’utilisateur de l’application web en exécutant :

http://www.exemple.com/order/include_rsa_asp?pressReleaseID=5 AND

USER_NAME()=’dbo’;

Identifier les nom de la BD et de la table en exécutant

http://www.example.com/orer/include_rsa.asp?pressReleaseID=5 AND

ascii(lower(substring((SELECT TOP 1 name FROM sysobjects WHERE

xtype=’U’))) > 109 ;

Formater le disque C et supprimer la base de données en exécutant :

http://www.example.com/orer/include_rsa.asp?pressReleaseID=5 AND

xp_cmdshell ‘format c:/q/yes ‘; drop database myDB ;-- ;

Redémarrer le serveur web en executant

http://www.example.com/orer/include_rsa.asp?pressReleaseID=5 AND

xp_cmdshell ‘iisreset –reboot’ ;--.

Adel a remarqué une erreur sur la page web et demande à Tayeb d’introduire dans le champ

de saisie mail tayeb’ or ‘1’=’1 la page affiche le message suivant : vos informations de

login ont été transmises par mail à malik@gmail.com. Que pensez-vous qu’il se soit

produit ?

L’application web a pris un enregistrement de manière aléatoire ;

L’application web a retourné le premier enregistrement trouvé;

Une erreur du serveur a causé un mauvais fonctionnement de l’application ;

L’application web a transmis un mail à l’administrateur concernant l’erreur.

Amir peut scanner facilement des services, car il existe de nombreux outils disponibles sur

Internet. Afin de vérifier la vulnérabilité de la société Phoenix, il a passé en revue quelques

scanners actuellement disponibles. Voici la liste des scanner qu’il va utiliser :

Axent’s Net Recon (http://www.axent.com)

Sara, by Advanced Research Organization (http://www-arc.com/sara)

VLAD the scanner, by Razor (http://razor.bindview.com/tools/)

Cependant, il existe de nombreuses autres façons de s’assurer que les services analysés

seront plus précis et plus détaillés pour Amir.

Quelle sera la meilleure méthode pour identifier avec précision les services fonctionnant sur

la machine de la victime

Utiliser Cheops-ng pour identifier les équipements de phoenix ;

Utiliser la méthode manuelle de telnet pour chaque port ouvert de l’entreprise;

Utiliser un scanneur de vulnérabilité pour essayer de sonder chaque port afin de

vérifier quel service tourne sur ce port ;

Utiliser les ports par défaut et l’OS pour préparer la meilleure estimation du service

qui s’exécute sur chaque port de phoenix.

Vous êtes en train de récolter de l’intelligence compétitive (competitive intelligence) sur

phoenix.dz. vous remarqués qu’ils ont listé des emplois sur quelques sites de recrutement

sur internet. Il y a deux offres emploi listés pour les administrateurs système et réseau.

Comment cela pourrait vous aider pour le footprinting de l’organisation ?

La plage d’adresse IP utilisé par le réseau cible ;

Une estimation du nombre des employés de l’entreprise ;

Quelle est la robustesse du niveau de sécurité de l’entreprise ;

Le type d’OS et d’applications utilisées.

L’organisation Atlas utilise une authentification basée sur des digest (Hash) pour leur site

web. Pour quoi cela est considéré plus sécurisé qu’une authentification basique ?

L’authentification basique est facilement cassable ;

Le mot de passe n’est pas transmis en claire via le réseau;

Le mot de passe transmis en claire via le réseau n’est pas réutilisable ;

C’est basé sur le protocole d’authentification Kerberos.

Laquelle des attaques suivantes tire le meilleur parti d'une connexion authentifiée

existante ?

Spoofing ;

Vol de session (session Hijacking);

Le sniff de mot de passe ;

Deviner le mot de passe.

Comment peut-on prévenir une attaque de vol de session (Hijacking) ?

Utiliser des tokens d’accès biométriques sécurisés contre le vol de session ;

Utiliser des protocoles non internet tel que http avec session sécurisées contre le vol de

session ;

Utiliser une authentification basée sur du matériel session sécurisées contre le vol de

session ;

Utiliser un numéro de séquence aléatoire et non prédictible pour la session sécurisée.

Vous souhaitez effectuer un vol de session (Hijacking) sur un serveur distant. Le serveur et

le client communiquent via TCP. Après le succès de l’initiation de la connexion TCP (three

way handshake1). Le serveur vient de recevoir le paquet #120 du client. Le client a reçu la

fenêtre de 200 (window of 200) et le serveur a reçu la fenêtre de 250 (window of 250)2. Dans

quelle plage de numéros de séquence un paquet envoyé par le client doit-il être placé pour

être accepté par le serveur3 ?

200-250 ;

120-321 ;

121- 231 ;

Autre préciser ……………………………………………

Quelle est la bonne séquence de paquets transmise durant l’initiation d’une connexion

TCP (three way handshake) ?

FIN, FIN-ACK,ACK ;

SYN, URG, ACK ;

SYN, ACK, SYN-ACK ;

SYN, SYN-ACK, ACK.

Quels sont les outils utilisés lors de l’analyse dynamique d’un malware ?

Un environnement virtuel ;

Process explorer ;

Wireshark ;

Tous les outils cités.

Vous avez été appelé pour enquêter sur une augmentation soudaine du trafic réseau le

l’organisme Atlas. Il semble que le trafic généré soit trop important pour être généré par les

fonctions commerciales normales exploitées par les employés et clients externes. Après une

enquête rapide, vous constatez que des services liés aux logiciels TFN2K et Trinoo sont en

cours d'exécution sur l'ordinateur. Selon vous, quelle est la cause la plus probable de cette

augmentation soudaine du trafic ?

Une attaque par déni de service distribué;

Une carte réseau qui perd les pédales ;

Une mauvaise route définie sur le pare-feu ;

Des règles d’entrées invalides sur la passerelle (Gateway).

1 12/13/71

Ce problème est tiré d’une histoire vraie qui s’est produite en Algérie. L’entreprise de

gonflage de pneu subit un phénomène étrange qui se produit régulièrement. Chaque soir les

serveurs du siège commercial (situés au 4ème étage) s’éteignent brusquement à 23h00 et ne

redémarre que le matin à 6h00. Il en est de même pour les caméras de surveillance de ce

même étage (caméras IP piloté par un logiciel informatique). Mais ce qui est le plus étrange

c’est que ce phénomène change durant le mois de ramadan ou les serveurs ne s‘éteignent

qu’après el Imsak ( el adhan) pour redémarrer à 8h. Le PDG de l’entreprise étant très croyant

et surtout très cultivé fait appel à belahmer qui se déplace et récite plein d’incantations. Ceci

a pour effet de retarder l’extinction des serveurs jusqu’à 00h le jour même, le lendemain les

choses redeviennent comme avant. Dépité le PDG décide de prendre en considération l’avis

de son DSI et vous contacte pour l’aider à résoudre ce phénomène surnaturel. Arrivé sur les

lieux le DSI vous relate les faits et vous explique qu’il a mis en place un script qui lui permet

de recevoir une notification sur son téléphone chaque fois que les serveurs sont à l’arrêt.

Aussi dès que les serveurs s’arrêtent il contacte le chef de la sécurité pour vérifier qu’il n y

a pas d’incident majeur (incendie, effraction ou autre) le chef de la sécurité étant au rez de

chaussé il l’informe que tout va bien aucune coupure de courant signalée ni effraction ou

autre. Il vérifie la ligne téléphonique et l’informe que cette dernière est fonctionnelle.

Cependant quand il contacte les deux agents de sécurité de l’étage des serveurs. Ces derniers

ne répondent jamais. Une fois appelés sur leur téléphone mobile ils répondent au bout de

15 mn pour dire que le téléphone fixe n’a pas sonné, mais que leur mobile était sur mode

silencieux d’où le retard de réponse, mais que tout va bien et qu’il n’y a aucun problème à

signaler. Le DSI vous informe que lignes téléphoniques utilisent la technologie IP et par

conséquent fonctionnent grâce à un serveur ASTERISK et que si les serveurs sont à l’arrêt

donc la téléphonie ne fonctionne pas.

Quel est le principe de fonctionnement du script utilisé par le DSI ?

…………………………………………………………………………………………

…………………………………………………………………………………………

………………………………………………………………………………………….

Expliquer en détail le phénomène qui se produit dans cette entreprise

…………………………………………………………………………………………

…………………………………………………………………………………………

…………………………………………………………………………………………

Amir, un méchant pirate, a volontairement envoyé des paquets ICMP fragmentés à une cible

distante. La taille totale du paquet ICMP une fois reconstruit est supérieure à 65536 octets.

A partir de ces informations quel type d’attaque amir tente d’exécuter ?

Syn Flood ;

Smurf ;

Ping of death;

Fraggle.

L’image suivante représente l’entête d’un mail. L’adresse IP de l’expéditeur du message est

……………………………………

Lequel parmis ces LM hashes représente un mot de passe d’une taille inférieure à 8

caractères (il en existe deux)

BA810DBA98995F1817306D272A9441BB 44EFCE164AB921CQAAD3B435B51404EE 0182BD0BD4444BF836077A718CCDF409 CEC52EB9C8E3455DC2265B23734E0DAC B757BF5C0D87772FAAD3B435B51404EE E52CAC67419A9A224A3B108F3FA6CB6D

Pris de panique, l’administrateur réseau vous contacte car il a constaté que des attaques de

type ARP spoofing et ARP poisoning sont lancées sur le réseau.

Réfléchissez, puis proposer

Trois approches permettant de sécuriser le réseau pour prévenir ce type d’attaques

Approche 1 : sruw vhfxuiwb4 .…………………………………………………………

Approche 2 : DUSzdwfk5 ………………………………………………………………

Approche 3 : dguhvvh LS vwdwltxhv6 …………………………………………………

4 Indice empereur 5 Indice romain 6 Indice cachotier

Abdelghani a réussi à synchroniser les sessions de son patron avec celles du serveur de

fichiers. Il a ensuite intercepté son trafic destiné au serveur, l'a modifié comme il le

souhaitait, puis l'a placé sur le serveur dans son répertoire personnel. Quelles est l’attaque

lancée par Abdelghani ?

Sniffing ;

Spoofing ;

Man in the middle;

DOS.

Quelle serait la réponse lors d’un scan NULL si le port est ouvert ?

SYN ;

FIN ;

ACK ;

PSH ;

RST ;

Pas de réponse.

Après avoir étudier les logs suivants, qu'est-ce que l'attaquant tente en fin de compte

d'atteindre ?

Mkdir –p /etc/X11/applink/Internet/.etc

Mkdir –p /etc/X11/applink/Internet/.etcpasswd

touch –acmr /etc/passwd /etc/X11/applnk/internet/.etcpasswd

touch –acmr /etc /etc/X11/applnk/Internet/.etc

passwd nobody –d

/usr/sbin/adduser dns –d/bin –u 0 –g 0 –s/bin/bash

passwd dns –d

touch –acmr /etc/X11/applnk/Internet/.etcpasswd /etc/passwd

touch –acmr /etc/X11/applnk/Internet/ .etc /etc

Changer le mot de passe de l’utilisateur nobody ;

Extraire des informations à partir d’un dossier local ;

Modifier les heures de creation, d’accés de modification des fichiers;

Télécharger des rootkits et des mots de passe dans un nouveau dossier.

Quelle est la différence entre KALI et backtrack

…………………………………………………………………………………………………

…………………………………………………………………………………………………

…………………………………………………………………………………………………

…………………………………………………………………………………………………

…………………………………………………………………………………………………