Nom : …………………………………

Prénom :………………………………

2018/2019 Examen du module Introduction à la sécurité M1 SSI

Observations
 Toute documentation est strictement interdite ;
 L’usage des ordinateurs, téléphones mobiles ou autre équipement électronique est strictement
interdit ;
 Les téléphones doivent être éteints. Un téléphone allumé est un motif d’exclusion de
l’examen ;
 Le sujet est simple mais long (vous disposez en moyenne de 1,8mn par question) alors
concentrez-vous sur votre copie et ne vous préoccupez pas de vos voisins, amis, collègues ou
autres ;
 Le corrigé de l’examen est caché dans le sujet
 La notation se fera sur une échelle de 22/20

Vous disposez d’un serveur proxy sur votre réseau d’entreprise qui met en cache et filtre les
accès web. Il a fermé tous les ports et services jugés non nécessaires. De plus il a installé un
parfeu qui ne permet pas aux utilisateurs de se connecter aux ports sortants. Vous constatez
qu’un utilisateur du réseau a réussi à se connecter à un serveur distant sur le port 80 en utilisant
netcat. Cet utilisateur pourrait déposer un shell à partir de la machine distante. Conscient du fait
qu’un attaquant veut pénétrer votre réseau d’entreprise laquelle des options serait-il susceptible
de choisir ?
 Utiliser un VPN fermé ;
 Utiliser un monkey shell ;
 Utiliser un reverse shell via le protocole ftp ;
 Utiliser un tunnel http ou un Stunnel sur les ports 80 et 443.
 Mweswes souhaite installer une nouvelle application sur son serveur Windows 2012. Ayant
downloader l’application à partir d’un site pirate, il veut s’assurer que l’application ne
5contient pas de cheval de troie. Que doit-il faire ?
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
 Votre responsable, Said kheloui, tente de modifier les paramètres d'une application Web
afin de modifier les instructions SQL analysées pour extraire des données de la base de
données. Comment appellerais-tu une telle attaque
 Attaque des entrées SQL ;
 Attaque piggyBack SQL ;
 Attaque Select SQL ;
 Attaque injection SQL.
 L’ARP poisonning est exécuté en ……… étapes.. (Spécifier le nombre d’étapes)
 Vous découvrez les entrées suivantes dans votre weblog. Chacune montre une tentative
d’accès à l’un des deux root.exe ou cmd.exe qu’est ce qui cause cela ?

 Le vers Morris ;
 Le virus PIF ;
 Trinoo ;
 Nimda;
 Code Red ;
 Ping of death
 Si vous recevez un paquet RST lors d’un scan ACK, ceci indiquera que le port est ouvert
 Faux ;
 Vrais;
 On ne peut rien déduire.
 Un programme de défense contre le port scanning tentera de :
 Renvoyer de fausses données au scanneur de port ;
 Inscrire une violation dans le journal de log et recommande l’utilisation d’outils
d’audit de sécurité ;
 Limiter l’accès via le système de scan uniquement au ports public disponibles ;
 Mettre à jour, à temps réel, les règles du parfeu pour empêcher la fin de l’analyse du
port.
 Si vous rencontriez une machine sheepdip sur votre site client, que déduiriez-vous?
 La machine sheepdip est utilisée uniquement pour le contrôle de virus;
 L’ordinateur sheepdip est un autre nom pour désigner n honeypot ;
 Le sheepdip coordonne et gère différents honeypots ;
 La machine sheepdip diffère les attaques de tupe déni de service.
 Si vous réalisez un sca de ports avec des paquets TCP ACK, que retourneront les ports
ouverts ?
 RST;
 Pas de réponse ;
 SYN/ACK ;
 FIN.
 En examinant un rapport de journal, vous découvrez qu'une intrusion a été tentée par un
ordinateur dont l'adresse IP est affichée sous la forme 0xde.0xad.0xbe.0xef. Vous effectuez
un ping 0xde.0xad.0xbe.0xef. Quelle adresse IP répondra au ping et sera donc probablement
responsable de l’intrusion ?
 192.10.25.9 ;
 10.0.3.4 ;
 203.20.4.5 ;
 222.273.290.239.
 Melissa est un virus qui attaque les plateformes Microsoft. Ce virus appartient à quelle
catégorie ?
 Polymorphique ;
 Secteur de boot ;
 Système ;
 Macro.
 Cités quatre (04) outils utilisés pour l’analyse des malwares ?
 ………………………………………………………….
 ………………………………………………………….
 ………………………………………………………….
 ………………………………………………………….
 Omar remarque que le port 1080 est sondé à plusieurs reprises. Il découvre que le protocole
utilisé est conçu pour permettre à un hôte situé en dehors d'un pare-feu de se connecter de
manière transparente et sécurisée à travers celui-ci. Il se demande si son pare-feu a été percé.
Quelle serait selon vous la bonne affirmation ?
 Le pare-feu de omar est percé par une brèche du pare-feu ;
 L’attaquant utilise le protocole ICMP pour avoir un canal couvert ;
 Omar a un paquet Wingate qui fournit une redirection FTP sur son réseau ;
 Quelqu’un utilise SOCKS sur le réseau pour communiquer via le pare-feu.
 Quel type d’attaque change sa signature et / ou sa charge utile pour évader la détection des
antivirus
 Polymorphique;
 Rootkit ;
 Secteur de boot ;
 Infection de fichiers ;
 Qu’est-ce qu’un sheepdip ?
 C’est un autre nom pour désigner un honeynet ;
 C’est une machine qui gère les honeynets ;
 C’est le processus de contrôle des médias physiques à la recherche d’un virus avant
qu’ils ne soient utiliser sur l’ordinateur;
 Aucune de ces propositions.
 Vous êtes en train d’effectuer un IP spoofing pendant que vous scannez votre cible. Vous
découverez que votre cible possède le port 23 ouvert. Cependant vous ne pouvez pas vous
y connecter. Pourquoi ?
 Le pare-feu bloque le port 23;
 Vous ne pouvez pas spoofer + TCP ;
 Vous avez besoin d’un outil telnet automatisé ;
 L’OS ne répond pas au telnet même si le port est ouvert.
 En faisant référence au service de nom de domaine, ce qui est désigné par une "zone"
 C’est le premier domaine qui appartient à une entreprise ;
 C’est une collection d'enregistrements de ressources;
 C’est le premier type d'enregistrement de ressource dans la SOA ;
 C’est une collection de domaines.
 Que pouvez-vous déduire des résultats de la commande nmap affichées ci-dessous :
Staring nmap V. 3.10ALPHA0 (www.insecure.org/map/)
(The 1592 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
25/tcp open smtp
80/tcp open http
443/tcp open https
Remote operating system guess: Too many signatures match the reliability guess the
OS. Nmap run completed – 1 IP address (1 host up) scanned in 91.66 seconds
 Le système est un contrôleur de domaine Windows ;
 Le système n’est pas protégé par un Firewall;
 Le système n’utilise ni Linux ni Solaris ;
 Le système n’est pas patché correctement.
 Un système de détection d’intrusion peut surveiller le trafic à temps réel dans un réseau.
Laquelle de ces techniques peut être très efficace pour évader une détection
 La fragmentation de paquets;
 L’utilisation de protocoles basés uniquement sur TCP ;
 L’utilisation de protocoles basés uniquement sur UDP ;
 L’utilisation exclusive de trafique ICMP fragmenté.
 Qu'est-ce qui rend les vulnérabilités des applications Web si aggravantes ? (Choisissez
deux)
 Elle peut être lancée à travers un port autorisé;
 Le firewall ne la bloquera pas;
 Elle existe exclusivement sur les plateformes Linux ;
 Elle est indétectable par toutes les plateformes de sécurité.
 Aymen, un administrateur de XYZ, était furieux lorsqu'il a découvert que son ami ryad a
utilisé une attaque de session hijack contre son réseau et sniffé sa communication, y compris
les tâches d’administration telles que la configuration de routeurs, pare-feu, IDS, via Telnet.
Aymen demande votre aide pour empêcher que des attaquants tels que ryad ne puissent
lancer un détournement de session dans XYZ.
Sur la base du scénario décrit ci-dessus, veuillez choisir les mesures correctives à prendre.
(choisissez deux)
 L’utilisation de protocoles de chiffrement à l’instar de ceux disponibles dans la
suite OpenSSH;
 Implémenter un système de fichier FAT32 pour une indexation plus rapide et des
performances éprouvées ;
 Configurer les règles de spoofing appropriées sur les passerelles (internes et
externes ;
 Monitorer le cache CRP en utilisant un IDS.
 Vous êtes l’administrateur de sécurité d’un grand réseau. Vous voulez empêcher les
attaquants de lancer tout type de tracerout dans votre DMZ et de découvrir la structure
interne de la zone publique accessible du réseau. Comment allez-vous faire cela ?
 Bloquer les requêtes ICMP sur le pare-feu ;
 Bloquer les requêtes UDP sur le pare-feu ;
 Les deux premières propositions ;
 Il n’existe aucun moyen pour bloquer complètement les tracerout dans cette zone.
 En scannant le réseau vous constatez que tous les serveurs web de la DMZ répondent au
paquet ACK sur le port 80. que pouvez-vous déduire de cette observation ?
 Ils utilisent des serveurs web basés Windows ;
 Ils utilisent des serveurs web basés UNIX ;
 Ils n’utilisent pas d’IDS ;
 Aucune des trois réponses.
 Said a réussi à compromettre un serveur web placé derrière un pare-feu en exploitant une
vulnérabilité sur le programme du serveur web. Il souhaite procéder en installant une porte
dérobée. Cependant in craint que tous les ports entrants ne soient pas ouverts sur le pare-
feu. Parmi la liste suivante, identifier le port qui est souvent ouvert et qui permet d’atteindre
le serveur compromis par said.
 53;
 110 ;
 25 ;
 69.
 Une fois que l’attaquant a pu avoir accès à un système distant en utilisant un username et
password valides, il va essayer d’augmenter ses privilèges en escaladant le compte
utilisateur vers un autre ayant plus de privilèges. Quelles est la meilleure contremesure
permettant de se protéger contre l’escalade de privilèges ?
 Donner des tokens aux utilisateurs ;
 Donner aux utilisateurs un minimum de privilèges;
 Donner aux utilisateurs deux mots de passe ;
 Fournir aux utilisateurs un document de politique de sécurité robuste.
 Sur un Linux ayant une porte dérobée, il est possible que des programmes légitimes soient
modifiés ou victimes de chevaux de Troie. Comment est-il possible de répertorier les
processus et les UIDs qui leur sont associés de manière plus fiable?
 Utiliser « ls » ;
 Utiliser « lsof »;
 Utiliser « echo » ;
 Utiliser « netstat ».
 Merouane est un pirate qui va faire du Wardriving. Il va utiliser PrismStumbler et veut lui
faire passer un logiciel de cartographie GPS. Quel est le logiciel de cartographie GPS
recommandé et bien connu pour l'interface avec PrismStumbler ?
 GPSDrive;
 GPSMap ;
 WinCap ;
 Microsoft Mappoint.
 Salah est en train de réaliser un pentest. Il vient de terminer le scan de ports d’un système
sur le réseau. Il a identifié l’OS comme étant un linux et il a pu obtenir des réponses des
ports 23, 25 et 53. Il déduit que le port 23 exécute un service Telnet, le port 25 un service
SMTP et le port 53 un service DNS. Le client confirme cela et atteste que le service sont
actuellement disponibles et opérationnels. Dès que Salah tente de se connecter aux port 23
ou 25 via telnet, il obtient un ecran blanc en réponse. Lorsqu’il tape d’autres commandes
il ne voit que des blancs ou des « ___ » sur l’écran. Que déduirez-vous à partir de cela ?
 Le service est protégé par un TCP wrappers;
 Il existe un honeypot sur la machine scannée ;
 Un attaquant a déjà remplacé le service par un cheval de troie ;
 Les serveurs SMTP et Telnet se sont crachés.
 Laquelle des fonctionnalités suivantes on retrouve chez un ver et pas chez un virus ?
 La charge utile est très petite environ 800 octets ;
 Il s’auto reproduit sans aucune intervention humaine;
 Il n’a pas la possibilité de se propager par lui-même ;
 Aucun des deux ne peut être détecter par un scanneur antivirus.
 Quelle est la meilleure façon de se protéger contre les virus ?
 Assigner uniquement des autorisations de lecture à tous les fichiers du système ;
 Supprimer tout périphérique externe tel que les ports USB, lecteurs, …
 Installer un outil de détection de rootkit ;
 Installer et tenir à jour un logiciel antivirus.
 Les virus scrubbers et autres programmes de détection de programmes malveillants ne
peuvent détecter que les éléments qu’ils connaissent. Parmi les outils suivants, lequel vous
permettrait de détecter les modifications non autorisées ou les modifications de fichiers
binaires sur votre système par des logiciels malveillants inconnus ?
 Les outils de vérification de l’intégrité du système;
 Logiciel antivirus ;
 Gateway configuré correctement ;
 Il n’y a pas moyen de les trouver jusqu’à ce que le fichier de mise à jour des
signatures soit installé.
 Que retournera la requête SQL ci-dessous
SELECT * FROM product WHERE PCategory=’computers’ or 1=1- -‘
 Tous les ordinateurs et tous 1’s ;
 Tous les ordinateurs ;
 Tous les ordinateurs et tout le reste;
 Tout sauf les ordinateurs.
 Le système d’authentification d’un ordinateur se pase sur un code PIN composé de 04
chiffres pour l’accès. Sachant que vous avez la possibilité d’effectuer des tentatives
illimitées de mot de passe en offline. Quelle serait l’attaqe la plus efficace pour bypasser le
code PIN ?
 Anniversaire ;
 Brute force;
 Man in the middle ;
 Dsmurf.
 Une menace de base de données particulière utilise une technique d'injection SQL pour
pénétrer dans un système cible. Comment un attaquant pourrait-il utiliser cette technique
pour compromettre une base de données ?
 Un attaquant utilise des routines de validation d'entrée mal conçues pour créer ou
modifier des commandes SQL afin d'accéder aux données non souhaitées ou pour
exécuter des commandes de base de données;
 L’attaquant soumet des entrées qui executeront des commandes OS pour
compromettre le système ciblé ;
 L’attaquant obtient le contrôle du système pour inonder le système cible avec des
requêtes pour empêcher les utilisateurs légitimes d'avoir accès ;
 L’attaquant utilise une configuration incorrecte pour avoir l’accès avec des
privilèges plus élevé que prévu de la base de données.
 Vous êtes en train de pentester le site web de l’entreprise « Elile TV » en utilisant la
technique des injections SQL. Vous introduisez la chaine de caractère suivante dans le
champs username ‘’anything or 1=1-‘’
Voici la réponse fournie par le serveur

Quelles serait la prochaine étape à faire ?

 Identifier le contexte de l’utilisateur de l’application web en exécutant :
http://www.exemple.com/order/include_rsa_asp?pressReleaseID=5 AND
USER_NAME()=’dbo’;
 Identifier les nom de la BD et de la table en exécutant
http://www.example.com/orer/include_rsa.asp?pressReleaseID=5 AND
ascii(lower(substring((SELECT TOP 1 name FROM sysobjects WHERE
xtype=’U’))) > 109 ;
 Formater le disque C et supprimer la base de données en exécutant :
http://www.example.com/orer/include_rsa.asp?pressReleaseID=5 AND
xp_cmdshell ‘format c:/q/yes ‘; drop database myDB ;-- ;
 Redémarrer le serveur web en executant
http://www.example.com/orer/include_rsa.asp?pressReleaseID=5 AND
xp_cmdshell ‘iisreset –reboot’ ;--.
 Adel a remarqué une erreur sur la page web et demande à Tayeb d’introduire dans le champ
de saisie mail tayeb’ or ‘1’=’1 la page affiche le message suivant : vos informations de
login ont été transmises par mail à malik@gmail.com. Que pensez-vous qu’il se soit
produit ?
 L’application web a pris un enregistrement de manière aléatoire ;
 L’application web a retourné le premier enregistrement trouvé;
 Une erreur du serveur a causé un mauvais fonctionnement de l’application ;
 L’application web a transmis un mail à l’administrateur concernant l’erreur.
 Amir peut scanner facilement des services, car il existe de nombreux outils disponibles sur
Internet. Afin de vérifier la vulnérabilité de la société Phoenix, il a passé en revue quelques
scanners actuellement disponibles. Voici la liste des scanner qu’il va utiliser :
Axent’s Net Recon (http://www.axent.com)
Sara, by Advanced Research Organization (http://www-arc.com/sara)
VLAD the scanner, by Razor (http://razor.bindview.com/tools/)
Cependant, il existe de nombreuses autres façons de s’assurer que les services analysés
seront plus précis et plus détaillés pour Amir.
Quelle sera la meilleure méthode pour identifier avec précision les services fonctionnant sur
la machine de la victime
 Utiliser Cheops-ng pour identifier les équipements de phoenix ;
 Utiliser la méthode manuelle de telnet pour chaque port ouvert de l’entreprise;
 Utiliser un scanneur de vulnérabilité pour essayer de sonder chaque port afin de
vérifier quel service tourne sur ce port ;
 Utiliser les ports par défaut et l’OS pour préparer la meilleure estimation du service
qui s’exécute sur chaque port de phoenix.
 Vous êtes en train de récolter de l’intelligence compétitive (competitive intelligence) sur
phoenix.dz. vous remarqués qu’ils ont listé des emplois sur quelques sites de recrutement
sur internet. Il y a deux offres emploi listés pour les administrateurs système et réseau.
Comment cela pourrait vous aider pour le footprinting de l’organisation ?
 La plage d’adresse IP utilisé par le réseau cible ;
 Une estimation du nombre des employés de l’entreprise ;
 Quelle est la robustesse du niveau de sécurité de l’entreprise ;
 Le type d’OS et d’applications utilisées.
 L’organisation Atlas utilise une authentification basée sur des digest (Hash) pour leur site
web. Pour quoi cela est considéré plus sécurisé qu’une authentification basique ?
 L’authentification basique est facilement cassable ;
 Le mot de passe n’est pas transmis en claire via le réseau;
 Le mot de passe transmis en claire via le réseau n’est pas réutilisable ;
 C’est basé sur le protocole d’authentification Kerberos.
 Laquelle des attaques suivantes tire le meilleur parti d'une connexion authentifiée
existante ?
 Spoofing ;
 Vol de session (session Hijacking);
 Le sniff de mot de passe ;
 Deviner le mot de passe.
 Comment peut-on prévenir une attaque de vol de session (Hijacking) ?
 Utiliser des tokens d’accès biométriques sécurisés contre le vol de session ;
 Utiliser des protocoles non internet tel que http avec session sécurisées contre le vol de
session ;
 Utiliser une authentification basée sur du matériel session sécurisées contre le vol de
session ;
 Utiliser un numéro de séquence aléatoire et non prédictible pour la session sécurisée.
 Vous souhaitez effectuer un vol de session (Hijacking) sur un serveur distant. Le serveur et
le client communiquent via TCP. Après le succès de l’initiation de la connexion TCP (three
way handshake ). Le serveur vient de recevoir le paquet #120 du client. Le client a reçu la
1

fenêtre de 200 (window of 200) et le serveur a reçu la fenêtre de 250 (window of 250) . Dans
2

quelle plage de numéros de séquence un paquet envoyé par le client doit-il être placé pour
être accepté par le serveur3 ?
 200-250 ;
 120-321 ;
 121- 231 ;
 Autre préciser ……………………………………………
 Quelle est la bonne séquence de paquets transmise durant l’initiation d’une connexion
TCP (three way handshake) ?
 FIN, FIN-ACK,ACK ;
 SYN, URG, ACK ;
 SYN, ACK, SYN-ACK ;
 SYN, SYN-ACK, ACK.
 Quels sont les outils utilisés lors de l’analyse dynamique d’un malware ?
 Un environnement virtuel ;
 Process explorer ;
 Wireshark ;
 Tous les outils cités.
 Vous avez été appelé pour enquêter sur une augmentation soudaine du trafic réseau le
l’organisme Atlas. Il semble que le trafic généré soit trop important pour être généré par les
fonctions commerciales normales exploitées par les employés et clients externes. Après une
enquête rapide, vous constatez que des services liés aux logiciels TFN2K et Trinoo sont en
cours d'exécution sur l'ordinateur. Selon vous, quelle est la cause la plus probable de cette
augmentation soudaine du trafic ?
 Une attaque par déni de service distribué;
 Une carte réseau qui perd les pédales ;
 Une mauvaise route définie sur le pare-feu ;
 Des règles d’entrées invalides sur la passerelle (Gateway).

1
12/13/71
 Ce problème est tiré d’une histoire vraie qui s’est produite en Algérie. L’entreprise de
gonflage de pneu subit un phénomène étrange qui se produit régulièrement. Chaque soir les
serveurs du siège commercial (situés au 4ème étage) s’éteignent brusquement à 23h00 et ne
redémarre que le matin à 6h00. Il en est de même pour les caméras de surveillance de ce
même étage (caméras IP piloté par un logiciel informatique). Mais ce qui est le plus étrange
c’est que ce phénomène change durant le mois de ramadan ou les serveurs ne s‘éteignent
qu’après el Imsak ( el adhan) pour redémarrer à 8h. Le PDG de l’entreprise étant très croyant
et surtout très cultivé fait appel à belahmer qui se déplace et récite plein d’incantations. Ceci
a pour effet de retarder l’extinction des serveurs jusqu’à 00h le jour même, le lendemain les
choses redeviennent comme avant. Dépité le PDG décide de prendre en considération l’avis
de son DSI et vous contacte pour l’aider à résoudre ce phénomène surnaturel. Arrivé sur les
lieux le DSI vous relate les faits et vous explique qu’il a mis en place un script qui lui permet
de recevoir une notification sur son téléphone chaque fois que les serveurs sont à l’arrêt.
Aussi dès que les serveurs s’arrêtent il contacte le chef de la sécurité pour vérifier qu’il n y
a pas d’incident majeur (incendie, effraction ou autre) le chef de la sécurité étant au rez de
chaussé il l’informe que tout va bien aucune coupure de courant signalée ni effraction ou
autre. Il vérifie la ligne téléphonique et l’informe que cette dernière est fonctionnelle.
Cependant quand il contacte les deux agents de sécurité de l’étage des serveurs. Ces derniers
ne répondent jamais. Une fois appelés sur leur téléphone mobile ils répondent au bout de
15 mn pour dire que le téléphone fixe n’a pas sonné, mais que leur mobile était sur mode
silencieux d’où le retard de réponse, mais que tout va bien et qu’il n’y a aucun problème à
signaler. Le DSI vous informe que lignes téléphoniques utilisent la technologie IP et par
conséquent fonctionnent grâce à un serveur ASTERISK et que si les serveurs sont à l’arrêt
donc la téléphonie ne fonctionne pas.
 Quel est le principe de fonctionnement du script utilisé par le DSI ?
…………………………………………………………………………………………
…………………………………………………………………………………………
………………………………………………………………………………………….
 Expliquer en détail le phénomène qui se produit dans cette entreprise
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
 Amir, un méchant pirate, a volontairement envoyé des paquets ICMP fragmentés à une cible
distante. La taille totale du paquet ICMP une fois reconstruit est supérieure à 65536 octets.
A partir de ces informations quel type d’attaque amir tente d’exécuter ?
 Syn Flood ;
 Smurf ;
 Ping of death;
 Fraggle.
 L’image suivante représente l’entête d’un mail. L’adresse IP de l’expéditeur du message est
……………………………………

 Lequel parmis ces LM hashes représente un mot de passe d’une taille inférieure à 8
caractères (il en existe deux)
 BA810DBA98995F1817306D272A9441BB
 44EFCE164AB921CQAAD3B435B51404EE
 0182BD0BD4444BF836077A718CCDF409
 CEC52EB9C8E3455DC2265B23734E0DAC
 B757BF5C0D87772FAAD3B435B51404EE
 E52CAC67419A9A224A3B108F3FA6CB6D
 Pris de panique, l’administrateur réseau vous contacte car il a constaté que des attaques de
type ARP spoofing et ARP poisoning sont lancées sur le réseau.
Réfléchissez, puis proposer
Trois approches permettant de sécuriser le réseau pour prévenir ce type d’attaques
 Approche 1 : sruw vhfxuiwb4 .…………………………………………………………
 Approche 2 : DUSzdwfk5 ………………………………………………………………
 Approche 3 : dguhvvh LS vwdwltxhv6 …………………………………………………

4
Indice empereur
5
Indice romain
6
Indice cachotier
 Abdelghani a réussi à synchroniser les sessions de son patron avec celles du serveur de
fichiers. Il a ensuite intercepté son trafic destiné au serveur, l'a modifié comme il le
souhaitait, puis l'a placé sur le serveur dans son répertoire personnel. Quelles est l’attaque
lancée par Abdelghani ?
 Sniffing ;
 Spoofing ;
 Man in the middle;
 DOS.
 Quelle serait la réponse lors d’un scan NULL si le port est ouvert ?
 SYN ;
 FIN ;
 ACK ;
 PSH ;
 RST ;
 Pas de réponse.
 Après avoir étudier les logs suivants, qu'est-ce que l'attaquant tente en fin de compte
d'atteindre ?
Mkdir –p /etc/X11/applink/Internet/.etc
Mkdir –p /etc/X11/applink/Internet/.etcpasswd
touch –acmr /etc/passwd /etc/X11/applnk/internet/.etcpasswd
touch –acmr /etc /etc/X11/applnk/Internet/.etc
passwd nobody –d
/usr/sbin/adduser dns –d/bin –u 0 –g 0 –s/bin/bash
passwd dns –d
touch –acmr /etc/X11/applnk/Internet/.etcpasswd /etc/passwd
touch –acmr /etc/X11/applnk/Internet/ .etc /etc
 Changer le mot de passe de l’utilisateur nobody ;
 Extraire des informations à partir d’un dossier local ;
 Modifier les heures de creation, d’accés de modification des fichiers;
 Télécharger des rootkits et des mots de passe dans un nouveau dossier.
 Quelle est la différence entre KALI et backtrack
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………