Incroyable le montage, je regardais quelques unes de tes vidéos d'il y a quelque mois et y a une grande progression. (Encore un sujet super interessant) 👍
Merci ! J'ai changé de logiciel là, et ca fait une partie de la diff je pense + Le fait que j'ai vraiment passé 1 semaine et demi sur le montage, mais je vais progresser pour aller plus vite (j'espère !)
Yes. C'est malheureusement la loi de l'offre et de la demande, perso si j'estime que le programme de bug bounty a des récompenses trop faibles, je n'y vais pas Mais si des hackers sont prêts à le faire, alors c'est que le programme est intéressant pour certains Ici, le bug a quand même beaucoup de prérequis : il faut que la victime ait le logiciel d'installé, que la caméra n'ait pas de cache physique, et qu'elle clique sur un lien, donc je peux comprendre une prime comme ça, mais ça a dû demander vraiment pas mal de temps a trouver donc c'est dommage pour le hacker :/
Salut, Je suis dans ton cours "elevation de privileges" sur ton site. Partie 5. Je sèche complétement, j'imagine que tu n'es plus actif sur ton site, donc je te pose la question ou tu l'es encore en esperant avoir une réponse. J'ai créé l'utilisateur usertest avec les options -m et -s comme demandé, j'ai fait tout ce qui est dit dans tes videos. Je les ai toutes reprises 5 fois mais rien n'y fait : Lorsque je me connecte avec "su usertest", la connexion se fait c'est ok. En revanche je ne peux pas accéder à cd Documents ... l'autocompletion ne fonctionne pas, et même quand je rentre tout à la main "cd Documents/cours/droits/" la permission ne m'est pas accordée. J'ai vraiment besoin d'aide ça fait 2j que je cherche la solution mais je ne la trouve nulle part .... Merci à toi
Exactement ! C'est une des raisons pour lesquelles ça n'a pas été payé si cher que ça à mon avis. Il reste toujours le micro, mais bon, c'est moins grave quand même.
@@hackintux5813 Je pense que c'est simplement le calcul du score cvss de la vuln qui ne permet pas une rémunération plus élevée par rapport à la grille des primes accordées par le programme. Si l'intégrité est pris en compte, ça devait être une élevée. Sinon une medium.
5:07 A mon avis, ils n'ont pas tellement fait ça pour empêcher la rétro ingénierie. Ils l'ont peut être juste stripper pour réduire la taille et optimiser le binaire.
Avoir le binaire en tant que tel, c'est pas très compliqué, il suffit d'avoir un logiciel pour lire de l'hexadecimal Mais tu ne pourras pas en faire grand chose, c'est pour ça que tu peux t'orienter sur des logiciels comme Ghidra qui te permettent de lire le binaire, et qui a également un décompilateur qui te permet de récupérer du pseudo code C à partir des différentes fonctions detectées par le logiciel Tu peux aussi utiliser un débuggeur comme GDB par exemple
Mais est ce que ça veut dire que les developpeurs de Zoom sont des incompétents?? c'est quand meme etrange que de tels professionnels ne comprennent pas une tel faille
Non pas du tout : tout le monde peut laisser des erreurs, ça arrive Des fois, ils doivent rapidement sortir des fonctionnalités, et ça leur met beaucoup de pression, ils doivent aller vite, et ça entraîne ce genre de choses
De toute façon j'imagine que jamais personne ne s'est permi d'être présent sur une visio pour le boulot en caleçon en croyant que la caméra était coupée hein. Pas vrai ?
Incroyable le montage, je regardais quelques unes de tes vidéos d'il y a quelque mois et y a une grande progression.
(Encore un sujet super interessant) 👍
Merci ! J'ai changé de logiciel là, et ca fait une partie de la diff je pense
+ Le fait que j'ai vraiment passé 1 semaine et demi sur le montage, mais je vais progresser pour aller plus vite (j'espère !)
J'aiiiime beaucoup l'initiative du montage ! Chouette vidéo :) :) :)
Merci :)
Pas mal, j'aurais imaginée une bounty plus élevée tout de même.
En effet c'est quand même assez peu même j'ai l'impression que pour certaines entreprises ils paient de moins en moins
Yes. C'est malheureusement la loi de l'offre et de la demande, perso si j'estime que le programme de bug bounty a des récompenses trop faibles, je n'y vais pas
Mais si des hackers sont prêts à le faire, alors c'est que le programme est intéressant pour certains
Ici, le bug a quand même beaucoup de prérequis : il faut que la victime ait le logiciel d'installé, que la caméra n'ait pas de cache physique, et qu'elle clique sur un lien, donc je peux comprendre une prime comme ça, mais ça a dû demander vraiment pas mal de temps a trouver donc c'est dommage pour le hacker :/
Super intéressant, merci.
Super le montage bravo. Merci 🙏🙏🙏
Super la vidéo 👍
Super vidéo !
Salut,
Je suis dans ton cours "elevation de privileges" sur ton site. Partie 5. Je sèche complétement, j'imagine que tu n'es plus actif sur ton site, donc je te pose la question ou tu l'es encore en esperant avoir une réponse.
J'ai créé l'utilisateur usertest avec les options -m et -s comme demandé, j'ai fait tout ce qui est dit dans tes videos. Je les ai toutes reprises 5 fois mais rien n'y fait :
Lorsque je me connecte avec "su usertest", la connexion se fait c'est ok.
En revanche je ne peux pas accéder à cd Documents ... l'autocompletion ne fonctionne pas, et même quand je rentre tout à la main "cd Documents/cours/droits/" la permission ne m'est pas accordée.
J'ai vraiment besoin d'aide ça fait 2j que je cherche la solution mais je ne la trouve nulle part ....
Merci à toi
Bah, il suffit de mettre un cache physique sur la caméra, pas besoin de craindre ce genre de hacking ! :)
Exactement ! C'est une des raisons pour lesquelles ça n'a pas été payé si cher que ça à mon avis. Il reste toujours le micro, mais bon, c'est moins grave quand même.
@@hackintux5813 Je pense que c'est simplement le calcul du score cvss de la vuln qui ne permet pas une rémunération plus élevée par rapport à la grille des primes accordées par le programme. Si l'intégrité est pris en compte, ça devait être une élevée. Sinon une medium.
5:07 A mon avis, ils n'ont pas tellement fait ça pour empêcher la rétro ingénierie. Ils l'ont peut être juste stripper pour réduire la taille et optimiser le binaire.
Oui très probablement en effet :)
Comment faire pour avoir le binaire d'une application ?. Merci pour votre réponse
Avoir le binaire en tant que tel, c'est pas très compliqué, il suffit d'avoir un logiciel pour lire de l'hexadecimal
Mais tu ne pourras pas en faire grand chose, c'est pour ça que tu peux t'orienter sur des logiciels comme Ghidra qui te permettent de lire le binaire, et qui a également un décompilateur qui te permet de récupérer du pseudo code C à partir des différentes fonctions detectées par le logiciel
Tu peux aussi utiliser un débuggeur comme GDB par exemple
@@hackintux5813 Ghidra est un logiciel payant ?
Merci pour votre réponse je veux essayer.
Donc Ghidra lu seulement de l'hexadécimal
Super
cool
Mais est ce que ça veut dire que les developpeurs de Zoom sont des incompétents?? c'est quand meme etrange que de tels professionnels ne comprennent pas une tel faille
Non pas du tout : tout le monde peut laisser des erreurs, ça arrive
Des fois, ils doivent rapidement sortir des fonctionnalités, et ça leur met beaucoup de pression, ils doivent aller vite, et ça entraîne ce genre de choses
ça veut dire qu'ils sont humains
@@nltelecom Vivement qu'ils soien grand remplacé par l'IA
@@KamaradeKriska Terminator tu connais? lol
C'est pour ça désactivez vos caméras dans le BIOS
Juste à mettre un cache.
Un cache, le bios peut tjs etre accessible par un attaquant.
De toute façon j'imagine que jamais personne ne s'est permi d'être présent sur une visio pour le boulot en caleçon en croyant que la caméra était coupée hein. Pas vrai ?
Non, personne ne fait ça 👀