@@tpevers1048 excuse nous Jsuis déjà content de savoir qu'après le téléchargement d'Exegol, je ne vais pas connaître les problèmes que d'autres ont pu expérimenter sur kali et autre !
Merci ! béotien curieux, j'connaissais pas. Merci également pour l'explication bien complète pour débuter ! Bonne continuation à toi cocadmin, ainsi que les intervenants que tu invites dans tes vidéos ! et vous aussi, les curieux abonnés ! merci aussi aux coms' qui complètent bien le sujet ! (un peu plus de refs en lien dans la description seraient bienvenus, mais ça va... on sait encore utiliser un moteur de recherche) comme d'hab' , hâte de la prochaine vidéo !
C'est pas si monolitique que ça, on peut installer kali dans un container et ça fonctionne très bien, mais c'est forcément plus lourd qu'un truc fait pour tourner sur docker bien sûr, et c'est moins facile à mettre à jour qu'une image docker. Cela dit je vais m'empresser de tester ça ! Merci pour la vidéo ! Référencement !
Petit retour d’expérience après 6 mois d’utilisation pro : 1. C’est très facile d’utilisation et certaines options font gagner beaucoup de temps (par exemple auto complétion des commandes via des templates) 2. C’est possible de travailler avec plusieurs client en même temps via le système de container 3. Les clients apprécient beaucoup car cela les rassurent que leurs données soient supprimés suite à un test d’intrusion
1 - tu n'a pas besoin d'exegol pour cela, ohmyzsh, ou encore arsenal de chez Orange, t'as plein d'outil pour fluidifier ton workflow 2 - je suis d'accord, mais c'est rare de trouver des auditeurs qui font du multi clients 3 - je ne vois pas bien comment ca peut les rassurer ? tu peux dvlpper merci
@@gaiusbaltar7122 salut, ca je l'avais saisie, mais justement en quoi exegol te protege d'une compromssion de ton poste ? surtout qu'une partie des données et résultats sont stocké dans un volume sur l'hote...la dockerisation, c'est l'isolement de l'environnement applicatif, et encore partiel dans ce cas, les données sont en dehors du container. J'aimerais bien comprendre comment les données clientes sont plus sécurisées avec exegol qu'avec une plateforme pure baremetal
Un docker pour faire du pentest... la blague. Pourtant pour l'avoir essayé et parcour, c'est très très bien fait, très bien structuré très bien outillé, les package sont très bien géré (pipx, rvm, ...) et la configuration vraiment propre (history, prompt) etc. Ca serait tellement bien, une option pour une install en VM ou sur une machine physique!
une vm complete plus légère qu'une micro virtualisation sous wsl ??? ca fait longtemps que je touche pas a windaub, t'as une source qui corrobore cela par des tests ? merci
Tu commences avec kali, tu progresses tu passes sur exegol, tu progresses et tu passes sur ton propre os custom, avec tout ce qu'il faut pour restore en cas de soucis je connais pas bcp de pro qui sont sur exegol Je pense que exegol a plus du potentiel pour concurrencer et remplacer Kali à terme. dans le domaine éducatif, c'est le must
@@cocadmin Cela fait plus de deux ans que je l'utilise pour les CTF d'apprentissage, et c'est vraiment super pour ça, bien mieux que Kali. Cependant, quand on est dans le milieu, on en voit les limites. Cela reste du Docker, donc de la virtualisation d'applications. Sur macOS et Windows, cela ajoute une couche de virtualisation supplémentaire, et les images consomment pas mal de Go. La gestion des fenêtres X11 sous macOS n'est pas idéale. Exegol est déjà assez connu chez les pros, je l'ai même promu, mais ça prend peu. Un pentester préfèrera personnaliser son Linux ou macOS, installer toutes ses applications manuellement. Aujourd'hui, tu peux installer de nombreux outils dédiés avec pipx, cargo, go, brew. Il ne manque rien, même sur macOS. Tu peux te faire un script d'installation en cas de pépin. Je le vois comme une parfaite plateforme d'apprentissage. D'ailleurs, vous interviewez bien un formateur ;) Il a vu l'intérêt immédiat. Mais aussi en cas de problème de dernière minute, tu peux déployer une plateforme tout-en-un, à condition de savoir la prendre en main. C'est mon cas, je l'ai installée au cas où... J'aimerais bien le voir évoluer sous la forme de Multipass d'Ubuntu, avec une interface web. Ce serait super pratique pour les étudiants de travailler confortablement depuis une simple tablette.
mdrrr en vrai ça a l'air con dit comme ça mais (je pose la question j'suis un noob) ce serait pas le genre de logiciels qui te permettent d'avoir des failles avec un impact tel que le moindre petit truc que tu trouve vaut beaucoup ?
L'explication a été coupée, mais ce que j'expliquais, c'est que sur un logiciel comme Word, on pourrait imaginer un scénario où il serait possible de créer un document Word malveillant qui exploiterait une vulnérabilité dans le logiciel pour permettre à l'attaquant d'exécuter du code arbitraire sur l'ordinateur en question. Word était un mauvais exemple car cela doit déjà être possible grâce aux macros (je ne m'y connais pas trop sur le sujet, donc c'est peut-être pas si simple), mais si les macros n'existaient pas, ça serait un vecteur d'attaque cohérent. Plus globalement, le pwn c'est l'exploitation de vulnérabilités "bas niveau", c'est-à-dire souvent lié à la gestion de la mémoire et ce genre de concepts. L'objectif est généralement d'avoir une RCE (remote code execution) donc prendre le contrôle d'un ordinateur à distance, ou de LPE (local privilege escalation) donc élever ses privilèges sur un ordinateur sur lequel on a déjà le contrôle (en gros, devenir admin pour faire ce qu'on veut sur l'ordinateur)
plus besoin de mettre les mains dans le camboui... je fais confiance à une planete sith ?😂 c'est pas un peu Comme si DR Strange avais acheté sa cape sur Amazone ? je reconnais que c'est pratique... Sinon belle équipe, ça fais plaisir. merci Cocadmin pour tes vidéos instructives.😇👌
Je l’utilise depuis 6 mois en pro, c’est très apprécié par les clients en raison de la confidentialité que cela apporte (suppression des container suite au pentest), et c’est très pratique pour nous. Ça facilite aussi beaucoup si on travail sur plusieurs client en même temps pour compartimenter !
Merci, très intéressant, mais perso j'aime pas l'idée que mon outil pro dépend d'une seul technologie "Docker". Un iso, j'ai plein de solutions pour l'installer et le manipuler ! Bref tout dépend de Docker dans se projet,..
- Exegol n’est pas un OS, c’est un conteneur docker avec une image Kali Linux - On peut faire une copie partielle de sa VM avec une VM mère template, la VM ne fait que 3/4 Go tout au plus, comme exegol avec un nouveau conteneur - Une VM Kali : 20 Go, un conteneur Exegol : 40Go Bref beaucoup de bruit pour pas grand chose, un script qui installerait tous les outils dans Kali ferait tout aussi bien. Beaucoup de hype pour pas grand chose
dsl mais pour dire ce que tu dis, tu ne l'a pas utlisé ou mal compris d'ailleurs le créateur le dit dans sa vidéo, et cela est vrai, la gestion des snapshots VM, c une galere à la longue la conteneurisation c'est bcp plus léger, tu as certes une image de 40Go, mais des containeurs ne font pas 40g, tu n'aurais pas 10x40go de data pour 10 clients. Ce que les VM ne te permettront pas de réaliser d'autant plus que l'image d'exegol ne contient pas KALI, mais est basé sur une structure Debian, y a pas d'OS dedans.
- Nope ;) ce sont des images bien différentes, on ne s'appuie pas sur Kali, et l'écosystème Exegol diffère de Kali en bien des points (wrapper, ressources, communauté, facilité de contribution, etc.) - En ce qui concerne les VMs, c'est une question de goûts et de couleurs. Nous concernant, on trouve les copies trop longues, trop lourdes, le process trop fastidieux - Un conteneur Exegol ne pèse quasi rien, c'est son image qui pèse ~50Go (pour l'image complète). Avec la VM Kali 20Go tu peux pas travailler correctement, donc c'est minmum 40-50Go, et chaque copie prendra beaucoup de place. Là où côté Exegol/Docker, une image peut être déployé sur de nombreux conteneurs ne pesant que très peu - Le script qui installerait tous les outils dans Kali ne disposerait pas de CI/CD avec runners multi-archi on-prem pour tests unitaires, et renforcerait ce côté monolithique Libres sont les néophytes de rester sur Kali et de le défendre bec et ongles Rationnels sont les professionels qui passent sur Exegol (ou autre solution != Kali mono-VM/host-install)
@@faridlannabi Je l’ai beaucoup utilisé. Kali est basé sur Debian, même chose ici. Je ne parle pas de snapshot, je parle de clonage partiel de la Vm, fonction native que tous les gestionnaires de machines virtuels possèdent, ta VM clonée ne fera que 1/10 de la taille de l’image source. Tout comme un conteneur, tu configures ta Kali de 40 Go et tu en fais un clone partiel et tu te retrouves avec une Vm de 4 Go, de quoi faire un paquet de TI en parallèle. Un conteneur n’est pas plus compliqué à gérer qu’une Vm clonée. Oui un conteneur n’est pas un OS, abus de langage pour faire simple :)
@@Alkatsu j’avais parfaitement compris, ca fait 25 ans que je l’utilise , ce sont des snapshots dites incrémentales. Tu dépendras quoi qu’il arrive de la VM mère. Manipule plus des images docker, tu comprendras réellement le bénéfice vs la virtualisation dites lourdes
mauvais choix d'outil, retard important sur les versions des outils choisis, installations mal fichues, contribution difficile, pas de ressources (c.f. Exegol-resources), pas de wrapper python pour docker, images qui ne sont pas faites pour fonctionner expressément dans docker conjointement à un wrapper hôte, etc.
Est-il possible de personnaliser son propre environnement et d'ajouter des outils de manière autonome, sans l'approbation de la communauté ? Si l'environnement est fermé et que je souhaite utiliser mes propres outils, quelles sont les alternatives ou solutions possibles ?
j'imagine que tu peux fork exegol et enlever tous les outils que tu ne veux pas et ajouter les tiens mais je suis pas sur que ca soit tres utiles, l'image est pas tres grosses et t'as deja des version specialisé avec justes les outils d'un domain specific. c'est probablement plus simple de demander a ajouter les outils que tu veux
Tu peux build ta propre image « custom » mais aussi utiliser la partie « my-resources » pour ajouter tes scripts d’installations d’outil qui sera exécuté à la création de ton container !
perso je reste sur ma Kali Linux 🥰 je suis amoureux d'elle vraiment, le jour de mon mariage j'ai mie un grand écran avec la distribution Kali Linux ouvert et je suis sérieux Kali Linux rien d'autre ! enfin si un cerveau et Kali Mouuuaaaaaaaaaah
kali ca marche très bien, surtout avec l'expérience, tu peux te défaire de petit probleme, exegol c'est plus léger, si tu as un mac, et que tu veux pas lacher macos, les deux combinés c'est top, essaie
@@cocadmin Bon, ok, cela doit faire précisément 18 mois, en janvier/février 2023 au plus tard (dans mon souvenir possible meme que ca date de fin 2022 ma découverte de l'outil). Je l'avais testé et fait découvrir dans la foulée à ma session de formation, et je soûlais déjà tous mes collègues avec cette découverte pépite (si j'avais pu acheté des actions je l'aurais fait je pense mdr) bref l'outil a été directement adopté et encore aujourd'hui plus que jamais installer. D'ailleurs, j'en avais entendu parler ailleurs, donc il était déjà disponible à l'époque. Cependant, je suis désolé d'avoir été trigger par Nouveau et Exegol ^^
J'aimerai bien savoir depuis quand Exegol est dispo sur le web (même version beta) car je viens de vérifier j'étais en Mastère Cyber entre septembre 2022 et Mai 2023 et je suis certain de l'avoir découvert au cours de l'année..
@@PumaFraKC en fait t'as raison ca fait 4ans que le projets a débuter haha github.com/ThePorgs/Exegol/commits/master/?after=b7a3609f6e0d39563cfa5f48f16f72941fb75811+1214
Pas du tout la meilleure, kali Linux restera souvent la meilleure option, son support communautaire très actif, ses mises à jour régulières, sa flexibilité d’installation en font une distribution de choix malgré tout. PARROT, BLACKARCH, TSURUGI, COMMANDO VM, sont de très bonne option. Le seul argument pour exegol c’est que c’est français. Personnellement j’ai juste vu un commercial vendre son produit
@@cocadmin Sylvain et Pierre, de la chaîne Vilebrequin, qui font des vidéos sur les voitures. Des expériences (avec de la destruction), des essais, et des explications de technologies de voiture (les Vultech)
Je félicite la démarche, quelqu’en que crée un project comme ça c’est très bien… mais ils sont toujours à viser les failles des autres systèmes, est ça c’est pas bon, des fois je me suis posé la question, il ont fait la vidéo pour pouvoir parler mal des autres ou pour montrer la qualité de leur projet?! Je ne sais pas les autres mais kali Linux marche très bien, je ne pas perdue plus de temp a le configurer que j’aurais perdue configurer un docker. Et pour finaliser, un professionnel, un vrai, n’utilise pas kali ni parrot, ils ont une distribution tout à fait normal comme ubuntu ou Debian, et ils installent que les outils qu’il ont besoin… personne n’a jamais utilisé 100% des outils de kali… qui a même utilisé plus de 15 ?! C’est très bien de lancer un projet comme ça, mais ne soient toujours en train de parlées des défauts des autres.
Je trouve aussi décevant qu’il soit obligé de critiquer les autres distributions pour promouvoir la sienne, une comparaison objective et respectueuse serais plus professionnel et bénéfique
Je suis d'accord. J'ai trouvé assez agressif de tailler les autres distrib. D'autant qu'elles font le job depuis des années. Exegol est forcément un héritage de tous ces projets ne serait-ce que par le catalyseur de connaissances et de logiciels qu'ils représentent. Heureusement j'ai fait l'effort de regarder la vidéo parce que sinon je me serais arrêté a la page d'accueil !
@@sebpjee Exactement, moi j’ai pas regardé la vidéo en entier parce que je suis aller à une de ses conférences et c’était la même choses, que de la critique sur Kali et autres. Ils donnaient aussi des "conseils" sur comment trouver du travail et un de ses conseils m’a choqué ainsi que d’autre dans les rangs. En gros il disait si vous ne trouvez pas de boulot en cyber changez de domaine et je suis pas du tout d’accord. Je suis dans l’optique de dire que si vous ne trouvez pas de boulot, échangez avec des personnes sur LinkedIn, faites des Post en parlant du domaine et en sachant vulgariser et surtout persévérez, il y a bien quelqu’un, un jour qui vous fera confiance, qui trouvera en vous une compétence/qualité recherchée et vous donnera votre chance.
C'est dommage tous ces pseudos, nicknames, ou juste les prénoms des invités.... par exemple, moi qui suis en processus de creation de boite en cybersécu (Var 83 - Provence), j'aimerais me rapprocher d'un tel ou d'un tel, afin qu'il me mette en relation avec par exemple de potentiels candidats ou futurs salariés ou futurs consultants au coup par coup, selon les demandes spécifiques de mes clients... Je regrette cette pseudo culture du "côté Obscur de la Force" alors qu'on parle ici d'une école tout à fait officielle, Qualiopi et France Compétences... Quel intérêt ? Maintenant concernant Exegol, très bien ! très beau projet ! Mais où trouver des supports de cours, des Moocs ou des Formations Online par exemple ? A priori c'est compliqué !
Désolé. Je sais que dès lors qu'on est pas en extase devant un youtubeur ou qu'on exprime un certain scepticisme, on passe d'emblée pour un "hater" et on se fait copieusement insulter, ou, au mieux réprimander. Néanmoins, je pense que ce qu'il raconte est très peu crédible et même très curieux. Je résume ce qu'il dit de sa démarche: 1- il a utilisé un outil sur Kali qu'il ne maitrisait pas, ce qui lui a cassé son système (sous Linux, il faut vraiment le faire pour casser son système avec un applicatif). Il avoue par ailleurs ne pas connaitre grand chose en développement. 2- la réinstallation lui a pris une nuit (manifestement, il semble ne pas connaitre grand chose à l'informatique en général non plus). 3- il a décidé ne ne plus subir ça et sa solution a consisté à développer un environnement "plus stable, plus mis à jour et plus adapté à ses besoins". Donc il reproche à Kali les résultats de sa propre incompétence avouée d'une part. Et le type qui ne connait rien en développement a décidé, pour ne plus être victime de son incompétence, de développer un nouveau système plus performant en terme de stabilité . Autrement dit, l'incompétent a tout simplement décidé de construire un meilleur outil que l'outil de référence... Je résume davantage: BULLSHIT!
Mouais. Une base de VM, que des clones, un par projet , et tu détruis le clone lorsque t'as recetté ton projet. Plein d'arguments vendus mais qui sont totalement applicables aux clones de VMs.
Yep tu peu très bien le faire avec des vm, c’est juste un peu plus lourd parce que l’image doit être dupliquée pour chaque vm alors qu’avec des conteneur tu peu avoir 200 projets ça consommera toujours 1x l’espace. Ca démarre aussi instant, tu peux switch de l’un à l’autre sans éclatée ta ram etc
@@cocadmin un clone lié ça consomme pas plus d'espace que l'image de base, c'est un disque différentiel (comme un espace de stockage docker). Après perso, je change pas de client de pentest 10x dans la journée, donc si ma VM met 30 secondes a boot j'avoue que c'est pas ce qui va changer ma vie, mais je comprends le besoin pour certains
@@toto7571 jsutemnt, c un soucis la gestion des snapshots par VM, c pas fait pour un grand nombre comme c'est le cas avec des instances docker sans parler que si tu supprimes un noeud de ton arboresence, c'est tout ce qui se trouve en dessous qui est perdu, c'est pas le cas avec la conteneurisation es tu édutiant ?
Exegol une référence
💪🏼
I don't really trust them 😊 I prefer creating my own docker images
@@tpevers1048 excuse nous
Jsuis déjà content de savoir qu'après le téléchargement d'Exegol, je ne vais pas connaître les problèmes que d'autres ont pu expérimenter sur kali et autre !
Merci !
béotien curieux, j'connaissais pas.
Merci également pour l'explication bien complète pour débuter !
Bonne continuation à toi cocadmin,
ainsi que les intervenants que tu invites dans tes vidéos !
et vous aussi, les curieux abonnés !
merci aussi aux coms' qui complètent bien le sujet !
(un peu plus de refs en lien dans la description seraient bienvenus,
mais ça va... on sait encore utiliser un moteur de recherche)
comme d'hab' , hâte de la prochaine vidéo !
Ultra intéressant du début à la fin merci.
Super bonne nouvelle l'intégration d'Exegol dans la formation 2600 👍
Génial t'es contenu cocadmin continue 👌
Mec je te regarde depuis je tiens à te féliciter très bonne vidéo j'ai appris énormément
Encore un Banger cette vidéo, merci de toutes ces informations et témoignages. Je vais (Pen)tester ça de la semaine 😁
la vidéo était vraiment super intéressante, autant la partie présentation de l'outil Exegol que celle avec les étudiants !
Très bonne référence !
Super vidéo. Exegol un outil que j'aimerais avoir la possibilité d'utiliser plus souvent
C'est pas si monolitique que ça, on peut installer kali dans un container et ça fonctionne très bien, mais c'est forcément plus lourd qu'un truc fait pour tourner sur docker bien sûr, et c'est moins facile à mettre à jour qu'une image docker. Cela dit je vais m'empresser de tester ça ! Merci pour la vidéo ! Référencement !
Vrmt un outils top, c'est vraiment un gain de temps insane
kezako VRMT ? un lien peut-être ?
@@FrancoAmorto "vraiment"
@@hadzah_fr oui vraiment...
@@FrancoAmorto ?
@@hadzah_fr mais je te taquine !
Petit retour d’expérience après 6 mois d’utilisation pro :
1. C’est très facile d’utilisation et certaines options font gagner beaucoup de temps (par exemple auto complétion des commandes via des templates)
2. C’est possible de travailler avec plusieurs client en même temps via le système de container
3. Les clients apprécient beaucoup car cela les rassurent que leurs données soient supprimés suite à un test d’intrusion
1 - tu n'a pas besoin d'exegol pour cela, ohmyzsh, ou encore arsenal de chez Orange, t'as plein d'outil pour fluidifier ton workflow
2 - je suis d'accord, mais c'est rare de trouver des auditeurs qui font du multi clients
3 - je ne vois pas bien comment ca peut les rassurer ? tu peux dvlpper merci
@@faridlannabi
1 - Tu fais pas de recherches
2 - T'utilises pas Exegol
3 - Tu contredis les gens
@@faridlannabi Il veut surement parler de données éventuellement exfiltrées, ce qui va de soi, peu importe l'outil, sous peine de poursuites pénales.
@@gaiusbaltar7122 salut, ca je l'avais saisie, mais justement en quoi exegol te protege d'une compromssion de ton poste ? surtout qu'une partie des données et résultats sont stocké dans un volume sur l'hote...la dockerisation, c'est l'isolement de l'environnement applicatif, et encore partiel dans ce cas, les données sont en dehors du container. J'aimerais bien comprendre comment les données clientes sont plus sécurisées avec exegol qu'avec une plateforme pure baremetal
Aucun point négatif ?
Un docker pour faire du pentest... la blague. Pourtant pour l'avoir essayé et parcour, c'est très très bien fait, très bien structuré très bien outillé, les package sont très bien géré (pipx, rvm, ...) et la configuration vraiment propre (history, prompt) etc.
Ca serait tellement bien, une option pour une install en VM ou sur une machine physique!
Perso utilisant un windows , le docker engine fonctionne sur le wsl de windows ce qui est beaucoup moins efficace que en utilisant une vm sur VMware.
@@Idk6303r Exactement.
techniquement wsl est une vm :) a moins que tu ai l'ancien wsl 1.0
une vm complete plus légère qu'une micro virtualisation sous wsl ??? ca fait longtemps que je touche pas a windaub, t'as une source qui corrobore cela par des tests ? merci
@@faridlannabi tu peux essayer par toi même mais c'est ce que j'ai remarqué .
Tu commences avec kali, tu progresses tu passes sur exegol, tu progresses et tu passes sur ton propre os custom, avec tout ce qu'il faut pour restore en cas de soucis
je connais pas bcp de pro qui sont sur exegol
Je pense que exegol a plus du potentiel pour concurrencer et remplacer Kali à terme.
dans le domaine éducatif, c'est le must
je crois que exegol a juste 1an, surement que dans le future de plus en plus de gens vont l'utiliser professionnellement
Je travail dans un grand groupe de conseil en cybersécurité, tu te trompes tout le monde utilise exegol là-bas !
@@cocadmin Cela fait plus de deux ans que je l'utilise pour les CTF d'apprentissage, et c'est vraiment super pour ça, bien mieux que Kali. Cependant, quand on est dans le milieu, on en voit les limites. Cela reste du Docker, donc de la virtualisation d'applications. Sur macOS et Windows, cela ajoute une couche de virtualisation supplémentaire, et les images consomment pas mal de Go. La gestion des fenêtres X11 sous macOS n'est pas idéale.
Exegol est déjà assez connu chez les pros, je l'ai même promu, mais ça prend peu. Un pentester préfèrera personnaliser son Linux ou macOS, installer toutes ses applications manuellement. Aujourd'hui, tu peux installer de nombreux outils dédiés avec pipx, cargo, go, brew. Il ne manque rien, même sur macOS. Tu peux te faire un script d'installation en cas de pépin.
Je le vois comme une parfaite plateforme d'apprentissage. D'ailleurs, vous interviewez bien un formateur ;) Il a vu l'intérêt immédiat. Mais aussi en cas de problème de dernière minute, tu peux déployer une plateforme tout-en-un, à condition de savoir la prendre en main. C'est mon cas, je l'ai installée au cas où...
J'aimerais bien le voir évoluer sous la forme de Multipass d'Ubuntu, avec une interface web. Ce serait super pratique pour les étudiants de travailler confortablement depuis une simple tablette.
Exegol c’est une image kali Linux avec des fichiers customs, il n’y a pas de concurrence entre un OS et une image docker.
??? tu peux développer, je ne suis pas sur de t'avoir compris, merci.
Merci pour le partage ☺️
Super video ! Merci. Je reste scotché à la même question depuis des années. Comment me former ?
Félicitations les gars.
trop bien ce projet !
Merci 🙏
Très intéressant 😊
Merci, j'vais tester ça.
« Exploiter des vulnérabilités dans des logiciels, par exemple Word » MDRR
mdrrr en vrai ça a l'air con dit comme ça mais (je pose la question j'suis un noob) ce serait pas le genre de logiciels qui te permettent d'avoir des failles avec un impact tel que le moindre petit truc que tu trouve vaut beaucoup ?
Ben oui, la suite office est une des méthodes d’infection principales via les macros donc une faille importante chez eux serait critique
@@ThetaSigma87regarde processus Thierry, il a une vidéo où il montre comment obtenir des élévations de privilèges avec Word.
L'explication a été coupée, mais ce que j'expliquais, c'est que sur un logiciel comme Word, on pourrait imaginer un scénario où il serait possible de créer un document Word malveillant qui exploiterait une vulnérabilité dans le logiciel pour permettre à l'attaquant d'exécuter du code arbitraire sur l'ordinateur en question. Word était un mauvais exemple car cela doit déjà être possible grâce aux macros (je ne m'y connais pas trop sur le sujet, donc c'est peut-être pas si simple), mais si les macros n'existaient pas, ça serait un vecteur d'attaque cohérent.
Plus globalement, le pwn c'est l'exploitation de vulnérabilités "bas niveau", c'est-à-dire souvent lié à la gestion de la mémoire et ce genre de concepts. L'objectif est généralement d'avoir une RCE (remote code execution) donc prendre le contrôle d'un ordinateur à distance, ou de LPE (local privilege escalation) donc élever ses privilèges sur un ordinateur sur lequel on a déjà le contrôle (en gros, devenir admin pour faire ce qu'on veut sur l'ordinateur)
plus besoin de mettre les mains dans le camboui... je fais confiance à une planete sith ?😂 c'est pas un peu Comme si DR Strange avais acheté sa cape sur Amazone ? je reconnais que c'est pratique... Sinon belle équipe, ça fais plaisir.
merci Cocadmin pour tes vidéos instructives.😇👌
Salut, j'ai sorti un nouvel outil d'apprentissage pour les enfants, le projet s'appelle KORRIBAN tu veux y envoyer ton enfant ?
hmm... 🙃
je l'aurais plutôt inscris à la GreyHatAcadémie si ça ne te fais rien... pour l'équilibre 😁
Exegol
Un must have
Salut auriez-vous un tuto pour exagol ?
Je sature de kali 😂
Intéressant. Il y a des utilisateurs d'Exegol ici qui peuvent faire un retour fonctionnel ?
Très bon outil, plus besoin de s'enquiquiner avec Kali
Je l'utilise depuis plus de 3 mois, rien à dire, commu active, outil impeccable.
Je l’utilise depuis quelques années, j’en suis ravi 👀
@@_nwodtuhspareil depuis 2ans et jamais eu un seul problème 😈
Je l’utilise depuis 6 mois en pro, c’est très apprécié par les clients en raison de la confidentialité que cela apporte (suppression des container suite au pentest), et c’est très pratique pour nous. Ça facilite aussi beaucoup si on travail sur plusieurs client en même temps pour compartimenter !
Merci, très intéressant, mais perso j'aime pas l'idée que mon outil pro dépend d'une seul technologie "Docker". Un iso, j'ai plein de solutions pour l'installer et le manipuler !
Bref tout dépend de Docker dans se projet,..
Pourquoi un tel angle de caméra ? T'as une équipe pour tourner ou tu fais tout toi même bg ?
- Exegol n’est pas un OS, c’est un conteneur docker avec une image Kali Linux
- On peut faire une copie partielle de sa VM avec une VM mère template, la VM ne fait que 3/4 Go tout au plus, comme exegol avec un nouveau conteneur
- Une VM Kali : 20 Go, un conteneur Exegol : 40Go
Bref beaucoup de bruit pour pas grand chose, un script qui installerait tous les outils dans Kali ferait tout aussi bien.
Beaucoup de hype pour pas grand chose
dsl mais pour dire ce que tu dis, tu ne l'a pas utlisé ou mal compris
d'ailleurs le créateur le dit dans sa vidéo, et cela est vrai, la gestion des snapshots VM, c une galere à la longue
la conteneurisation c'est bcp plus léger, tu as certes une image de 40Go, mais des containeurs ne font pas 40g, tu n'aurais pas 10x40go de data pour 10 clients.
Ce que les VM ne te permettront pas de réaliser
d'autant plus que l'image d'exegol ne contient pas KALI, mais est basé sur une structure Debian, y a pas d'OS dedans.
- Nope ;) ce sont des images bien différentes, on ne s'appuie pas sur Kali, et l'écosystème Exegol diffère de Kali en bien des points (wrapper, ressources, communauté, facilité de contribution, etc.)
- En ce qui concerne les VMs, c'est une question de goûts et de couleurs. Nous concernant, on trouve les copies trop longues, trop lourdes, le process trop fastidieux
- Un conteneur Exegol ne pèse quasi rien, c'est son image qui pèse ~50Go (pour l'image complète). Avec la VM Kali 20Go tu peux pas travailler correctement, donc c'est minmum 40-50Go, et chaque copie prendra beaucoup de place. Là où côté Exegol/Docker, une image peut être déployé sur de nombreux conteneurs ne pesant que très peu
- Le script qui installerait tous les outils dans Kali ne disposerait pas de CI/CD avec runners multi-archi on-prem pour tests unitaires, et renforcerait ce côté monolithique
Libres sont les néophytes de rester sur Kali et de le défendre bec et ongles
Rationnels sont les professionels qui passent sur Exegol (ou autre solution != Kali mono-VM/host-install)
@@faridlannabi Je l’ai beaucoup utilisé. Kali est basé sur Debian, même chose ici.
Je ne parle pas de snapshot, je parle de clonage partiel de la Vm, fonction native que tous les gestionnaires de machines virtuels possèdent, ta VM clonée ne fera que 1/10 de la taille de l’image source.
Tout comme un conteneur, tu configures ta Kali de 40 Go et tu en fais un clone partiel et tu te retrouves avec une Vm de 4 Go, de quoi faire un paquet de TI en parallèle.
Un conteneur n’est pas plus compliqué à gérer qu’une Vm clonée.
Oui un conteneur n’est pas un OS, abus de langage pour faire simple :)
@@Alkatsu j’avais parfaitement compris, ca fait 25 ans que je l’utilise , ce sont des snapshots dites incrémentales. Tu dépendras quoi qu’il arrive de la VM mère. Manipule plus des images docker, tu comprendras réellement le bénéfice vs la virtualisation dites lourdes
Pourquoi ne pas utiliser kali mais avec docker ?
mauvais choix d'outil, retard important sur les versions des outils choisis, installations mal fichues, contribution difficile, pas de ressources (c.f. Exegol-resources), pas de wrapper python pour docker, images qui ne sont pas faites pour fonctionner expressément dans docker conjointement à un wrapper hôte, etc.
Est-il possible de personnaliser son propre environnement et d'ajouter des outils de manière autonome, sans l'approbation de la communauté ? Si l'environnement est fermé et que je souhaite utiliser mes propres outils, quelles sont les alternatives ou solutions possibles ?
j'imagine que tu peux fork exegol et enlever tous les outils que tu ne veux pas et ajouter les tiens mais je suis pas sur que ca soit tres utiles, l'image est pas tres grosses et t'as deja des version specialisé avec justes les outils d'un domain specific.
c'est probablement plus simple de demander a ajouter les outils que tu veux
Tu peux build ta propre image « custom » mais aussi utiliser la partie « my-resources » pour ajouter tes scripts d’installations d’outil qui sera exécuté à la création de ton container !
"The gayer the furry, the more threat he is to National Security" - SiegedSec
J'ai pas bien compris ce qu'est kali linux
un os avec plein d'aoutils de cybersec préinstallé
@@cocadmin merci chef
perso je reste sur ma Kali Linux 🥰 je suis amoureux d'elle vraiment, le jour de mon mariage j'ai mie un grand écran avec la distribution Kali Linux ouvert et je suis sérieux Kali Linux rien d'autre ! enfin si un cerveau et Kali Mouuuaaaaaaaaaah
kali ca marche très bien, surtout avec l'expérience, tu peux te défaire de petit probleme, exegol c'est plus léger, si tu as un mac, et que tu veux pas lacher macos, les deux combinés c'est top, essaie
ils ont pas parlé des pokep*tes dommage, seulement les fr present a la defcon l'année dernier auront la ref ^^
Une révolution 😂
Nouvel outil ? J'ai passé mon mastère cyber il y a bientôt 2 ans en grande partie sur Exegol pour le perso et kali pour les cours..
tu devais etre un des premier user, exegol est sortit l'anné derniere je crois :)
@@cocadmin Bon, ok, cela doit faire précisément 18 mois, en janvier/février 2023 au plus tard (dans mon souvenir possible meme que ca date de fin 2022 ma découverte de l'outil). Je l'avais testé et fait découvrir dans la foulée à ma session de formation, et je soûlais déjà tous mes collègues avec cette découverte pépite (si j'avais pu acheté des actions je l'aurais fait je pense mdr) bref l'outil a été directement adopté et encore aujourd'hui plus que jamais installer. D'ailleurs, j'en avais entendu parler ailleurs, donc il était déjà disponible à l'époque. Cependant, je suis désolé d'avoir été trigger par Nouveau et Exegol ^^
J'aimerai bien savoir depuis quand Exegol est dispo sur le web (même version beta) car je viens de vérifier j'étais en Mastère Cyber entre septembre 2022 et Mai 2023 et je suis certain de l'avoir découvert au cours de l'année..
@@PumaFraKC en fait t'as raison ca fait 4ans que le projets a débuter haha
github.com/ThePorgs/Exegol/commits/master/?after=b7a3609f6e0d39563cfa5f48f16f72941fb75811+1214
Il a pas tant changé Alkpote
Pas du tout la meilleure, kali Linux restera souvent la meilleure option, son support communautaire très actif, ses mises à jour régulières, sa flexibilité d’installation en font une distribution de choix malgré tout.
PARROT, BLACKARCH, TSURUGI, COMMANDO VM, sont de très bonne option.
Le seul argument pour exegol c’est que c’est français.
Personnellement j’ai juste vu un commercial vendre son produit
Waaaahhhhh, c'est incroyable ! Bye bye Kali 👋🫡
interassant , mais le montage , les coupures .... c'est juste agaçant.Dommage
Il n'est pas censé faire un Vultech plutôt lui ?
c'est quoi ?
J'ai la ref
J'avais pas remarqué mais on dirait Sylvain 😂😂😂😂😂😂
Mdr tellement un petit vultech différentiel
@@cocadmin Sylvain et Pierre, de la chaîne Vilebrequin, qui font des vidéos sur les voitures. Des expériences (avec de la destruction), des essais, et des explications de technologies de voiture (les Vultech)
Ça n'existe pas le "meilleur outil de hacking", ça ne veut rien dire d'ailleurs!
Je félicite la démarche, quelqu’en que crée un project comme ça c’est très bien… mais ils sont toujours à viser les failles des autres systèmes, est ça c’est pas bon, des fois je me suis posé la question, il ont fait la vidéo pour pouvoir parler mal des autres ou pour montrer la qualité de leur projet?! Je ne sais pas les autres mais kali Linux marche très bien, je ne pas perdue plus de temp a le configurer que j’aurais perdue configurer un docker. Et pour finaliser, un professionnel, un vrai, n’utilise pas kali ni parrot, ils ont une distribution tout à fait normal comme ubuntu ou Debian, et ils installent que les outils qu’il ont besoin… personne n’a jamais utilisé 100% des outils de kali… qui a même utilisé plus de 15 ?!
C’est très bien de lancer un projet comme ça, mais ne soient toujours en train de parlées des défauts des autres.
#merci_exegol
#karate_pas_bagarre ❤
@@LightxR1337 awa awawa awawawa awa awawawawa
@@penthium2Awa Awa Awa Awawa merde..... 😂
il vient d'arriver un peu pute a clique ça fait au moins un an que je l'utilise :)
Je trouve aussi décevant qu’il soit obligé de critiquer les autres distributions pour promouvoir la sienne, une comparaison objective et respectueuse serais plus professionnel et bénéfique
Je suis d'accord. J'ai trouvé assez agressif de tailler les autres distrib. D'autant qu'elles font le job depuis des années. Exegol est forcément un héritage de tous ces projets ne serait-ce que par le catalyseur de connaissances et de logiciels qu'ils représentent. Heureusement j'ai fait l'effort de regarder la vidéo parce que sinon je me serais arrêté a la page d'accueil !
@@sebpjee Exactement, moi j’ai pas regardé la vidéo en entier parce que je suis aller à une de ses conférences et c’était la même choses, que de la critique sur Kali et autres.
Ils donnaient aussi des "conseils" sur comment trouver du travail et un de ses conseils m’a choqué ainsi que d’autre dans les rangs.
En gros il disait si vous ne trouvez pas de boulot en cyber changez de domaine et je suis pas du tout d’accord.
Je suis dans l’optique de dire que si vous ne trouvez pas de boulot, échangez avec des personnes sur LinkedIn, faites des Post en parlant du domaine et en sachant vulgariser et surtout persévérez, il y a bien quelqu’un, un jour qui vous fera confiance, qui trouvera en vous une compétence/qualité recherchée et vous donnera votre chance.
C'est dommage tous ces pseudos, nicknames, ou juste les prénoms des invités.... par exemple, moi qui suis en processus de creation de boite en cybersécu (Var 83 - Provence), j'aimerais me rapprocher d'un tel ou d'un tel, afin qu'il me mette en relation avec par exemple de potentiels candidats ou futurs salariés ou futurs consultants au coup par coup, selon les demandes spécifiques de mes clients...
Je regrette cette pseudo culture du "côté Obscur de la Force" alors qu'on parle ici d'une école tout à fait officielle, Qualiopi et France Compétences... Quel intérêt ?
Maintenant concernant Exegol, très bien ! très beau projet ! Mais où trouver des supports de cours, des Moocs ou des Formations Online par exemple ? A priori c'est compliqué !
tu peux demander a l'école directement :)
sur leur site ils ont un espace recrutement
Désolé. Je sais que dès lors qu'on est pas en extase devant un youtubeur ou qu'on exprime un certain scepticisme, on passe d'emblée pour un "hater" et on se fait copieusement insulter, ou, au mieux réprimander. Néanmoins, je pense que ce qu'il raconte est très peu crédible et même très curieux. Je résume ce qu'il dit de sa démarche: 1- il a utilisé un outil sur Kali qu'il ne maitrisait pas, ce qui lui a cassé son système (sous Linux, il faut vraiment le faire pour casser son système avec un applicatif). Il avoue par ailleurs ne pas connaitre grand chose en développement. 2- la réinstallation lui a pris une nuit (manifestement, il semble ne pas connaitre grand chose à l'informatique en général non plus). 3- il a décidé ne ne plus subir ça et sa solution a consisté à développer un environnement "plus stable, plus mis à jour et plus adapté à ses besoins".
Donc il reproche à Kali les résultats de sa propre incompétence avouée d'une part. Et le type qui ne connait rien en développement a décidé, pour ne plus être victime de son incompétence, de développer un nouveau système plus performant en terme de stabilité . Autrement dit, l'incompétent a tout simplement décidé de construire un meilleur outil que l'outil de référence...
Je résume davantage: BULLSHIT!
gamberge
pipeline != CI/CD
Cad ? Preneur d’explications ça m’évitera de (re)dire n’importe quoi 😁
@@_nwodtuhs c'est lui qui dit n'importe quoi , il l'air d'être un troll
EXEGOL PROPAGANDA !! :D
IMT rpz
First pour une fois 😂
tu peux mieux expliquer ce qui se passe sur windows actuellement a cause d'un mis a jour
;)
l'école 42 est le meilleur école cyber ?
Non, ESGI ou École 2600
@@massim0x0mdr pas sûr pour l’ESGI 😂
L’ESNA est super
42 est pas spécialisé cyber. Pour les autres écoles que 2600 je connais pas je peux pas dire
J'ai pas pu faire interagir docker avec exegole
@@Potatobistpotato quelle est ton erreur ?
C’est parce qu’il faut faire interagir docker et exegol !
placement de produit exegol...
Félicitation! Tu veux une médaille?
Mouais. Une base de VM, que des clones, un par projet , et tu détruis le clone lorsque t'as recetté ton projet. Plein d'arguments vendus mais qui sont totalement applicables aux clones de VMs.
Yep tu peu très bien le faire avec des vm, c’est juste un peu plus lourd parce que l’image doit être dupliquée pour chaque vm alors qu’avec des conteneur tu peu avoir 200 projets ça consommera toujours 1x l’espace. Ca démarre aussi instant, tu peux switch de l’un à l’autre sans éclatée ta ram etc
@@cocadmin un clone lié ça consomme pas plus d'espace que l'image de base, c'est un disque différentiel (comme un espace de stockage docker). Après perso, je change pas de client de pentest 10x dans la journée, donc si ma VM met 30 secondes a boot j'avoue que c'est pas ce qui va changer ma vie, mais je comprends le besoin pour certains
@@toto7571 jsutemnt, c un soucis la gestion des snapshots par VM, c pas fait pour un grand nombre comme c'est le cas avec des instances docker
sans parler que si tu supprimes un noeud de ton arboresence, c'est tout ce qui se trouve en dessous qui est perdu, c'est pas le cas avec la conteneurisation
es tu édutiant ?
@@toto7571 ah yes j'ai jamais tester un clone differentiel. Les 2 fonctionne, les avantages peuvent varier en fonction du workflow :)
Merci pour le partage !