Généralités
Quest-ce que ce site ?
: Ce site est une archive des défis issus de nos compétitions de Capture The Flag (CTF).
Chacun peut rejouer les défis, avec ou sans compte utilisateur.
Les participants connectés (via GitHub, Discord ou GitLab) bénéficient de fonctionnalités supplémentaires comme le suivi de progression, la soumission de solutions et la possibilité dajouter des défis ou write-ups en favoris.
Quest-ce que le Luxembourg CyberSecurity Challenge ?
: Le Luxembourg CyberSecurity Challenge (LCSC) est une compétition annuelle de cybersécurité organisée pour promouvoir les compétences techniques dans ce domaine.
Lévénement suit un format jeopardy, proposant des catégories telles que la cryptographie, le web, la rétro-ingénierie, la criminalistique numérique, et bien dautres.
Pour plus dinformations, visitez lcsc.lu.
Pourquoi ce site ressemble-t-il à hackropole.fr ?
: Ce site utilise le même thème Hugo Hackropole, développé à lorigine pour le France Cybersecurity Challenge (FCSC).
Le thème est open source sous licence MIT, et nous lavons adapté pour notre propre archive de défis.
Que faire si je trouve une erreur ou une vulnérabilité sur la plateforme ?
: Si vous identifiez un bug ou une vulnérabilité dans un défi ou sur la plateforme, merci de le signaler de manière responsable à léquipe dorganisation via ladresse info[at]letzpwn.lu.
Défis
Je suis débutant, par où commencer ?
: Chaque année, nous proposons des défis destinés aux débutants.
Ces défis sont marqués avec le tag intro et sont accessibles dans la section Challenges, où ils peuvent être filtrés par niveau de difficulté.
Comment résoudre un défi ?
: Chaque défi dispose dune description détaillée et, le cas échéant, de fichiers à télécharger (scripts, fichiers texte, captures réseau, binaires, etc.).
Certains défis proposent un fichier docker-compose.yml permettant de les exécuter localement via Docker. Vous devez avoir Docker installé sur votre machine.
Comment la difficulté des défis est-elle estimée ?
: Les défis sont classés en quatre niveaux de difficulté :
- intro — pour les débutants
- ⭐ facile
- ⭐⭐ moyen
- ⭐⭐⭐ difficile
La difficulté initiale est estimée par les auteurs et peut être ajustée selon les retours des joueurs.
Puis-je utiliser des outils de brute-force automatisés ?
: Les outils comme dirbuster, sqlmap, nmap ou hydra sont déconseillés : ils naident généralement pas et indiquent que vous nêtes pas sur la bonne voie.
Catégories
Que sont les défis de la catégorie “Crypto” ?
: Ils concernent la cryptographie : analyse ou cassage de chiffrements, compréhension dalgorithmes, ou exploitation de failles dans leur implémentation.
Les défis intro sont recommandés pour débuter.
Que sont les défis de la catégorie “Forensics” ?
: Ces défis relèvent de linvestigation numérique — analyse dimages disques, de dumps mémoire, de captures réseau ou de journaux système pour identifier des traces dattaque.
Que sont les défis de la catégorie “Hardware” ?
: Ces défis explorent les aspects bas-niveau de la cybersécurité : attaques par canaux auxiliaires, analyse de circuits électroniques, signaux radio, etc.
Que sont les défis de la catégorie “Misc” ?
: Les défis “Misc” couvrent des sujets variés — programmation, algorithmes, administration système, ou sécurité industrielle.
Que sont les défis de la catégorie “Pwn” ?
: Ils consistent à exploiter des vulnérabilités dans des binaires, souvent sous Linux.
Lobjectif est dexécuter du code ou de récupérer un fichier contenant le flag.
Que sont les défis de la catégorie “Reverse” ?
: Ces défis nécessitent de comprendre le fonctionnement dun programme compilé afin den extraire des informations cachées ou un flag.
Que sont les défis de la catégorie “Web” ?
: Ils impliquent lanalyse et lexploitation de failles dans des applications web (injection SQL, XSS, divulgation de fichiers, élévation de privilèges, etc.).
Write-ups
Comment lire les write-ups ?
: Vous pouvez consulter les write-ups des défis que vous avez validés.
Une fois le flag correct saisi, la liste des write-ups disponibles saffiche sur la page du défi.
Que contiennent les write-ups ?
: Les write-ups décrivent les étapes et raisonnements permettant de résoudre un défi, souvent accompagnés de scripts ou captures décran.
Qui écrit les write-ups ?
: La majorité des write-ups proviennent de la communauté.
Certains peuvent aussi être rédigés par léquipe LetzPwn ou les auteurs des défis.
Comment soumettre un write-up ?
: Après avoir résolu un défi, connectez-vous (GitHub, GitLab ou Discord), saisissez le flag et ajoutez un lien vers votre write-up — idéalement sous forme de GitHub Gist ou GitLab Snippet en Markdown.
Comment les write-ups sont-ils vérifiés ?
: Tous les write-ups sont relus manuellement afin den vérifier la qualité, lexactitude et loriginalité avant publication.
Comment augmenter les chances dacceptation de mon write-up ?
: Les critères incluent :
- Clarté et valeur pédagogique
- Qualité de rédaction
- Originalité de la méthode
- Reproductibilité (scripts complets fournis)
- Absence de redondance avec des solutions existantes
Installation de Docker
Comment installer Docker sur Windows, macOS ou Linux ?
: Suivez la documentation officielle de Docker pour votre système.
Vous pouvez tester votre installation avec le défi intro Welcome Docker.
Comment lancer un défi avec Docker ?
: Téléchargez le fichier docker-compose.yml depuis la page du défi puis exécutez :
docker compose up
Ensuite, suivez les instructions affichées pour accéder au service localement.
Certains défis ne fonctionnent pas sur ma distribution Linux ?
: Certaines distributions (comme Fedora) activent SELinux par défaut, ce qui peut bloquer certains conteneurs.
Ne désactivez pas SELinux ; créez plutôt une politique personnalisée pour permettre lexécution du défi en toute sécurité.
Contribuer à larchive
Comment ce site est-il généré ?
: Le contenu (défis et write-ups) est rédigé en Markdown et généré avec le générateur statique Hugo, en utilisant le thème Hackropole.
Où trouver le code source ?
: Le thème Hugo est publié sous licence MIT sur :
https://github.com/ANSSI-FR/hackropole-hugo
Vous navez pas trouvé votre réponse ?
: Pour toute question non traitée ici, veuillez nous contacter à ladresse info[at]letzpwn.lu.