From e3436ffd835598c7e3b55f14312f6937c7544e7f Mon Sep 17 00:00:00 2001 From: Lou VALADE Date: Mon, 9 Oct 2023 21:53:18 +0200 Subject: [PATCH] =?UTF-8?q?Mise=20=C3=A0=20jour=20de=20'README.md'?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- README.md | 39 ++++++++++++++++++++++++++++++++++++++- 1 file changed, 38 insertions(+), 1 deletion(-) diff --git a/README.md b/README.md index 238cf57..f5d421c 100644 --- a/README.md +++ b/README.md @@ -1,2 +1,39 @@ -# tp-juggling-smuggling +# TP Type Juggling et Request Smuggling +## Mise en place + +Lancer VDN et cloner le dépôt git sur la machine virtuelle.\ +Pensez à désactiver le proxy avec les commandes : `unset http_proxy` et `unset https_proxy` + +## Exercice 1 : Type Juggling + +A la racine du dépôt, exécutez les commandes suivantes :\ +`docker build -t juggling type_juggling/`\ +`docker run -it juggling` + +Puis, depuis un navigateur, rendez-vous sur : http://127.17.0.2/index.php\ +*Si l'adresse ne fonctionne pas, vérifiez l'adresse IP de votre conteneur Docker.* + +Votre but est de vous connecter en tant qu'administrateur. + +> Note : Vous devez devinez la fonction de hachage utilisée + + ## Exercice 2 : Request Smuggling + +### Mise en place + +A la racine du dépôt, exécutez les commandes suivantes :\ +`docker-compose -f request_smuggling/docker-compose.yaml build`\ +`docker-compose -f request_smuggling/docker-compose.yaml up` + +Le docker compose que vous venez d'exécuter, à créer deux serveurs dont un proxy. + +Gentil serveur qui héberge l'application web cible : `128.11.0.5`\ +Proxy très sécurisé qui bloque les méchants attaquants : `128.11.0.6` + +### Exercice + +Votre mission si vous l'acceptez, est de récupérer le message très secret contenu dans le fichier : `secret_file.txt` + +Pour cela vous devez construire une requête HTTP qui vous permettra de contourner la sécurité du proxy.\ +Vous trouverez dans le dépôt un script python qui vous aidera dans la construction de votre requête.