Arg mon dieu c'est abominable.
Cette URL est une image. Et en même temps, c'est une page web. Enfin, c'est comme ça que l'interprète votre navigateur.
En fait, c'est un JPEG (donc un fichier binaire) contenant dans ses commentaires un bout d'HTML.
C'est un edge-case, comme on dit, mais c'est abominable.
C'est l'un des rares cas, intéressants, où un même fichier peut être interprété comme deux formats différents.
(via https://twitter.com/sam_et_max/status/763444083692040192)

BinDiff, un outils pour comparer des binaires exécutables. à garder sous le coude...

Mouais... bon les données sont déjà arrivées sur le 0bin de Sam&Max, je me demande combien de temps ils vont mettre pour aller poster ça aussi sur mon ZeroBin.  Et ça va être reparti pour une partie de Whack-a-mole...  *soupir*
Mais bon, je l'ai voulu, hein ?

Oh mince... ça faisait un bout de temps que je n'avais pas jeté un coup d’œil à IDA-Pro (l'un des meilleurs désassembleurs de la planète).
Ils ont désormais un module nommé Hex-Rays qui transforme l'assembleur en pseudo-code *beaucoup* plus lisible. Cela facilite grandement la lecture du code. Pfiou, c'est magnifique. Je suis impressionné. Je trouve ça aussi beau d'une œuvre d'art.

Un tutoriel sur gdb, le débugger le plus connu des systèmes *nix.
Bon retour à 0x0ff sur la toile !
EDIT: Part 2 : http://www.0x0ff.info/2015/buffer-overflow-gdb-part-2/
Part 3 : http://www.0x0ff.info/2015/buffer-overflow-gdb-part-3/

Je me met ça de côté pour voir plus tard: Un outils pour décortiquer et examiner les applications Android (.apk). Permet de voir le code smali des fichiers .dex
(Lien en relation: http://sebsauvage.net/links/?7sNomw)

Rhô putain c'est balaise: ce petit montage électronique ÉMULE la bande magnétique d'une carte de crédit. A distance. Vous n'avez même plus à entrer la carte: approchez le dispositif du lecteur de carte, et il émet des ondes magnétiques assez fortes pour atteindre la tête de lecture et envoie ce qui est encodé dans sa mémoire (voir le GIF animé).
Juste WOAO.  C'est beau.
(Bon bien sûr ça ne permet pas au lecteur d'écrire sur la carte, mais c'est beau quand même.)
(via Sam&Max)

« Les écouteurs font office d’antenne, comme lorsque l’on écoute la radio FM. C’est par ce biais que les deux chercheurs ont envoyé des signaux électromagnétiques (sur la bande VHF, en utilisant le filtre passe-bas), interprétés par le système d’exploitation comme des commandes vocales venant du microphone. »
Oh woao c'est pas con.

Aha... voici donc la version 2.0 de cette clé USB qui grille les ordinateurs. Cette fois, elle passe de 110 à 200 volts.  Ouille.

Rhâââ... >:-(

Un outils pour détecter l'ARP Poisoning. (via http://www.mypersonnaldata.eu/shaarli/?d5Gzhg)

Faire croire aux cambrioleurs qu'il y a quelqu'un à la maison ? Il suffit d'un bricolage à base de LED qui simule la lumière générée par un écran télé. Pas bête !

Des outils d'analyse et reverse-engineering d'applications Android. à explorer...

Frida, un outil pour faire du reverse-engineeing de binaires (en particulier du hooking d'appels).

Woa... les bonnes vieilles parties de Donjons et Dragons, mais avec la carte projetée sur la table !  Hé il doit y avoir moyen de faire des trucs rigolos avec ça (animations, bruitages...)

Le projet du jour: Ce boitier ressemble à un chargeur USB.
En fait c'est un keylogger: Il sniffe les claviers sans fil Microsoft à proximité et envoie par GSM toutes les touches qui sont pressées.

<html><body>
<div>
   <div>
       <label for="filePicker">Choose or drag a file:</label><br>
       <input type="file" id="filePicker">
   </div>
   <br>
   <div>
       <textarea id="base64textarea" placeholder="Base64 will appear here" cols="50" rows="15"></textarea>
   </div>
</div>
</body>
<script>
var handleFileSelect = function(evt) {
   var files = evt.target.files;
   var file = files[0];
   if (files && file) {
       var reader = new FileReader();
       reader.onload = function(readerEvt) {
           var binaryString = readerEvt.target.result;
           document.getElementById("base64textarea").value = btoa(binaryString);
       };
       reader.readAsBinaryString(file);
   }
};
if (window.File && window.FileReader && window.FileList && window.Blob) {
   document.getElementById('filePicker').addEventListener('change', handleFileSelect, false);
} else {
   alert('The File APIs are not fully supported in this browser.');
}
</script>
</html>



Bon, est-ce que vous voulez vraiment que je vous avoue pourquoi j'ai besoin de cet horrible bricolage ?


...



C'est pour sortir un fichier d'une machine en connexion RDP où le partage de dossiers est désactivé.

Oui, je sais  ><
Mais ça marche, le copier-coller.


(Et le python pour décoder ce base64:   a='''données en base64''' ; import base64;open('fichier.bin','w+b').write(base64.decodestring(a))   )


EDIT: http://lehollandaisvolant.net/?id=20141113121520  oui en effet, j'aurais dû y penser  :-)

J'avais installé l'application Android de ma banque, mais je grognais car cette dernière veut tout prix me géolocaliser même quand je veux juste consulter mes comptes. Inacceptable pour moi.
J'ai décidé de hacker l'application (parce que ça m'énerve, mais aussi pour le plaisir). Je suis parvenu à modifier le fichier APK pour shunter l'appel aux méthodes du GPS, et l'application continue à fonctionner sans problème. Trop cool :-)
Je vous ferai un petit tuto sur mon wiki quand j'aurai le temps :-)

EDIT: Ayé, j'ai documenté là: http://sebsauvage.net/links/?7sNomw

Le bricolage dangereux du jour: Démonter l'antenne d'un four micro-ondes (le magnetron) et greffer une cantenna dessus (antenne directionnelle).
☠☠☠ NE FAITE PAS ÇA A LA MAISON ☠☠☠

Trop classe, la carte de visite !

Haha !  J'adore.
Comment bloquer le réseau des Google Glass à proximité.

On en avait déjà parlé: le port de diagnostic ODB (obligatoire) des voitures n'est pas sécurisé. Démonstration par ces hackers qui arrivent à faire faire n'importe quoi à votre véhicule avec ce petit équipement.
Notez que le port ODB permet d'influer sur les paramètres de la voiture: réglages moteur, freinage, etc. D'ailleurs certains s'en servent pour reprogrammer leur moteur et ainsi booster les performances (au détriment de sa durée de vie).
De quoi faire pas mal de dégâts.
EDIT: en français chez Korben: http://korben.info/20-pour-prendre-le-controle-distance-dune-voiture.html

Voilà voilà... voici donc les première expérience de "vol" d'argent grâce aux paiement sans contact des cartes bancaires.
Le jour où les hackers s'y intéresseront de près, peut-être que le simple fait de prendre le métro suffira à vous détrousser.

Oh merde... il a inventé un PC-be-gone.  Branchez sur le port USB et l'ordinateur s’éteint immédiatement  :-o

Haha... j'adore cet esprit de hacker: Dérangé par l'éclairage public (qui donne directement dans son appartement), il fait pointer un laser de 20 mA sur le capteur de lumière du lampadaire.
Du coup il peut "éteindre" le lampadaire en pressant un bouton :-)