Dans le cadre de ma formation en cybersécurité, j'ai réalisé une SAÉ dédiée à l'apprentissage des techniques de Pentesting. À travers des travaux pratiques sur machines virtuelles, j'ai mis en place un environnement de test réaliste pour découvrir, analyser et exploiter des vulnérabilités sur différents systèmes.

Mise en place de l'infrastructure

L'infrastructure a été configurée autour de plusieurs machines virtuelles : Kali Linux, Windows 10, Windows Server 2016 et Rocky Linux. J'ai mis en place une configuration réseau avancée (NatNetwork, sous-réseaux sans DHCP), et intégré certaines machines dans un domaine Active Directory avec une configuration DNS personnalisée.

Techniques et outils utilisés

Reconnaissance réseau : Nmap, Netdiscover, Wireshark
Scans de vulnérabilités : Nikto, Hping, scripts Nmap
Exploitation :
- Injections SQL (Burp Suite, sqlmap)
- Attaques SMB et force brute (Hydra)
- Escalade de privilèges (John the Ripper, Samba exploit)
- Exploitation de failles via Metasploit

Analyse post-exploitation et recommandations

J'ai testé différentes techniques de maintien d'accès (tâches planifiées, backdoors) et réalisé une collecte de données sensibles (mots de passe, configurations critiques). J'ai également mis en place du pivoting pour rebondir sur d'autres machines, et j'ai rédigé un rapport d'audit complet comportant les preuves techniques, les risques identifiés et des recommandations (patchs, durcissement, segmentation réseau...).

"Le pentesting est une discipline exigeante qui nécessite à la fois des compétences techniques avancées et une rigueur méthodologique."

Bilan du projet

• Maîtrise des différentes phases d'un test d'intrusion
• Expérience pratique sur un environnement complexe
• Développement de compétences en documentation et reporting
• Approfondissement des techniques d'exploitation et de post-exploitation