Larouanne Tristan

Update pushed on maven repo for github.com/tr4l/maven-pas… Now exporting chrome/edge password (Linux/Windows) and some customization like exporting via a post request.

@Rhynorater @fatinsourav1 ... which allow some tracking of user activities.

@Rhynorater @fatinsourav1 The sequential css import wasnt fixed in chrome several year ago ? Previous ligature work was using the loading of custom image for slider, new one seems way more robust. Another thing interesting with the animation CSS, the refresh only happens when the element is visible...

This really should have been in the top 10 web hacking techniques of 2025: adragos.ro/fontleak/

The next DEFCON Paris takes place on February 18! 🎙️ "Arsenal multi-périmètre d'attaques sur IA" - Aetius 🎙️ "How to run down a CTF" - LOLOLEKIK Rumps are welcome! 📅 18/02 📍 Oculto, 27 R. Quincampoix, 75004 🕖 19:00 Framadate in our website

Hi all, We are looking for speakers for mid-February for our next meetup in Paris! 🍻 French or English, format and topic are up to you, recorded or private! If you have any questions, topics, or requests, please contact us at cfp[@]defconparis[.]org

@adnanthekhan @_0xffd Github app. No one look at them, or know what they do.

@_0xffd I’ll have to look into code spaces APIs. Haven’t played around with it too much. Copilot Agent MCP could be very useful - need to see if there is an API for that now.

Playing around with adding automated repo persistence methods to Gato-X: - deploy key - invite collab - add “vulnerable” pull_request_target workflow to feature branch Any others?

@I_Am_Jakoby Did you submit an issue with powershell gallery to azure bounty program ? It's the same thing as reporting issue on excel to github program because they are both Microsoft tools... Try to check/find the appropriate program (if it exist)

well i have something unfortunate to share last night they gave my bounty an important rating, but marked it out of scope some how all of this is just wildly dishonest. For one its not just information disclosure. I included and addendum that showed how to leak bearer tokens and more. I shared the screenshot with you guys that said they confirmed the behavior. Microsoft is worth trillions, i saved them millions in fines and get a pat on the back? a bunch of PII on every powershell gallery user (ALL 3799 of them), their emails and browser fingerprints (which includes exact coordinates of where their computer is) so complete deanonymization, possible bearer tokens... its cross tenant so technically could apply to any service the gallery interacts with, or the users interact with that interact with the gallery. I got the exploit to work directly on a microsoft employees account and leaked data from internal services. This was a 3 stage attack chain. for them to just say its out of scope for azure specifically? This is a blatant malicious attempt to avoid a payout

@RedTeamTactics Back in time, same code, same compiler. Some différent option. github.com/tr4l/misc/blob… One flagged a lot, the other one? Nope

@newsoft J'ai entendu parler de sujets de talk bien sympa.

Nouvelle équipe, nouveau lieu, mais toujours la même vibe 😉

@DefconParis Est-ce qu'il y a une cave?

In less than a week (24/03), we'll be having the meetup! As you know, we'll be moving to a new bar. To facilitate organization, it would be cool if you could indicate your presence in the framadate. framadate.org/VsYtYIgjt5AmXT… Thanks in advance and see you there!

@AtaxyaNetwork Trop jolie les stickers snes, true reverse gamer inside

Le draft:

POV: tu es en train de choisir les stickers pour ton nouveau laptop (Évidemment avec du @vatesfr!)

@GenIArt_Fr @DFintelligence En vrai, si tous est fait par des robots, pourquoi aurait-on encore besoin "d'Argent"? Tout est gratuit, vu que personne travaille. C'est bien plus simple.

Les gens qui sont contre ont vraiment une vision très loin de la réalité de l'avenir qui se prépare. Il faudrait qu'ils m'expliquent qu'est ce qui a terme ne pourra pas être remplacer par un robot intelligent. Chez les humains il ne pourrait rester plus que des superviseurs robot et des contrôleurs de data (tri, éthique, etc). Pour financer un revenu universel c'est très simple, il suffit de taxer les utilisations de robot et ia.

Il est grand temps de mettre en place un revenu universel avant qu’il ne soit trop tard.

@sapirxfed So after asking sysops to delete the file '*' with their shell, I can now ask devops to create a github federation. (However, I'm not sur they are a correct answer for the latest)

@sapirxfed Nooooooooooo :'(

Idk, I see wildcard. I automatically think of new stupid but effective vulnerability.

@RoroDelRoro > Selon l'ARCEP, l'usage de la 5G serait 10 fois moins énergivore que la 4G et 8 fois moins émettrice en gaz à effet de serre. Cette baisse d'impact serait effective au plus tôt en 2023, et au mieux en 2028. Et a priori, le wifi 3 fois moins que la 4G. Forfait 5G pour tous!

Mais au delà de cette synthétisation extraordinaire, la data permet de maintenir le contact avec des gens à l’autre bout du monde, d’échanger, s’enrichir (oui, intellectuellement et/ou financièrement), travailler en se déplaçant moins, partager! Bref, foutez-nous la paix. 6/6

L’ADEME veut limiter les Giga sur les forfaits mobiles sous-couvert encore une fois, d’écologie? Vraiment? Avant la data, c’était comment? - Musique: avant, tu devais avoir un baladeur, une chaîne hi-fi, et tous ces disques et cassettes à FABRIQUER. 1/6

@adnanthekhan Well, they are already a lot of cool tools for that. You know Gato-X? (/jk) And to be honest, I prefer to have that pool of attacker catched by the dedicated audit log, than not seeing the workflow attack one week later (long google/ai research)

@Tr4LSecurity I would argue that the pool of attackers with even basic knowledge of running a workflow to get all secrets is lower than the number of attackers that can pull off simple MITM phishing using off the shelf tools.

I'm the only one bothered that I can't view my github secret, as an admin of my repos (partial or full). But any non-admin with enough permission can dump them with a workflow ? (Which is what I do, hoping to clean my logs fast enough). What's the point?

Add me a button "view", with an audit log, but let me see my secret... Oh, and yes, same for orga secret, I can dump them anyway...

@francoisproulx Chall8 (PP) github.com/tr4l/defcon/is… Le home work, j'ai pas la solution mais tu peux regarder la dernière issue du repo, et quelques screenshots github.com/tr4l/defcon/tr… Je suis pas assez samba/windows pour finir la "killchain".

@Tr4LSecurity Je suis pas certain d'avoir pigé certains de tes challenges dans le deck de DEFCON Paris. Les 2 derniers tu ne donnes pas la solution et ça semble pas évident :/

Viendez, on est bien. defconparis.org/index.php/2024…

@francoisproulx Ça fait sens, mais ça reste surprenant :)

@Tr4LSecurity OMG j'ai vu ton slide deck de DEFCON avec la solution. Trop bon.

Fun #github action challenge for the end of the year. Can you run the sensible with an issue ? One is easier than the "fixed" version. Of course, no real CICD jobs has been hurt during that "discovery"

@_SaxX_ Maintenant tu peux commander des cartes NVIDIA pour le faire offline grâce à ce "POC", et une preuve de ROI En oubliant cet incident, ça pourrait faire une belle carrière

Je suis un jeune ingénieur en cybersécurité pour une grosse entreprise. Suite à une cyberattaque, j'ai téléchargé tous les logs et les configurations de tous les serveurs de l'entreprise sur la version en ligne de DeepSeek. J'ai été super content ! Il a trouvé les traces du hacker en quelques secondes et mon supérieur m'a félicité. En plus c'est gratuit wahouuuuuu