PuN

81 posts

PuN

@pun_sec

CTF Enthusiast, Challenge maker and Pentester 👀 I like driving things 🏎️✈️🥽

เข้าร่วม Nisan 2014

132 กำลังติดตาม103 ผู้ติดตาม

ทวีตที่ปักหมุด

PuN@pun_sec·1 Eyl

👋Hello à tous ceux qui étaient là au CTF de @_barbhack_ 2024 ! Je n'y étais pas physiquement cette année mais le cœur y était ♥️ Pour mes challenges web, je vous ai mis un github avec les sources et les WUs : github.com/pun-private/ba… Big Up à l'orga et leur énorme travail 👏

Français

6.4K

PuN@pun_sec·21 Mar

@GuilhemRioux The rocket is amazing 🚀🚀🚀

English

108

guilhem rioux@GuilhemRioux·21 Mar

Glad to publish a blog post on a critical vulnerability I found some months ago on GLPI, that impacts all default installation under a certain version: sensepost.com/blog/2025/leak… We also released a tool that implements some check for known vulnerabilities: github.com/Orange-Cyberde…

English

PuN รีทวีตแล้ว

Laluka@OffenSkill@TheLaluka·5 Eyl

Top 1 with friends && Mass fun ! 😘👌 Merci encore @pun_sec pour tes challs originaux ! 🥰 Et Gg @_sans23 le carry des challs AD de @mpgn_x64 😂

Barbhack@_barbhack_

📣 🔢Gagnants #CTF BarbHack 2024 ! 🥁🥁🥁 🏅PiouPiou 🐥 🥈Synacktivre 🥉Orange Cyberdéfense Et 4èmes : APT34 👏 Félicitations à tous, rdv en 2025 ! #barbhack24 #ctf #winners ▶️ barbhack.fr

Français

1.5K

PuN@pun_sec·27 May

@cfreal_ Astonishing work 🔥! iconv should not be understimated and it has proven multiple times it can lead to surprising exploitation. Can't wait to read the whole serie 👀

English

245

Charles Fol@cfreal_·27 May

The first part of the blog series: #Iconv, set the charset to RCE. We'll use #PHP filters and #CVE-2024-2961 to get a very stable code execution exploit from a file read primitive. #cnext

Ambionics Security@ambionics

Iconv, set the charset to RCE: in the first blog post of this series, @cfreal_ will show a new exploitation vector to get RCE in PHP from a file read primitive, using a bug in iconv() (CVE-2024-2961) ambionics.io/blog/iconv-cve…

English

170

30.3K

PuN@pun_sec·12 Ara

@_0xFrancis_ @offsectraining Congrats Camille !

English

194

Francis@_0xFrancis_·12 Ara

After a year of tryhard, I'm now OSCP Certified. Thanks @offsectraining for the amazing journey. scq.io/pQk3gD4

English

6.2K

PuN รีทวีตแล้ว

Apex Online Racing@ApexOnRacing·30 Kas

Tier 6 racing creating unforgettable memories. 0.1s gap at the finish line and excitement on @pun_sec face is why we all race. Congratulations on the top spot at the podium🏆

English

1.4K

PuN@pun_sec·29 Kas

Amazing race with 0.1 finish 😬

Apex Online Racing@ApexOnRacing

Tier 6 Race results and Top 20 Standings after Round 5

English

177

PuN@pun_sec·30 Ağu

@suatinfosec @wall6e @_barbhack_ Ah ouai ? Donc je suis prêt à passer l'OSCP 🫡

Français

PuN@pun_sec·27 Ağu

🚩Bravo aux participants du CTF de @_barbhack_ ! Pour ceux qui le souhaitent, voici les sources et les writeups (en mode torchon) de mes 4 challs web : github.com/pun-private/wr… GG à la team Orga pour l'énorme boulot sur l'infra 👏 A très bientôt pour d'autres challs 🤟 !

Français

7.3K

PuN@pun_sec·30 Ağu

GG ! Si tu veux plus de détails sur cette technique, voici la recherche sur cette technique : trojansource.codes (Leur github contient beaucoup d'exemples)

Français

188

PuN@pun_sec·28 Ağu

@Agarri_FR @Pelissier_S @Agarri_FR Moi en sueur pendant la conf est à deux doigts de couper le courant ✂️🔌

Français

261

Nicolas Grégoire@Agarri_FR·27 Ağu

Le talk qui m’a permis de résoudre le challenge SigPay quelques heures plus tard 🤩

Sylvain Pelissier@Pelissier_S

My slides of my @_barbhack_ presentation are available here: cybermashup.files.wordpress.com/2023/08/tales-…

Français

3.2K

PuN@pun_sec·27 Ağu

@_Worty @_barbhack_ J'ai gardé dans ma réserve des challs plus difficiles pour les prochaine fois... Stay tuned 👀

Français

765

Worty@_Worty·27 Ağu

@pun_sec @_barbhack_ Encore une fois des challenges de qualité 🔥 Trop déçu de pas avoir participé au CTF pour les solve :(

Français

565

PuN@pun_sec·27 Haz

Hello @_barbhack_ ! Est-ce que la plateforme submit.barbhack.fr fonctionne ? Je n'arrive pas à reset mon mdp... J'ai une erreur 500

Français

365

PuN@pun_sec·19 Haz

@acceis DNS Rebinding FTW ! Il y a une première vérification qui est faite sur le nom de domaine pour voir si l'IP est autorisé... Mais ensuite il y a un appel GET fait directement sur le domaine. Entre la vérification trusted et le GET, on peut mettre à jour l'IP derrière le domaine 😁

Français

174

ACCEIS@acceis·19 Haz

Extrait de code vulnérable n°5 Arriveras-tu à identifier la vulnérabilité ? 🐛 Difficulté : 🟥 Difficile #codereview #vulnerablecode #codesnippet #brokencode #appsec #infosec #pentesting #securityexplained Tu as trouvé ? Donnes ta solution en commentaire.

Français

1.4K

PuN@pun_sec·11 May

@Atlas453_ @axeldreyfus 😳😳😳 je m'attendais pas à lire un reportage d'enquête exclusive sur les coulisses sombres du CTF français

Français

682

Atlas@Atlas453_·11 May

Petit message en passant, vous avez accusé mon équipe de tricherie à l'ECW, contrairement à vos joueurs, nous ne sommes pas efficaces seulement en distanciel et sur des CTF de longues durées @axeldreyfus 😇 10/10

Français

5.7K

Atlas@Atlas453_·11 May

[THREAD] Les intimidations de 2600 après le PWNME, quelle ambiance ! 1/10

Français

152

129.4K

PuN@pun_sec·7 Nis

@_Worty @EsnaBretagne @Atlas453_ @DinerHell @0xItarow @Gaburall @SpawnZii @iHuggsy @D1n0x0r @gcc_ensibs La dream team, GG !

Polski

179

Worty@_Worty·6 Nis

Très fier de finir à la première place avec les potes de l’ @EsnaBretagne :) Gg a vous @Atlas453_ @DinerHell @0xItarow @Gaburall @SpawnZii @iHuggsy @D1n0x0r & d’autres :) Huge play aux potes de @gcc_ensibs , on a eu chaud vous étiez bouillant :p

European Cyber Cup@EuCyberCup

Voici le classement complet de cette #EC2 2023 ! 🏆 Un grand bravo aux ESNARCOTRAFIQUANTS pour leur victoire ! 👏

Français

106

13.6K

PuN@pun_sec·3 Nis

@Sonar_Research Nice initiative ! Well done 👌

English

Sonar Research@Sonar_Research·3 Nis

We just released a little side-project of ours, a curated list of argument injection vectors: sonarsource.github.io/argument-injec… ✨ The goal is to maintain a list of exploitable arguments and link every entry to code, advisories, and writeups to collect only realistic vectors. Enjoy!

English

10.7K

PuN@pun_sec·20 Şub

@abu_y0ussef 10/10 le visuel 👌

Italiano

157

PuN@pun_sec·2 Şub

@LexfoSecurite @vBulletin Really cool exploit ! Well done

English

504

Lexfo@LexfoSecurite·2 Şub

A few months ago, we reported a pre-auth Remote Code Execution #RCE vulnerability to @vBulletin. The exploitation of this unserialize() bug was tricky, as vBulletin classes are not deserialisable. Discover the exploitation in our latest blogpost: ambionics.io/blog/vbulletin…

English

200

49.9K

PuN@pun_sec·8 Ara

@Sonar_Research RCE Payload : curl -H 'X_FORWARDED_FOR: 127.0.0.1' 'site.com/page.php?cmd=s…' The host X_FORWARDED_FOR can be set by the attacked, the script is not stopped after the redirect header and call_user_func allows calling any function. All this leads to RCE.

English

Sonar Research@Sonar_Research·8 Ara

Can you spot the vulnerability? #codeadvent2022 #PHP So many restrictions... can you get around them? No CSRF required, you can do it on your own! sonarsource.com/knowledge/code…

English

122

ค้นพบ

@GuilhemRioux @_sans23 @mpgn_x64 @cfreal_ @_0xFrancis_ @offsectraining @suatinfosec @wall6e