Bonjour !

Vous voulez savoir comment fonctionne le tracker de torrent francophone numéro 1 ? Vous voulez connaître les rouage de son administration, son architecture technique, son montage financier ? C'est votre jour de chance !

Je vais vous donner un peu de contexte. YggTorrent, c'est un tracker privé francophone pour téléchargé du contenu pirate. D'une longévité remarquable, YGG c'est une référence dans le torrenting francophone. Le tracker implémente un système de ratio pour encouragé au partage, si votre ratio descend trop, vous ne pouvez plus téléchargé. Pour remonté votre ratio, vous seedez ( partager du contenu) ou vous payez.

Depuis Décembre 2025, le site fait beaucoup parler de lui car l'admin a implémenté un mode "turbo". Pour 86€/mois (!!!) vous levez la nouvelle limite de 5 torrent/jours imposé a tout les compte. Les teams d'uploader (des groupes spécialisé dans la publication qualitative de contenu piraté) hurle au scandale, car eux qui font la vie du tracker en publiant des contenu de qualité trouve la mesure totalement abusive et surtout qu'ils ne touche même pas un rond de cette souscription. La réponse de l'admin => Ban. Comme ca... L'ambiance est devenu délétère.

Et quand des gens sont très colère ça n'en reste généralement pas la, surtout dans ce milieu où ont va pas voir les autorités compétentes mais on se flingue dans l'esprit de l'underground. C'est comme ça qu'un gars a infiltré, dumpé et exposé TOUT Ygg ! Son infra, sa structure de paiement, son code source, son système de blanchiment des fonds, ses projets en développement, ses info sur son admin. Bref, une bombe thermonucléaire qui pulvérise littéralement le numéro 1 du torrent francophone.

Le leak est lâché dans la nature mais le leaker cible l'admin pas les users lambda donc il dit avoir caviardé les info des utilisateurs sans liens avec l'administration du site. Il libère aussi TOUT les torrents gratuitement sur un tracker full open. L'esprit de l'underground ! T'as voulu te faire une montagne de biff (on parlerai de 5 millions par an !!!!!) en piétinant l'esprit du partage ? Atomisation !

La chaîne complète

Un favicon hash dans Shodan
    → un service Sphinx mal configuré
        → lecture de fichiers arbitraire
            → mot de passe admin dans sysprep
                → accès complet au serveur Windows
                    → Chrome = coffre-fort de credentials
                        → FileZilla = carte vers d'autres serveurs
                        │   → tracker XBT = accès root
                        │       → pivot MySQL = base de production
                        │           → 4 serveurs compromis, ~6.6M comptes
                        → cookies/passwords = comptes externes
                            → Njalla, Protonmail, hébergeurs, paiements
                                → wipe total + defacement + verrouillage
                                    → YGG est mort

Fin de partie pour YGG !

L'article avec toute les info + un write-up du hack est dispo ici : https://yggleak.top/fr/home/ygg-dossier A lire car c'est vraiment bien écrit et en francais !

Plop,

Si vous utilisez ExifTool sur MacOS, déjà what the phoque ? Et ensuite, une vuln dans les version inférieur a 13.50 et exploitable uniquement sur Mac viens d’être publié.

En gros, elle permet de piéger une image PNG avec des commandes qui seront exécutées lors du parsing avec le flag -n.

Cette vuln a été patché  dans la version 13.50 sortis début février.

Si vous fait du forensic sur Mac, encore une fois what the phoque et mettez a jour.

CVE : https://www.cve.org/CVERecord?id=CVE-2026-3102

PoC : https://vuldb.com/?submit.758146

[OUI !]

Fin décembre a eu lieu le 39C3, la 39ᵉ édition du Chaos Communication Congress à Hambourg. (C’est la version allemande du NDH/LeHack, en gros.) Au programme : des conférences, des 0-days, plein de trucs sympas, mais surtout Martha Root (c’est un pseudo), déguisée en Pink Ranger des Power Rangers, qui vient nous parler de nazis. (Oui, on est proche du kamoulox.)

Mais keskidi, le_gremz là ? 6 ans sans news et il débarque en parlant de Power Ranger rose qui pirate des nazis ??? OUI ! Mais il est bourré, ma parole ?! NAON !

Il existe existait 3 sites pour suprémacistes blancs (les gros nazes, fans du peintre moustachu autrichien) :

 - WhiteDate : Le Meetic pour être uni dans la haine. Fini les prises de tête sur les sujets politiques en trouvant une moitié aussi raciste que vous !

 - WhiteChild : Vous êtes tellement raciste que vous considérez vos propres gènes impurs, mais vous voulez un enfant aryen parfait ? Des donneurs de sperme et d’ovules plus racistes et supérieurs que vous sont prêts à vous aider à lutter contre le « grand remplacement » !

 - WhiteDeal : Pas envie d’être le N-1 d’une race inférieure ? Marre des wokes qui vous virent parce que vous avez vomi votre haine sur Internet à la vue de tous ? Trouvez votre patron raciste avec qui partager les meilleures blagues racistes à la machine à café, sans crainte de prendre un blâme par une RH wokiste !

Sacré programme, n’est-ce pas ? Holààà, gremz, c’est horrible ce que tu nous dis là, mais que fait la police ??? Héhéhé, bah elle jardine… Oui, oui, car pendant 6 ANS, les services de renseignement allemands enquêtaient sur ces sites en surveillant leur créatrice, une certaine « Liff Heide ». Sauf qu’ils ont surveillé la mauvaise Liff Heide, et une pauvre romancière qui n’avait rien à voir avec tout ça en a perdu son taf dans une université berlinoise. Bravo la police !
Non, notre « Liff Heide » à nous, elle s’appelle Christiane Haar. Les journalistes Eva Hoffmann et Christian Fuchs ont enquêté et l’ont grillée parce que madame Haar avait déposé la marque « WhiteDeal » au registre du commerce. Raciste, oui ; en fraude avec le fisc, non, y a des limites, tout de même…

Ok, gremzounet, mais when Power Ranger Rose là ? Hé bah, c’est maintenant.
Martha Root, notre Pink Ranger du cyberespace, elle a trouvé que la passion jardinerie de la police, c’était bien rigolo, mais qu’à un moment, ça suffit… Elle a donc bidouillé un peu le site pour voir…

Faux profil, petite photo de profil faite par IA, quelques chatbots alimentés par des LLM (car quitte à écrire des saloperies, autant que ce soit fait automatiquement), et elle commence à explorer, à tester les inputs, etc. Sauf que… À force d’essayer de mettre n’importe quoi dans les inputs, elle a bugué son compte. Alors elle a fait ce qu’on fait tous : on contacte le support.
Vous êtes bien assis ? Ils l’ont débloquée et offert 3 mois de premium gratis !!!!! La race supérieure, qu’on vous dit !!!

Mais attends, c’est pas fini ! Elle a trouvé, ouvert aux quatre vents, un endpoint : WhiteDate.net/download-all-users… OUIIIIII ! DOWNLOAD, ALL, USERS. Pourquoi s’emmerder à scrapper avec des scripts relous quand ta cible t’offre directement toutes les données ? La race supérieure !!!
Elle a filé 100 Go de données récupérées à DDoSecrets (le nouveau WikiLeaks, en gros, qui va tout donner à des journalistes, niark niark niark).

Ouaaaaaa, quelle histoire !!! Héhéhé, rassieds-toi, petit newbie, elle n’est pas finie, l’histoire… Après 40 minutes de talk à expliquer comment ils ont fait, Martha avait une « démo » à faire, classique dans ce genre de conf.
C’est donc en live qu’elle lance un script « lol.py » qui supprime le contenu, les mails, l’hébergement, les BDD, les backups, les comptes Twitter… des 3 sites.
EN DIRECT SUR SCÈNE, DÉGUISÉE EN POWER RANGER ROSE !

Power Ranger 1 – Nazi 0

Et pour finir, je cite Pink Ranger, aka Martha Root : « Avant de vouloir dominer le monde, apprenez déjà à sécuriser un WordPress. »

De son côté, l’admin des sites a fait « ouin ouin » à base de « c’est du cyberterrorisme, y aura des conséquences ». Oui, oui, all I hear is « ouin ouin ouin, ouin ouin ouin »… En plus, elle envoie des fax (oui, oui, oui, des FAX !) aux journalistes pour leur réclamer de la thune en dédommagement. _{Ça me fait penser qu’il faut que j’envoie un fax à Nicolas S., Patrick B. et Marine L.P…}

Btw, les stats du site de rencontre : 6 640 utilisateurs (~3 400 aux US, ~380 en France, ~400 en Allemagne), moyenne d’âge 48 ans, 86 % d’hommes. (Un leak partiel des données est disponible ici : https://okstupid.lol/)

Délicieux ! Et bonne année !_{(sauf aux gros nazes)}

Lien de la conf : https://media.ccc.de/v/39c3-the-heartbreak-machine-nazis-in-the-echo-chamber

Je serais curieux de savoir comment ils font pour "entrer" dans le smartphone.
Ca me rappelle l'histoire d'il y a quelques temps aux USA où la justice voulait accéder aux infos dans un iPhone et Tim Cook leur a répondu fuck.

C'est simple. Ils utilisent des 0-day. Ils les achètent ou les trouvent et les utilisent pour exploit les téléphones. L'affaire du FBI et Apple a trouvé sa fin dans le fais que le FBI a demander a Cellebrite de crack le téléphone et qu'ils l'ont fais...

[500 commissariats seront bientôt équipés de tools capable d'aspirer le contenu complet de "n'importe quel" smartphone...]

La news qui fait un peu froid dans le dos...
500 commissariats seront bientôt équipés de tools capable d'aspirer le contenu complet de "n'importe quel" smartphone...

La france a passé une grosse commande chez la tristement célèbre entreprise israélienne Cellebrite _{(a ne pas confondre avec Celelibi)}. La capacité du "kiosque" : aspirer les données de 17 000 modèles de téléphones, tablettes ou GPS en une dizaine de minutes.

Oui mais c'est bien pour les enquêteurs, contre les violeurs, les harceleurs, les terroristes, etc...

Oui maiiiiis... En fait non. En gros, vous allez à, par exemple, une manif. La situation dégénère et dans la confusion vous êtes interpellé et emmené au poste. On vous notifie votre mise en garde-à-vue et on vous confisque tout vos effets personnels avant de vous enfermer. Vous choisissez de gardez le silence et d'attendre votre avocat. Et c'est la que ça va changer...

Jusqu’à aujourd'hui si votre téléphone était éteint et avec un pin code, personne ne pouvait fouiller dedans. Votre avocat arrivait, ils faisait son job et vous, innocent, finissiez par sortir, récupérer vos affaires et repartir sans être trop inquiété...

Mais maintenant voila ce qui va se passer, le temps que votre avocat arrive : les policiers brancheront le téléphone sur la boite magique qui en 10 minutes recrachera :
- Messages SMS (supprimés ou non)
- Messages in-app (Snapchat, Facebook ou même Signal et Telegram)
- Photos et vidéos
- Mails
- Historique de navigation internet ou de la géolocalisation
- Historiques de mots de passe
- Carnet d’adresses
- Notes

Et il pourront les consulter librement sans filtre... Voire même vous s'en servir contre vous pour vous pousser à abandonner votre silence avant même l'arrivée de votre avocat...

Ouais c'est archi-moche. De plus ce système pourrait être couplé au fichier de traitement des antécédents judiciaires aka TAJ (un fichier tenu par la police où l’on trouve les personnes mises en cause et les victimes dans les affaires pénales). Je vous laisse imaginer la capacité à remonter les réseaux de personne quels qu'ils soient (Militants, Opposants politique, Amicaux, etc etc)... Pratique pour tracer les réseaux mafieux, terroristes ou criminel mais (car y a un énorme mais), et les dérives possibles ?

Bref, évitez de vous faire embarquer avec votre téléphone sur vous (même éteint) sinon : "All your data are belong to us." - Le gouvernement français.

Source (et plus de détail) : https://www.developpez.com/actu/291079/France-500-commissariats-seront-bientot-equipes-d-un-outil-pour-aspirer-les-donnees-d-un-smartphone-en-10-minutes-des-associations-craignent-des-derives/

La faille sudo est pas folle... Beaucoup de bruit pour pas grand chose.

J'y était.
C'était bien.
Super orga <3
Plein de chall sympas.
brb il reste des chall a faire avant dimanche soir...
^{Y avé pa 2 rousses, cey null. 4/5}

Great, les challs qualificatifs auront lieu sur le site NC je suppose ?

Non, on a pas encore mis la main sur le RPI de dev :>

Hey ! Demain c'est le grand jour !

La sonde Parker Solar décollera demain a 9h30 (heure française) de Cape Canaveral a bord d'une Delta IV Heavy.

Bien sur, il est possible de regarder le décollage en direct sur youtube via ce lien : https://www.youtube.com/watch?v=wwMDvPCGeE0

Sortez vos "Hot Tickets", votre nom va partir dans l'espace pour aller au plus proche du soleil 

Salut, salut !

La nuit du hack est finie. Certains s'en remettent bien. D'autre non... Et tout cas, moi je me suis bien amusé, certain (dont on ne citera pas les noms) on bien joué avec les stickers NC...

Et vous ?

Je pense qu'il doit être assez compliqué d'extraire et d'exploiter la moindre info. Y a énormément de data inutiles, inexploitables, etc etc.

Bonjour les poulpinous ! Wait... THE LSD SORT DE MON CORPS !!!!

Bref, aujourd'hui je vous partage un truc sympas. Lightshot est site de partage de capture d'écran. Et il fais des url courtes pour partager facilement vos images.

Le format des URL est le suivant : https://prnt.sc/abc123

Le problème c'est que le abc123 est pas générè aléatoirement du coup pour peu qu'on change le abc123 par abc124 on tombe sur une autre image.Pareil pour abc125, abc126, etc etc...

Il suffit donc d'un p'tit crawler des familles pour dumper toutes les images qu'on veut (ou plutôt qu'on peut...). Je pense qu'on peut y trouver des pépites mais aussi des truc chelou...

Un POC existe ici : https://github.com/senges/lightshot

Edit : Le POC ne fonctionne plus a cause de cloudflare qui capte le curl. Du coup, un patch a été soumis en pull request.

Je retourne nager le crawl... (STOCKAGE SORT DE MON CORPS TOI AUSSI !!!!)

Si tu connais un bon tuto FR sur Burp Suite, the_lsd ca serai cool

Je vais le pwn pour ecrire B*TE et je screen no faKe

Bonne chance. Si t'y arrives je paye tes boissons pendant une soirée entière et je te ramènes chez toi. (boire ou conduire ... y'a lovenunu qui fait sam c'cool).

Deal

Mais ce qu'on ne dit pas c'est que maintenant dans ce bar y a un chall

" Facebook Zero by lovenunu " - 30 points - 0 Validation

 

^{Je vais le pwn pour ecrire B*TE et je screen no faKe}