✨ Regex Tester & Debugger
Les expressions régulières (Regex) sont des patterns pour chercher du texte.
Exemples : ^[a-z]+$ = que des minuscules, \d{4} = 4 chiffres,
.*flag.* = contient "flag". Flags : g = global (tous les matchs),
i = insensible à la casse, m = multiligne. Indispensable pour parser des logs CTF ou extraire
des données !
Résultat :
⚖️ Text Diff Checker
Comparez deux textes pour voir exactement ce qui a changé. Vert = ajouté, Rouge = supprimé. Utile pour : comparer deux versions d'un fichier, trouver des modifications subtiles dans du code, ou vérifier ce qui a changé entre deux réponses HTTP.
Différence :
📝 Data Formatter (JSON/XML)
Beautify = rendre lisible (indentation, retours à la ligne). Minify = compacter sur une seule ligne (pour réduire la taille). Utile quand vous recevez du JSON compact depuis une API et que vous voulez le lire, ou inversement pour envoyer des données compactes.
Sortie :
🎨 Code Beautifier
Transformez du code "spaghetti" ou obfusqué en code lisible avec une indentation propre. Supporte JavaScript, Python, CSS, HTML. Indispensable quand vous analysez du code malveillant compacté sur une seule ligne ou du JavaScript minifié.
Code Embelli :
🐚 Bash Text Processing One-Liners
Les outils en ligne de commande Linux sont PUISSANTS pour le CTF.
grep = chercher, awk = extraire colonnes, sed =
remplacer, sort | uniq -c = compter occurrences. Ces one-liners vous font gagner
des heures sur le parsing de logs, la manipulation de wordlists, etc.
🐍 PyJail Escape Payloads
En CTF, on vous donne parfois un interpréteur Python restreint (pas d'import,
pas d'exec...). Ces payloads contournent les restrictions en accédant aux builtins via
__class__.__mro__ ou __subclasses__(). Catégories : récupérer os/sys,
lire des fichiers, exécuter des commandes shell.
📦 Deserialization Attacks
La désérialisation transforme des données en objets. Si mal implémentée, on peut injecter des objets malveillants. Python Pickle : exécute du code au décodage. PHP Object : exploite les méthodes magiques (__wakeup, __destruct). YAML : !!python/object permet l'exécution. Génère des payloads prêts à l'emploi.
🎲 Random Data Generator
Générez des données aléatoires pour vos tests. UUID v4 = identifiant unique, MAC Address = fausse adresse réseau, IPv4/IPv6 = IP aléatoire, Fake CTF Flag = flag réaliste pour vos propres challenges, Lorem Ipsum = texte de remplissage.
📱 QR Code Generator
Créez rapidement un QR code à partir de n'importe quel texte ou URL. Utile pour : partager des liens rapidement, créer des challenges CTF avec des QR codes, ou encoder des payloads pour les tester sur mobile.
🔢 Chmod Calculator
Les permissions Linux en 3 chiffres octaux : r=4 (lire), w=2 (écrire), x=1 (exécuter). Exemple : 755 = rwxr-xr-x (owner peut tout faire, les autres peuvent lire/exécuter). 777 = tout le monde peut tout faire (DANGEREUX). 644 = fichier standard. Cochez les cases pour calculer.
Owner
Group
Public
⏰ Crontab Generator
Cron permet de planifier des tâches automatiques sous Linux. Format : minute
heure jour mois jour_semaine commande. Exemples : * * * * * = chaque minute,
0 0 * * * = minuit chaque jour, @reboot = au démarrage. Les attaquants
utilisent cron pour la persistance !
Crontab Line:
🐳 Docker & Kubernetes Cheatsheet
Docker = conteneurs légers, Kubernetes = orchestration. Commandes essentielles
: docker exec -it CONTAINER /bin/bash = shell dans un conteneur.
docker ps = lister. kubectl get pods = voir les pods K8s. En CTF, on
exploite souvent des conteneurs mal configurés (mount de /host, socket Docker exposé).
🎣 PowerShell Download Cradles
Les "cradles" sont des one-liners qui téléchargent et exécutent un script en mémoire (sans toucher le disque). IEX = Invoke-Expression, Bits = utilise le service de transfert Windows, Proxy Bypass = contourne le proxy d'entreprise. Entrez l'URL de votre payload pour générer la commande.
Payload :
🐍 Msfvenom Builder
Msfvenom génère des payloads Metasploit. Choisissez : Payload (shell, meterpreter), Format (elf pour Linux, exe pour Windows, raw pour shellcode), LHOST/LPORT (votre IP et port d'écoute). La commande générée crée un fichier malveillant qui vous donnera un accès distant.
Commande :
🐚 TTY Shell Spawning
Un reverse shell basique est "muet" : pas de Ctrl+C, pas d'historique, pas de
complétion. Ces commandes le transforment en shell interactif complet.
python -c 'import pty;pty.spawn("/bin/bash")' est la plus courante. Après, faites
export TERM=xterm et stty raw -echo; fg côté attaquant.
🔄 Universal Data Converter
Convertissez CSV, JSON, YAML à la volée.
💉 SQL Injection Polyglots
Les SQLi "polyglots" fonctionnent dans plusieurs contextes (strings,
numériques, commentaires). Exemples : ' OR '1'='1 = bypass auth basique,
UNION SELECT = extraire des données, AND SLEEP(5) = Blind SQLi
(détecte si vulnérable par le délai). Copiez et adaptez ces payloads à votre cible.
📂 LFI / RFI Payloads
LFI (Local File Inclusion) permet de lire des fichiers du serveur. RFI (Remote)
permet d'exécuter du code distant. Techniques : ../../../etc/passwd = remonter les
répertoires, php://filter = lire du PHP en Base64, data:// = injecter
du code. Sélectionnez Linux, Windows ou les wrappers PHP.
☠️ XSS Common Payloads
XSS (Cross-Site Scripting) = injecter du JavaScript dans une page.
<script>alert(1)</script> = basique.
<img onerror=...> = contourne les filtres.
<svg onload=...> = alternative. Objectif : voler des cookies, rediriger
l'utilisateur, ou défigurer la page.
#️⃣ Hash Identifier
Identifiez le type d'un hash inconnu par sa longueur et son format. 32 chars hex = MD5 ou NTLM. 40 chars = SHA1. 64 chars = SHA256. $6$... = SHA512crypt (Linux). $2a$... = Bcrypt. Collez votre hash pour une identification rapide.
Type Probable :
🌐 Subnet Calculator (CIDR)
Notation CIDR : 192.168.1.0/24 signifie 256 adresses (254 utilisables). Plus le /N est petit, plus le réseau est grand : /8 = 16 millions d'IPs, /32 = 1 seule IP. Cet outil calcule : plage d'IPs, masque, broadcast, nombre d'hôtes. Essentiel pour comprendre les réseaux en pentest.
Résultats :
🕒 Unix Timestamp Converter
Le timestamp Unix = nombre de secondes depuis le 1er janvier 1970.
1672531200 = 1er janvier 2023 à minuit UTC. Très utilisé en forensics pour analyser
des logs. Convertissez dans les deux sens : timestamp vers date lisible, ou date vers timestamp.
🔢 Hex / Text Converter
Convertissez du texte ASCII en hexadécimal et inversement. Exemple : "Hello" =
48 65 6c 6c 6f. Utile pour : lire des dumps hex, construire des payloads binaires,
analyser des trames réseau ou des fichiers binaires.
🪄 Magic Bytes Identifier
Chaque type de fichier a une signature unique au début (Magic Bytes).
89 50 4E 47 = PNG, 50 4B = ZIP, 25 50 44 46 = PDF,
4D 5A = EXE Windows. Collez les premiers octets hex pour identifier un fichier dont
l'extension a été changée ou est inconnue.
Type Probable :
🛡️ Iptables Generator
Iptables est le firewall Linux. Règles courantes pour CTF/pentest : bloquer tout sauf votre IP, rediriger le port 80 vers 8080, ouvrir un port pour un reverse shell. Les attaquants utilisent iptables pour la persistance en bloquant les accès concurrents.
🅰️ ASCII Table Reference
Table de correspondance entre caractères et leurs codes. A = 65 = 0x41. a = 97 = 0x61. 0 = 48 = 0x30. Espace = 32. Newline = 10. Indispensable pour le reverse engineering, la construction de shellcode, ou le chiffrement XOR.
🌲 Git CTF Cheatsheet
En CTF, on trouve souvent des dossiers .git exposés. Commandes
utiles : git log = historique des commits, git show COMMIT = voir les
changements, git checkout = restaurer une version. Le flag est souvent dans un
commit supprimé !
🗑️ GTFOBins Search
GTFOBins répertorie les binaires Linux exploitables pour l'élévation de
privilèges. Si vim, python, find, ou less
sont en SUID ou accessibles via sudo, vous pouvez probablement devenir root. Entrez le nom du
binaire pour voir ses abus possibles sur le site officiel.
🔍 Find Command Builder
Générez des commandes find complexes sans douleur.
Résultat :
🐍 Python CTF Templates
Boilerplates pour vos scripts d'attaque.
