Devel HackTheBox (Writeup)
Reconnaissance
Création de l'espace de travail :
Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.
Vérification de la Connectivité VPN
Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.
Recherche des ports ouverts avec Nmap :
Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:
Analyse des ports ouverts avec extractPorts:
Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le presse-papiers.
Scan de la version des ports avec Nmap:
Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :
Analyse des services
Port 21 - FTP
Le serveur FTP est accessible avec des identifiants anonymes. En explorant le répertoire FTP, nous découvrons trois fichiers :
aspnet_clientiisstart.htmwelcome.png
L’image welcome.png semble être une bannière standard.
Port 80 - HTTP:
Le serveur HTTP affiche une page contenant la même bannière que celle découverte sur le FTP. Cela suggère que le site web récupère ses fichiers directement depuis le serveur FTP.
Tests d’écriture sur le FTP
En testant les permissions d’écriture sur le serveur FTP, nous confirmons qu’il est possible d’ajouter des fichiers avec la commande
Exploitation - Reverse Shell via FTP
Upload d’une Webshell ASPX
Nous utilisons une webshell préexistante, cmd.aspx, provenant de SecLists :
Ensuite, nous l’importons sur le serveur FTP :
Nous accédons à la webshell via le serveur HTTP et exécutons des commandes, par exemple :
Upload du binaire nc.exe pour un reverse shell
nc.exe pour un reverse shellNous téléchargeons nc.exe depuis SecLists :
Puis, nous l’ajoutons sur le serveur FTP :
À partir de la webshell, nous localisons le fichier nc.exe sur le serveur cible:
Mise en place du reverse shell
Écoute sur le port 443 :
Nous avons mis en place un listener avec nc pour écouter sur le port 443 :
Depuis la machine cible, nous exécutons la commande suivante via la webshell :
Élévation de privilèges
Kernel Explotation:
Vérification des informations système
Avec la commande systeminfo, nous identifions que la machine utilise Windows 7 Enterprise, ce qui ouvre la possibilité d'exploiter des vulnérabilités connues pour cette version.
Le résultat nous indique que la machine utilise Windows 7 Enterprise, avec la version suivante :
Exploitation Vulnérabilité MS11-046
Cela nous permet de savoir que la machine pourrait être vulnérable à certaines failles connues, telles que MS11-046, une vulnérabilité dans le service Windows SMB.
La vulnérabilité MS11-046 permet à un attaquant de s'exécuter à distance avec les privilèges NT AUTHORITY\SYSTEM via le service SMB. Pour exploiter cette vulnérabilité, nous allons transférer et exécuter un fichier malveillant sur la machine cible.
File Transfer Windows (smb)
Nous utilisons smbserver.py pour partager un répertoire contenant le fichier exploit ms11-046.exe. Ce fichier est ensuite copié sur la machine cible.
Depuis la machine cible, nous copions le fichier malveillant à l'aide de la commande SMB :
Exécution de l'exploit
Une fois le fichier transféré, nous exécutons ms11-046.exe sur la machine cible pour exploiter la vulnérabilité et obtenir un shell avec les privilèges SYSTEM. Pour cela, nous utilisons la commande suivante :
Flag user.txt :)
Flag root.txt :)
Mis à jour
Ce contenu vous a-t-il été utile ?