Kioptrix Niveau 3
- La première étape est d’exécuter un scan pour découvrir quel hôte est actuellement actif dans notre réseau. En utilisant l’outil “netdiscover” sur Kali Linux, nous allons être en mesure de répondre à cet objectif.
Commande: $ netdiscover -r 192.168.126.0/24
2. Maintenant que nous connaissons l’adresse IP de notre cible (192.168.126.134), nous allons cartographier tous les ports et les services ouverts sur celui-ci. Pour ce faire nous allons utiliser le logiciel “nmap”.
Commande: $ nmap -T4 -Pn -p- -vv 192.168.126.134
Avec les résultats sur la photo ci-haut, nous avons un aperçu des ports ouverts: SSH et HTTP.
3. La prochaine étape est de scanner les ports ouverts pour découvrir leur version et possiblement le système d’exploitation de notre machine cible.
Commande: $ nmap -T4 -Pn -sV -O -sC -p 22,80 -vv 192.168.126.134
Avec les résultats sur les photos ci-haut, nous découvrons les versions suivantes pour nos ports ouverts:
SSH : OpenSSH 4.7p1 Debian 8Ubuntu1.2 (Protocol 2.0)
HTTP(S) : Apache Httpd 2.2.8 (Ubuntu), PHP 5.2.4–2Ubuntu5.6 with Suhosin-Patch
OS: Linux 2.6.9–2.6.33
3. Maintenant que nous avons un bon aperçu des ports, services et versions de notre hôte cible, il serait temps de visiter la page web. En effet, nous savons que le port 80 est ouvert, allons en découvrir davantage :)
En visitant la page web, nous tombons sur le site de Ligoat Security. Nous trouvons des informations concernant leur nouveau CMS (Content Management System). Nous avons également trouver un identifiant: loneferret. Enfin, nous avons détecter quel CMS est utilisé pour alimenter le site de Ligoat Security : LotusCMS.
4. Nous allons prendre avantage des logiciels qui sont offerts à nous pour tester les vulnérabilités d’une page web. L’un de ces outils est le fameux logiciel Nikto que l’on retrouve sur Kali Linux.
Command: $ nikto -h 192.168.126.134
5. Nous allons également analyser le code source de la page d’accueil du site, du blog et de la page d’authentification de Ligoat Security. Aucunes informations importantes ont été retrouvées sur ces pages.
6. Nous pouvons poursuivre notre énumération en utilisant le logiciel GoBuster qui liste les répertoires de notre site cible en se basant sur une wordlist prédéfinie.
Commande: GoBuster -u “http://192.168.126.134/” -w NOTREWORDLIST
Allons visiter chacune des pages pour déterminer quelles informations que nous pouvons en tirer.
Le répertoire /modules ne détient aucunes informations importantes qui peut nous aider à compromettre notre hôte cible.
Le répertoire /phpMyAdmin peut être utilisé pour lancer une attaque brute force étant donné que nous détenons un identifiant (loneferret).
Le répertoire /gallery ne détient aucunes informations juteuses. Néanmoins, nous pouvons tenter d’énumérer plus profondément ce répertoire.
7. En cliquant sur l’un des liens du répertoire /gallery, nous tombons sur un répertoire à photo.
En énumérant la page davantage, nous trouvons un paramètre ID intéressant sur la page. En effet, en sélectionnant le filtre ID, le URL inclus dorénavant un paramètre ID qui peut être vulnérable à une injection SQL.
En effet, le paramètre ID semble vulnérable à une injection SQL!
9. Nous allons continuer d’exploiter le paramètre ID avec notre logiciel SQLMap.
Commande: sqlmap -u “NotreURL” -dbs
Commande: sqlmap -u “NotreURL” -D gallery -tables
Commande: sqlmap -u “NotreURL” -D gallery -T dev_accounts -dump
Et voilà! Nous avons obtenus des hash pour 2 utilisateurs (Dreg & Loneferret). Il est temps d’aller crack les hash pour avoir les mots de passe.
Dreg:Mast3r
Loneferret:starwars
10. Il est maintenant temps de nous connecter au serveur SSH de notre hôte cible avec les identifiants retrouvés.
11. Notre prochain objectif est d’escalader nos privilèges pour avoir un contrôle total sur notre hôte cible. Ainsi, nous allons passer à la phase d’énumération pour atteindre cet objectif.
Nous observons que l’utilisateur loneferret peut exécuter /usr/local/bin/ht avec les privilèges du compte ROOT.
12. Nous allons exécuter la commande ht
Commande: export TERM=xterm
Commande: sudo ht
Maintenant, nous avons un terminal HT avec les privilèges ROOT. Nous allons accéder au répertoire /etc/sudoers.
Nous allons rajouter la ligne /bin/sh pour pouvoir exécuter un Shell SH avec des privilèges ROOT pour notre utilisateur loneferret.
Sauvegarder le fichier et exécuter la commande ci-dessous:
Commande: sudo /bin/sh
Et voilà nous sommes l’utilisateur ROOT !
