CTF-DC2 – WordPress Username Enumeration

Analyse & Enumeration

La machine DC-2 qui est sur un serveur Linux comporte un site internet basé sur le CMS WordPress, le but de ce CTF est de trouver 5 flags dont 1 qui appartient au Root, donc pour avoir le flag Root il nous faut le devenir. 🙂 Je passe le scanner de mon réseau, je pense que vous connaissez la procédure, je lance donc le logiciel Nmap afin de découvrire des éventuels ports ouvert.

Nmap a terminé son scan et nous informe que nous avons 2 ports ouverts (du web sur le 80 et un SSH sur 7744) 🙂 aussi nous voyons une version de WordPress qui porte les numéros 4.7.10. bons visitons ce site web nous voyons déjà notre premier flag 😉

Création d’un Dictionnaire de Mot de Passe

Ce Flag nous donne un indice, il nous dit que nous devons creer un dictionnaire de mot de passe avec le logiciel Cewl. Cewl est un logiciel qui permet entre outre de générer des mots de passe à partir de mot inscrit sur un site internet et ainsi de creer des dictionnaires. Notre dictionnaire de mot de passe est maintenant créé, et je vais le mettre de côté et analysé le site.

Analyse du site avec WPScan

Vu que c’est un site qui contient un WordPress, je vais lancer un scan avec le logiciel WPScan qui est fourni par défaut avec Kali Linux. WPScan est un scanner pour les sites WordPress, il analyse les vulnérabilités présentes dans le CMS :p il peut également nous fournir des identifiants des utilisateurs et aussi faire de la brute force, je ferais un tuto sur WPScan, vous montrez comment il fonctionne.

Brute Force avec WPScan

Nous avons pu récupérer 3 identifiants comme le montre l’image ci-dessus, et notre image ci-dessous, nous montre que WPScan a cassé les mots de passe de 2 utilisateurs sur 3, vraiment puissant cet outil 🙂 .

Prise de contrôle du site

Comme j’ai pu récupérer les identifiants et les mots de passe, je me suis donc connecté à la page d’administration du site et d’explorer tout ceci 🙂 . Il n’y a aucun plugins ou thèmes WordPress vulnérable, mais j’ai découvert une page non publié qui s’appelle Flag2, voila le deuxième 🙂 plus que 3 Flags à trouver. Juste pour information les anciens WordPress contient une vulnérabilité qui permet d’afficher des pages ou publications cacher sans avoir besoin d’être authentifier.

Connexion SSH & Prise de contrôle du Serveur

Puisque notre second flag nous informe que nous pouvons pas exploiter le Worpress, je decide donc de passé par une autre porte 🙂 le SSH, parfois les administrateurs ou utilisateurs utilisent souvent le mot de passe associé à plusieurs comptes 🙂 Hé bingo! nous sommes sur le serveur et connecté en tant que tom 😉 et nous voyons le flag3, je tape la commande cat flag3.txt et je ne peux pas le lire, parce que j’ai un shell restreint 🙁 donc nous allons essayer de contourner cette sécurité.

Bypass Sécurité & Injection de Shell dans VI

Jai essayé quelques commandes shell mais rien ne fonctionnent mais la commande VI quant à elle fonctionne 🙂 donc je vais essayer Bypassé la sécurité via le logiciel VI,

Importation d’Environnment PATH

Pfff 🙁 après avoir détourné le shell restreint, une autre erreur m’est apparu, je ne peux toujours pas lire notre flag 🙁 J’ai donc vérifié la variable d’environnement PATH et j’ai trouvé que les chemins des commandes Linux n’y figuraient pas. Alors, je les ai ajoutés, grâce à la commande suivante « echo $PATH » & « export PATH=$PATH:/bin:/usr/bin« , et maintenant les commandes marchent.

Priviliége Escalation – Utilisateur jerry

Voilà, j’ai pu lire le fichier flag3 txt puis grace à ce flag il m’a permis de trouver un indice afin de me connecter sur l’utilisateur jerry 🙂 , ce n’est pas encore fini je vous rappelle qu’il faut atteindre le Root pour pouvoir lire le FlagRoot, la commande « sudo -l » me permet de voir que l’utilisateur jerry peut exécuter le programme GIT en tant que Root est surtout sans mot de passe 🙂 donc, je l’ai utilisé pour élever mon privilège à l’utilisateur root, faites comme moi :

Privilége Escalation via le Binaire Git

Privilége Escalation & Root

Et maintenant 🙂

Ici notre flag4 puis notre FlagRoot 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *