CTF-FunBox3 EASY – Hacking SQL Injection

Analyse & Enumeration

Nouvelle installation d’une machine virtuelle sur mon réseau local qui se nomme Funbox3 : EASY, j’ai regardé la description de cette machine, il n’y a pas de Flag spécifique à trouver mise à part qu’il faut essayer de devenir Root de la machine et capturer le FlagRoot. Après l’installation, je vais localiser l’adresse Ip de la machine puis lancer un scan avec Nmap sur cette machine afin de trouver des ports ouverts pour pouvoir essayer de pirater et prendre le contrôle total de la machine, pour rappel les tests d’intrusions sont fait sur mon réseau local 🙂 il est interdit de pirater ou de faire des tests d’intrusions sur le web.

L’attribut alt de cette image est vide, son nom de fichier est netdisco-1024x576.png.
L’attribut alt de cette image est vide, son nom de fichier est Capture-d’écran-de-2020-09-21-16-57-56-1024x576.png.

Notre scan Nmap nous indique que nous avons 3 ports ouverts (22 SSH, 80 Web, et enfin 33060 Mysql), donc le plus simple pour le moment c’est le port 80 qui nous indique un site web 🙂 donc allons visiter ce site.

L’attribut alt de cette image est vide, son nom de fichier est Capture-d’écran-de-2020-09-21-16-14-26-1024x576.png.

D’accord donc nous tombons sur une page Apache par défaut, j’ai analysé le code source de la page voire s’il trainait des informations qui pourraient potentiellement nous servir, mais je n’ai trouvé donc je décide d’utiliser Gobuster qui est un scanner de page ou de répertoire en espérant que l’ont trouvera quelque chose de sympa 😉

L’attribut alt de cette image est vide, son nom de fichier est Capture-d’écran-de-2020-09-22-15-32-01-1024x576.png.

Gobuster nous trouve des répertoires intéressants, donc je visite le premier répertoire et je tombe sur un site inernet qui vend des livres. Donc nous sommes parti pour visiter et analysé le site 🙂 je remarque vite que ce site est programmé en PHP et donc qu’il est potentiellement vulnérable aux injections SQL, je clique sur une page du site puis je regarde l’URL et je m’aperçois que l’URL contient des variables donc je test une injection, hé bingo! une belle vulnérabilité SQL.

L’attribut alt de cette image est vide, son nom de fichier est Capture-d’écran-de-2020-09-22-15-48-00-1024x576.png.

Vulnérabilité & Exploitation

L’attribut alt de cette image est vide, son nom de fichier est Capture-d’écran-de-2020-09-22-15-48-25-1024x576.png.

Prochaine étape exploitée la vulnérabilité SQL grace à l’outil SQLMAP qui va nous permettre de trouver la bonne injection puis de trouver des tables puis des columns intéressantes, donc lançons notre exploitation Let’s Go :p << Image de SQLMAP ci-dessous >>

L’attribut alt de cette image est vide, son nom de fichier est Capture-d’écran-de-2020-09-22-16-52-43-1024x576.png.
L’attribut alt de cette image est vide, son nom de fichier est Capture-d’écran-de-2020-09-22-16-53-04-1024x576.png.

Voici la listes des Tables et des columns 🙂

L’attribut alt de cette image est vide, son nom de fichier est Capture-d’écran-de-2020-09-22-16-54-24-1024x576.png.

Notre exploitation finale, avec notre identifiant de connexion est notre mot de passe qui est hashé et caché par la même occasion 😉

L’attribut alt de cette image est vide, son nom de fichier est result-1024x576.png.

Injection Reverse Shell & Prise de Contrôle du Serveur

Je vous passe les détails pour déchiffrer le mot de passe et la recherche du panel de connexion administrateur 🙂 j’ai reussi à injecter un shell sur le site web « au passage, aucune protection », ce qui ma permit de me connecter au serveur est d’avoir un identifiant Apache. Comme le montre sur l’image ci-dessous je suis dans le serveur donc je vais me promener un peu voir s’il y a des indices qui me permettront de devenir ROOT de la machine est trouvé le Flag Root.

L’attribut alt de cette image est vide, son nom de fichier est Capture-d’écran-de-2020-09-22-17-20-02-1024x576.png.
L’attribut alt de cette image est vide, son nom de fichier est ncpassword-1024x576.png.

Privilége Escalation & Root

Je suis allé dans le fichier /home et j’ai trouvé un utilisateur du nom de Tony et un fichier password.txt, oui je sais je cache les resultas de mes recherches mais c’est vous de trouver si vous voulez vous y mettre 😉 . Donc nous pouvons faire du privilège escalation pour avoir plus de droits sur la machine, donc j’ai récupéré le mot de passe dans le fichier .TXT et je tente une connexion avec un SSH.

L’attribut alt de cette image est vide, son nom de fichier est Capture-d’écran-de-2020-09-22-17-53-59-1024x576.png.

Voilà j’ai des privilèges plus haut qu’un utilisateur Apache. Maintenant avec quelques recherches j’ai pu trouver le moyen de faire une escalation de privilège et enfin devenir ROOT de la machine 😉 bien évidament il y a une méthode pour pirater la machine 🙂 mais ça sera dans un autre tuto.

L’attribut alt de cette image est vide, son nom de fichier est Capture-d’écran-de-2020-09-22-18-02-05-1024x576.png.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *