CTF-Recon1 – Hacking Brute Force SSH

Analyse & Enumeration

nous allons faire un nouveau CTF qui se nomme Recon1 qui est téléchargeable ici . Une fois la machine virtuelle installé, comme d’habitude je lance un scan de mon réseau en tapant la commande « sudo netdiscover » ce qui donne le résultat ci-dessous.

Maintenant que l’adresse du serveur a été identifier, nous lançons un scan de port sur la machine avec Nmap 🙂 il n’y a que deux ports ouverts (80) site internet et (22) un serveur SSH.

Je me rends sur le site web et je constate que c’est un site WordPress, et je ne trouve rien de spécifique sur le site, mais il y a un nom d’utilisateur que j’ai encadré en rouge 🙂 je me connecte donc au panel d’administration de WordPress et je rentre en login et mot passe (recon, recon) on ne sait jamais 😉 malheureusement cela ne fonctione pas, donc je decide de lancer WPScan.

Prise de contrôle du site

WPScan nous a trouvé deux utilisateurs qui sont recon et reconauthor , je decide d’utiliser la puissance du Brute Force du logiciel WPScan en espérant avoir leur mot de passe dans mes dictionnaires. Après quelques minutes WPScan m’indique résultat sur l’utilisateur reconauthor 🙂

Je me rends sur la page de connexion et je m’identifie; ça fonctionne 🙂 j’explore tout le menu et je remarque que nous avons un poste avec un formulaire d’upload de fichier.

C’est un plugin qui se nomme e-learning . J’ai trouvé un exploit sur ExploitDB qui ma permit d’injecter un reverse-shell et ainsi de prendre le contrôle du serveur via Netcat.

Vulnérabilité & Exploitation

Injection Reverse Shell & Prise de Contrôle du Serveur

j’ai réussi à avoir une session Netcat avec un utilisateur Apache, nous nous rendons donc dans le /home/ pour trouver des indices et nous remarquons deux utilisateurs « hacker » et « offensivehack » , j’ai exploré le dossier de l’utilisateur « offensivehack » il y a un fichier « . TXT » je lance un « cat user txt » pour lire le fichier 🙂

Privilége Escalation & Root

Le message m’indique « que ce n’est pas fini, il reste le flagroot à trouver » ;p, nous pourrions faire de l’escalade de privilige d’utilisateur en utilisateur mais je me dis que je pourrais faire autrement.

J’ai donc pensé que comme nous avons déjà deux utilisateurs identifiés, pourquoi pas passer par un autre port ouvert, le SSH. Je pourrai faire du brute force avec mes dictionnaires de mot de passe voir si cela donne un résultat.

Grâce au logiciel hydra est à mes dictionnaires j’ai pu casser le mot de passe de l’utilisateur « hacker », j’ai donc pu me connecter au SSH.

Lisons le fichier « . bash history » voire s’il y a quelque chose d’intéressant 🙂 je remarque une seul commande présent dans le fichier qui est « sudo su » : je tape la commande « sudo su » et le système me demande un mot passe, je tappe le mot de passe que nous avons trouvé précedament pour me connecter au SSH et là je suis Root du système 🙂

Voilà j’ai le Flagroot et le CTF est terminé 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *