Challenge CTF :
Aujourd’hui nous allons faire un CTF basé sur une vulnérabilité LFI (Local File Inclusion) sur le site de challenge TryHackme 🙂 .
Pour pouvoir accéder au site de TryHackme il faut se creer un compte puis participé à des challenges de pentest.
TryHackme propose divers cours et divers challenges pour pouvoir débuter dans la cybersécurité.

Pour valider votre challenge nous devons remplir les tasks 🙂 ici on nous demande de trouver le Flag user et le Flag root.

Analyse & Enumeration:
Ont nous fourni une adresse Ip de la machine, donc nous nous rendons sur cette adresse et nous avons un site web.
Nous visitons le site est il y a des explications qui concernet les attaque LFI et RFI pour ceux à qui veulent apprendre comment cela fonctione 🙂 .


Enfin bref j’ai commencé à analyser notre serveur avec un scan Nmap et nous remarquons que nous avons deux ports ouverts (80,22) .
Nous allons aussi checker le site et nous avons trouvé la bonne injection qui nous a permis d’afficher les informations du site. Malheureusement le site n’est vraiment pas sécurisé même pas un minimum puis nous avons déjà trouvé un identifiant puis un mot de passe 🙂 .
Vulnérabilité & Exploitation:

Nous avons essayé de trouver un panel de connexion, mais je n’ai rien trouver. Je decide par le SSH avec les identifiants trouvés et bingo ! nous sommes dans le serveur.
Privilége Escalation:

Le premier Flag est trouvé 🙂 maintenant il faut passé Root pour voir notre dernier Flag.
Je cache volontairement la procédure pour devenir Root car c’est à vous de chercher, il y a procédure simple qui m’a permis de devenir Root est d’avoir notre dernier Flag et valider notre challenge.
