CTF-TryHackme – LFI challenge

CTF Tryhackme ZwX
Challenge CTF :

Aujourd’hui nous allons faire un CTF basé sur une vulnérabilité LFI (Local File Inclusion) sur le site de challenge TryHackme 🙂 .

Pour pouvoir accéder au site de TryHackme il faut se creer un compte puis participé à des challenges de pentest.

TryHackme propose divers cours et divers challenges pour pouvoir débuter dans la cybersécurité.

Pour valider votre challenge nous devons remplir les tasks 🙂 ici on nous demande de trouver le Flag user et le Flag root.

Analyse & Enumeration:

Ont nous fourni une adresse Ip de la machine, donc nous nous rendons sur cette adresse et nous avons un site web.

Nous visitons le site est il y a des explications qui concernet les attaque LFI et RFI pour ceux à qui veulent apprendre comment cela fonctione 🙂 .

Enfin bref j’ai commencé à analyser notre serveur avec un scan Nmap et nous remarquons que nous avons deux ports ouverts (80,22) .

Nous allons aussi checker le site et nous avons trouvé la bonne injection qui nous a permis d’afficher les informations du site. Malheureusement le site n’est vraiment pas sécurisé même pas un minimum puis nous avons déjà trouvé un identifiant puis un mot de passe 🙂 .

Vulnérabilité & Exploitation:

Nous avons essayé de trouver un panel de connexion, mais je n’ai rien trouver. Je decide par le SSH avec les identifiants trouvés et bingo ! nous sommes dans le serveur.

Privilége Escalation:

Le premier Flag est trouvé 🙂 maintenant il faut passé Root pour voir notre dernier Flag.

Je cache volontairement la procédure pour devenir Root car c’est à vous de chercher, il y a procédure simple qui m’a permis de devenir Root est d’avoir notre dernier Flag et valider notre challenge.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *