{"id":112,"date":"2025-04-14T23:31:15","date_gmt":"2025-04-14T21:31:15","guid":{"rendered":"https:\/\/fromkiddietorobot.fr\/?p=112"},"modified":"2025-04-14T23:32:30","modified_gmt":"2025-04-14T21:32:30","slug":"skynet","status":"publish","type":"post","link":"https:\/\/fromkiddietorobot.fr\/index.php\/2025\/04\/14\/skynet\/","title":{"rendered":"Skynet"},"content":{"rendered":"\n
\n

A vulnerable Terminator themed Linux machine.<\/p>\n\n\n\n

https:\/\/tryhackme.com\/room\/skynet<\/a><\/p>\n<\/blockquote>\n\n\n\n

Phase d’\u00e9num\u00e9ration<\/h2>\n\n\n\n

D\u00e9couverte des services et versions pr\u00e9sents sur la machine gr\u00e2ce \u00e0 Nmap:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Par r\u00e9flexe, regardons ce que contient le serveur web :<\/p>\n\n\n\n

\"\"
Rien de sp\u00e9cial n’est \u00e9voqu\u00e9 \u00e0 part le \/admin<\/figcaption><\/figure>\n\n\n\n
\"\"
Le \/admin n’est pas accessible<\/figcaption><\/figure>\n\n\n\n

Voyons voir si le \/squirrelmail qui contient pas mal de fichiers\/dossiers est accessible:<\/p>\n\n\n\n

\"\"
Une page de connexion pour des mails<\/figcaption><\/figure>\n\n\n\n

Continuons d’exploiter notre retour Nmap pour voir si d’autres services sont exploitables.<\/p>\n\n\n\n

On voit donc aussi qu’il y a un service SMB sous Samba, qui est r\u00e9put\u00e9 vuln\u00e9rable dans les CTFs donc je regarde ce que je peux trouver en l’\u00e9num\u00e9rant.
Pour faire cela, je vais me servir de l’outil Enum4Linux :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"
On trouve l’utilisateur milesdyson<\/figcaption><\/figure>\n\n\n\n
\"\"
On voit aussi qu’un mode anonyme est disponible sur le partage de fichiers<\/figcaption><\/figure>\n\n\n\n

Essayons donc de nous connecter en mode anonyme pour essayer de r\u00e9cup\u00e9rer des informations.<\/p>\n\n\n\n

Phase d’exploitation<\/h2>\n\n\n\n
\"\"
Connexion r\u00e9ussie, voyons voir ce que ces fichiers nous cache<\/figcaption><\/figure>\n\n\n\n

Nous avons pu r\u00e9cup\u00e9rer un total de 3 fichiers sur notre machine attaquante, les voici :<\/p>\n\n\n\n

\"\"
Regardons ce qu’ils contiennent<\/figcaption><\/figure>\n\n\n\n
\"\"
On a un p’tit dictionnaire, esp\u00e9rons qu’il contient le mot de passe de Miles<\/figcaption><\/figure>\n\n\n\n

Le premier flag de cette box sur TryHackMe est le mot de passe du compte mail de Miles, esp\u00e9rons qu’il se trouve dans cette liste de mot de passe. Et pour v\u00e9rifier cette information, nous pouvons utiliser l’outil Burp Suite afin de faire une attaque par dictionnaire sur son compte.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Le premier mot de passe a une longueur de r\u00e9ponse diff\u00e9rente des autres mots de passe essay\u00e9s par Burp Suite donc si on la tente :<\/p>\n\n\n\n

\"\"
Nous avons bien acc\u00e8s au mail!<\/figcaption><\/figure>\n\n\n\n
\"\"
Gr\u00e2ce \u00e0 \u00e7a nous avons acc\u00e8s au nouveau mdp de Miles sur le SMB<\/figcaption><\/figure>\n\n\n\n

Et voil\u00e0, nous avons acc\u00e8s au SMB client :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

En pentest, notre but est de trouver le plus d’informations pertinentes possibles et un dossier peut nous sauter aux yeux car il a sa premi\u00e8re lettre en minuscule et aussi car il s’appelle “notes”, voyons ce qu’il contient:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Idem que pour la recherche du dossier pr\u00e9c\u00e9demment, on peut voir le fichier “important.txt”, r\u00e9cup\u00e9rons-le.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Quand nous nous rendons sur la page http:\/\/10.10.47.254\/45kra24zxs28v3yd\/<\/a>, nous retrouvons le blog personnel de Miles Dyson :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

On peut essayer de r\u00e9\u00e9num\u00e9rer la page de Miles Dyson \u00e0 l’aide de la commande “dirb” et en sp\u00e9cifiant le dossier \u00e0 d\u00e9couvrir.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

On voit qu’il y a un dossier “administrator” sur sa page personnelle.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

On tombe sur un CMS, qui peut lui permettre d’administrer sa page, voyons si une vuln\u00e9rabilit\u00e9 est exploitable sur cette page :<\/p>\n\n\n\n

\"\"
Une LFI est possible sur le CMS en question<\/figcaption><\/figure>\n\n\n\n

Gr\u00e2ce \u00e0 la commande searchsploit -m et le num\u00e9ro de l’exploitation nous pouvons r\u00e9cup\u00e9rer l’exploit :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Pour exploiter le site web, nous allons proc\u00e9der \u00e0 une attaque par RFI (Remote File Inclusion) comme suit :<\/p>\n\n\n\n

    \n
  • Configuration du reverse shell PHP :<\/li>\n<\/ul>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
      \n
    • On \u00e9tablit le serveur python qui va accueillir le reverse shell :<\/li>\n<\/ul>\n\n\n\n
      \"\"<\/figure>\n\n\n\n
        \n
      • On \u00e9coute maintenant sur le port 31337 pour recevoir les informations du reverse shell :<\/li>\n<\/ul>\n\n\n\n
        \"\"<\/figure>\n\n\n\n
          \n
        • Exploitation de la RFI :<\/li>\n<\/ul>\n\n\n\n
          \"\"<\/figure>\n\n\n\n
          \"\"
          Gr\u00e2ce \u00e0 cela, nous r\u00e9cup\u00e9rons un acc\u00e8s sur la machine.<\/figcaption><\/figure>\n\n\n\n

          Comme d’habitude, lorsque nous arrivons sur une machine, j’aime bien appliquer la proc\u00e9dure pour avoir un full TTY de HackTricks :<\/p>\n\n\n\n

          python3 -c 'import pty; pty.spawn(\"\/bin\/bash\")'
          (inside the nc session) CTRL+Z;stty raw -echo; fg; ls; export SHELL=\/bin\/bash; export TERM=screen; stty rows 38 columns 116; reset;<\/code><\/pre>\n\n\n\n
          \"\"<\/figure>\n\n\n\n
          Nous pouvons maintenant exploiter la machine pour faire une \u00e9l\u00e9vation de privil\u00e8ges, mais avant cela, r\u00e9cup\u00e9rons le flag user :<\/p>\n\n\n\n
          \"\"<\/figure>\n\n\n\n
          El\u00e9vation de privil\u00e8ges<\/h2>\n\n\n\n
          Pour avoir une \u00e9l\u00e9vation de privil\u00e8ges, nous devons analyser les failles de la machine exploit\u00e9e et pour cela, rien de mieux que l’utilisation du script linpeas.sh<\/p>\n\n\n\n
          Nous allons le r\u00e9cup\u00e9rer sur la machine cible de la m\u00eame mani\u00e8re que nous avons exploit\u00e9 le reverse shell sur le serveur web \u00e0 savoir avec un server HTTP python :<\/p>\n\n\n\n
          \"\"<\/figure>\n\n\n\n
          \"\"<\/figure>\n\n\n\n
          Pour pouvoir ensuite copier le script sur le serveur, la plupart du temps nous avons les droits sur le dossier \/tmp, essayons :<\/p>\n\n\n\n
          \"\"<\/figure>\n\n\n\n
          Nous avons r\u00e9cup\u00e9r\u00e9 le script, ex\u00e9cutons-le :<\/p>\n\n\n\n
          \"\"<\/figure>\n\n\n\n
          Tiens donc un job crontab ex\u00e9cut\u00e9 par l’utilisateur root, pouvons nous le modifier pour l’exploiter?<\/p>\n\n\n\n
          \"\"<\/figure>\n\n\n\n
          \"\"
          Nous sommes en readonly, impossible de le modifier pour en profiter. <\/figcaption><\/figure>\n\n\n\n
          Bien \u00e9videmment, en tant que “hacker” nous allons trouver une mani\u00e8re d\u00e9tourn\u00e9e pour en profiter (c’est la d\u00e9finition m\u00eame du hacking) puisque dans la commande, celle-ci \u00e9tablit un environnement bash avec les droits root, ce qui implique un acc\u00e8s en root si nous arrivons \u00e0 l’exploiter. Comme la t\u00e2che s’ex\u00e9cute toutes les minutes, servons-en nous pour r\u00e9cup\u00e9rer les acc\u00e8s.<\/p>\n\n\n\n
          Pour y parvenir nous allons devoir jouer avec le wildcard du script  avec les commandes comme suit :<\/p>\n\n\n\n
          Dans le dossier “\/home\/milesdyson\/backups” :<\/p>\n\n\n\n
          echo -e '#!\/bin\/bash\\nchmod +s \/bin\/bash' > \/var\/www\/html\/root_shell.sh<\/code><\/pre>\n\n\n\n
          touch \"\/var\/www\/html\/--checkpoint-action=exec=sh root_shell.sh\"\n\ntouch \"\/var\/www\/html\/--checkpoint=1\"<\/code><\/pre>\n\n\n\n
          \/bin\/bash -p<\/code><\/pre>\n\n\n\n
          \"\"<\/figure>\n\n\n\n
          On retrouve bien le # qui nous indique que nous avons r\u00e9cup\u00e9rer les privil\u00e8ges sur la machine, ce que nous pouvons v\u00e9rifier avec la commande “id” ou “whoami” :<\/p>\n\n\n\n
          \"\"
          Nous sommes toujours sur le compte www-data mais dans un environnement root<\/figcaption><\/figure>\n\n\n\n
          Nous pouvons finalement r\u00e9cup\u00e9rer le dernier flag, \u00e0 savoir le compte root qui nous permet d’affirmer que nous avons les pleins pouvoirs sur la machine :<\/p>\n\n\n\n
          \"\"<\/figure>\n\n\n\n
          Et voil\u00e0, la box est termin\u00e9e!<\/p>\n\n\n\n
          \"\"<\/figure>\n","protected":false},"excerpt":{"rendered":"
          A vulnerable Terminator themed Linux machine.<\/p>\n","protected":false},"author":3,"featured_media":113,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-112","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ctf"],"_links":{"self":[{"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/posts\/112","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/comments?post=112"}],"version-history":[{"count":8,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/posts\/112\/revisions"}],"predecessor-version":[{"id":171,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/posts\/112\/revisions\/171"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/media\/113"}],"wp:attachment":[{"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/media?parent=112"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/categories?post=112"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/tags?post=112"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}