En espionnant les processus avec pspy, on se rend compte qu’un crontab que l’on peut écrire est exécuté en tant qu’administrateur.
Il est alors possible d’ajouter une ligne de commande dans un crontab exécuté par l’utilisateur root (administrateur) pour obtenir un shell sur la machine de l’attaquant.
Sur kali, le shell est PHP est situé dans /usr/share/webshells/php/php-reverse-shell.php
Il faut copier le shell sur la machine de la victime, l’éditer en mettant l’adresse IP et le port de l’attaquant. Ajouter /tmp/php-reverse-shell.php dans le crontab
Sur l’attaquant : nc -nlvp 2222
Et attendre que le crontab soit exécuté