Salut chers amis passionnés de sécurité. Pour cet article, nous ferons appel une fois de plus à une machine virtuelle de Tryhackme, Wgel-ctf. Au menu, du scan de port avec rustscan pour changer, du fuzzing avec dirb et de l’exfiltration de données avec wget … c’est parti!
Wgel-ctf est aussi un challenge de niveau facile de Tryhackme comme dav que nous avons résolu la dernière fois. Il nous faudra maintenant utiliser divers techniques pour pouvoir parvenir à nos fins, c’est à dire l’obtention du flag du user et du root.
Wgel-ctf_Reconnaissance
Après avoir démarré la machine nous attendons quelques minutes et nous avons accès à l’adresse ip de la machine. Nous commençons par énumérer tous les ports ouverts grâce à rustscan qui est un outil d’énumération de port plus rapide que nmap.
Avec RustScan il est possible de scanner les 65K ports en 8sec (d’après les développeurs).
Quelque soit le cas, effectivement, RustScan est très rapide. Un autre avantage est qu’il est possible de faire un pipe du résultat directement sur nmap pour des scans plus approfondis.
Installer RustScan sur Kali linux
RustScan ne remplace pas nmap, il est même nécessaire d’avoir celui-ci sur votre système, ce qui est le cas pour kali.
Vous avez le choix de déployer RustScan via Docker ou en téléchargeant la dernière release depuis https://github.com/RustScan/RustScan/releases
et de lancer la commande
dpkg -irustscan_2.0.1_i386.debPour en savoir plus petit passage sur le github de RustScan
Le scan se fera grâce à la commande suivante:
rustscan -b 500 -t 1500 -a 10.10.91.31 -- -A -sC
.----. .-. .-. .----..---. .----. .---. .--. .-. .-.
| {} }| { } |{ {__ {_ _}{ {__ / ___} / {} \ | `| |
| .-. \| {_} |.-._} } | | .-._} }\ }/ /\ \| |\ |
`-' `-'`-----'`----' `-' `----' `---' `-' `-'`-' `-'
The Modern Day Port Scanner.
________________________________________
: https://discord.gg/GFrQsGy :
: https://github.com/RustScan/RustScan :
--------------------------------------
Real hackers hack time ⌛
[~] The config file is expected to be at "/root/.rustscan.toml"
[~] File limit higher than batch size. Can increase speed by
increasing batch size '-b 924'.
Open 10.10.91.31:22
Open 10.10.91.31:80Grâce à RustScan, nous savons en quelques secondes, que le port ssh(22) et le port http(80) sont ouverts.
Wgel-ctf_Enumération
Nous allons identifier les différents chemins situés au niveau du port http.Pour cela nous allons avoir besoin dir.
Nous mettons la main sur un fichier id_rsa qui est en fait la clé privée pour accéder au terminal grâce au ssh.
Aussi en parcourant le code source de la page d’accueil nous sommes tombés sur un commentaire dans le code qui nous donne comme information le username pour le ssh.
“Jessie”… tu n’oublieras pas de tirer les oreilles de ton collègue pour ce commentaire en prod!
Wgel-ctf_Exploitation
Nous donnons les droits d’exécution à la clé privée et ensuite nous nous connectons au terminal. Après ça nous obtenons le flag du user.
Wgel-ctf_Escalade de privilège
D’après la sortie suivante de la commande sudo -l, nous apprennons que nous pouvons utiliser wget pour l’escalade de privilège et ainsi obtenir le flag du root.
Matching Defaults entries for jessie on CorpOne:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\
:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
User jessie may run the following commands on CorpOne:
(ALL : ALL) ALL
(root) NOPASSWD: /usr/bin/wget
Ensuite nous utlilsons la commande wget pour exfiltrer le flag du root via une requête post sur le port 4455 de notre machine.
Après l’écoute au niveau du port grâce à netcat nous avons le flag du root.
Conclusion
Tout au long de cet article nous avons découvert un nouvel outil pour l’énumération de port qui est rustscan et aussi comment exfiltrer des données grâce à l’exploitation de la commande wget tout en n’ayant les droits d’administrateur.
J’espère que tout comme moi vous avez trouvé ce challenge intéressant et vous dis donc à bientôt pour encore plus de tuto hacking.
