# <center> TP PENTEST Travail effectué par Imaan SHAHEEN et Redouane NASR ## <center> Configuration : ++Étape 1 :++ Je recommande d'utiliser une VM Kali pour traiter l'attaque, vous pouvez trouver des VM préconfigurées ici : https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/#1572305786534-030ce714-cc3b Pour cet audit pentest nous allons utiliser cette instance : https://www.vulnhub.com/entry/dc-4,313/ ++Etape 2 :++ Décompressez le fichier. Utilisez VMWare ou VirtualBox pour ajouter la VM. ++Etape 3 :++ Placez la machine sous le même sous-réseau que votre machine d'attaque. ++Étape 4 :++ Démarrer les deux VM Conseil : Ne jamais exposer la machine vulnérable sur internet, toujours en local. ## <center> Début du TP Les 2 VMs sont sur le même réseau. Nous allons pouvoir analyser avec nmap pour savoir quelle adresse la machine DC4 a récupéré et en savoir un peu plus dans les détails. Liste des adresses ip du réseau avec : nmap -sP 192.168.1.0/24 On remarque une adresse ip en .157 qui n'existait pas lorsque DC4 était éteinte.  Nous utiliserons donc l'option –A pour avoir plus d'informations dessus : nmap -A 192.168.1.157  En parcourant l'adresse IP de la cible dans le navigateur, nous avons trouvé une page de connexion de l’administration.  L'en-tête est "Admin information systems login", testons quelques logins/mdps de base comme admin/admin, admin/admin123 mais pas de chance. On va donc bruteforcer avec hydra et la commande : hydra -l admin -P /usr/share/wordlists/dirb/big.txt 192.168.1.157 http-post-form "/login.php:username=^USER^&password=^ PASS ^ & submit = Submit: S = logout "-V  Finalement nous utiliserons comme login : admin et comme mdp : !_archives Nous nous sommes connectés avec succès en tant qu'administrateur.  Il existe une option de commande. L’Utilisation de l'option « List Files » affiche les fichiers de la base de données.  Nous allons inspecter l'élément et profiter de la possibilité d'exécuter des commandes pour afficher les dossiers passwd ou shadow. Pour cela nous utiliserons Burp Suite. Mais d’abord il faudra configurer les paramètres réseaux de Firefox pour qu’il puisse fonctionner avec Burp.  Et finalement activer l’interception Proxy sur Burp  Voilà, ça fonctionne correctement  Maintenant essayant d’accéder au dossier passwd en simplement modifiant le paramètre radio et en appuyant sur « forward »  Nous sommes en mesure d'exécuter avec succès notre commande. Dans le fichier /etc/passwd, nous pouvons voir qu'il y a trois utilisateurs Jim, Charles et Sam.  En explorant le répertoire personnel de l'utilisateur Jim, nous avons trouvé le fichier « old-passwords.bak » dans le dossier backups qui est un fichier de mot de passe de sauvegarde.   Accédons au contenu de ce fichier   Nous allons copier les mots de passes de ce fichier dans un nouveau fichier qu’on nommera « pw »  Comme nous avons trouvé la liste des mots de passe, nous allons forcer brutalement la connexion ssh en utilisant hydra  Nous avons donc trouvé le mot de passe de Jim : jibril04 Connexion ssh à l'aide des informations d'identification que nous avons trouvé  Nous remarquons déjà que Jim n’a pas de droit admin  Nous remarquons qu'il y a plusieurs fichiers et que nous avons accès à sa boîte aux lettres. Les mails se trouvent généralement dans le dossier /var/mail. On remarque que Charles lui a envoyé un mail avec son mot de passe en clair.  Connectons-nous à Charles et vérifions ses droits sudo  Il peut exécuter teehee en tant que root sans mot de passe. Avec teehee --help, nous apprenons qu'il sert à copier l'entrée dans un fichier.  Nous pouvons donc ajouter un nouveau utilisateur dans /etc/passwd puisque nous y avions accès. Évidemment, nous avons ajouté un utilisateur avec un UID & GID correspondant à root. A l'aide de la commande suivante : echo "shaheen::0:0:::/bin/bash" | sudo teehee -a /etc/passwd Vérification en changeant d'utilisateur, nous sommes enfin root ! Puis on procède à la récupération du flag à la racine de root :  ## <center> FIN