# DERPnStink - ANOUZET Bastien 2023 ## NetDiscover On va commencer par trouver l'ip de la machine Le net discover nous dévoile l'addresse ip de la machine : 192.168.135.131  ## Nmap On effectue un scan nmap sur l'IP 192.168.135.131 avec les paramètres de detection d'OS de port TCP et de version système nous dévoile le port 21, 22 et 80 d'ouvert.  Le port 21 ouvreun service FTP sous la version vsftpd 3.0.2 Le port 22 ouvre un service SSH sous la version 6.6.1p1 de OpenSSH Le port 80 ouvre un service HTTP sous la version Apache httpd 2.4.7 D'apparence aucune faille majeure de detectée ## Serveur WEB En analysant le code source du site web on découvre le premier flag ouvrant les différent DIV  flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166) ### Dirb Scan Je lance un scan avec dirb pour tenter de récupérer le maximum d'infos sur tout les liens qui existent sur le site web  Il ressort de ce scan des url avec une nomenclature "WP" qui veut dire que c'est un site web Wordpress.  De plus on peut voir des liens vers un phpmyadmin  ## WpScan Etant donée que c'est un site wordpress je lance donc un WPscan  On obtien la version de plusieurs object Premièrement le thème, avec lequel il n'y a pas d'exploit dans cette version   Nous avons ensuite un plugins dans une ancienne version, avec un exploit possible.   On configure l'exploit et on le lance  On obtiens un meterpreter On va s'en servir pour analyser les fichier wordpress EN analysant les fichier auquels on a accès on découvre le fichier wp-config.php qui nous donnes les accès ala base de donnée. Et donc au PhpMyAdmin  On peut maintenant se connecter au PhpMyAdmin  Dans PhpMyAdmin on trouve la table wordpress avec les users, on découvre l'utilisateur unclestinky et sont mot de passe hashé On utiliseras JohnTheRipper afin de tenter de cracker le mot de passe. On utilisera la wordlist roskyou On spécifie a JohnTheRipper la wordlist et le fichier texte avec le hash et on le laisse tanter tous les mots de passes.  Avec le mot de passe trouvé on se connecte. En naviguant dans les posts on trouve le second flag  flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6) ## FTP Grace a l'utilisateur que l'on a trouvé dans PhpMyAdmin et grace a John le mot de passe on va aller essayer de se connecter en ftp comme c'est un port qui a étté detecté commeo uvert lors du scan. On se connecte grace a filezila en ftp avec l'utilisateur stinky et le mot de passe cracké. En naviguant dans les fichiers FTP, on trouve un clé privée RSA.  Nous allons essayer de nous connecter en SSH grace à cette clé RSA  Je cherche avec la commande find un fichier flag.  J'ouvre le fichier et je trouve le flag 3  flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb) On va déplacer le fichier PCAP dans le ftp pour pouvoir le télécharger et le lire  On analyse le fichier pcap On y trouve un paquet qui utilise le fichier php de creation d'utilisateur  On essaye donc de se connecter avec cet utilisateur sur le wordpress user : mrderp mdp : derpderpderpderpderpderpderp Cela ne fonctionne pas sur le site wordpress essayons en ssh  On a réussi a se connecter en ssh En inspectant les fichier on ne trouve pas grand chose du fait que nous sommes pas root en faisant un sudo -l pour voir nos droit on obtien  On comprend onc que l'on peu executer un script dans le dossier binaries on va donc essayer de lancer un script dans ce dossier qui lui va lancerun shell On va créer donc un script derpy.sh dans le dossier binarie dans lequel on a les droits Dans ce scipt on va appellerle shell " /bin/bash" On execute ce scipt en sudo    On cherche ensuite le dernier flag  flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd)