Pentest - HackMD

# Pentest box du 20/10/2023 Première étape, scanner l'ip afin de faire remonter les services accessibles. Scan nmap tcp sur tous les ports: ![](https://hackmd.io/_uploads/HJF4kZeM6.png) Scan nmap udp: ![](https://hackmd.io/_uploads/rJe_1bgzT.png) Je détecte 2 services, un SSH sur le port tcp/22, et un service WEB sur le port tcp/80. Je navigue donc sur la page web grâce à l'ip, mais je ne trouve pas de contenu intéractif tel qu'un champs de donnée ou des boutons spécifiques. J'effectue une énumération des dossiers sur le site web, avec la commande : ```bash= ffuf -c -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt -u http://artcorp.htb/FUZZ ``` Je n'obtiens aucun résultat probant, les dossiers assets et css en 301. Je décide de réaliser un nikto avec la commande: ```bash= nikto -host http://artcorp.htb/ ``` Le résultat n'est pas assez intéressant: ![](https://hackmd.io/_uploads/BykyH-gGa.png) Je décide de me tourner du côté du SSH afin de trouver des possibles points d'entrée. avec la version : OpenSSH 7.9p1 (protocol 2.0) Je recherche donc sur internet si des exploit sont possibles sur cette version. Il semblerait que la version de ssh soit sensible à la CVE-2019-6111, malheureusement, pour mettre en place cette CVE, un compte est nécessaire pour la connexion, et nous ne disposons pas de compte. Je retourne donc sur le service web en tentant une énumeration avec whatweb: ```bash= whatweb -a 1 http://artcorp.htb ``` ![](https://hackmd.io/_uploads/H1BY_WeM6.png) Aucune information intéressante. Je lance un wapiti: ```bash= wapiti -u http://artcorp.htb ``` Qui ne me retourne aucune information intéressante non plus. Je tente donc une nouvelle fois, une énumeration des dossiers sur le site web avec dirb: ```bash= dirb http://artcorp.htb/ ``` J'obtiens les mêmes informations que le FUFF effectué au début. Je décide d'énumerer les sous-domaines du dns artcorp.htb avec la commande : ```bash= wfuzz -c -f sub-fighter -w /usr/share/wordlists/amass/subdomains-top1mil-5000.txt -u "http://artcorp.htb" -H "Host: FUZZ.artcorp.htb" | grep 200 ``` J'obtiens le sous-domaine dev01, que j'ajoute au fichier etc/hosts. J'effectue donc une énumération des dossiers du sous-domaine : ```bash= ffuf -c -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt -u http://dev01.artcorp.htb/FUZZ ``` Je vais naviguer sur le site du sous-domaine : ![](https://hackmd.io/_uploads/H1Mzn-lza.png) J'arrive sur la page de garde avec un lien redirigeant vers le dossier metaview : ![](https://hackmd.io/_uploads/SyiOnWxM6.png) J'essaie donc d'envoyer des fichiers ![](https://hackmd.io/_uploads/ByNoTbezT.png) Seuls les fichiers en .png .jpg sont acceptés --> Mon but est donc d'envoyer un fichier php avec l'extension .png et de le changer au dernier moment dans burpsuite. Malheureusement, je ne trouve pas où sont stockés les fichiers uploadés, je tente donc une énumeration sur le dossier metaview : ```bash= ffuf -c -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt -u http://dev01.artcorp.htb/metaview/FUZZ ``` Je trouve les sous-dossiers "assets; uploads; libs; css; vendor" qui sont en status 301, et que je n'arrive pas à joindre. J'essaie de receuillir des informations intéressantes dans l'interception avec burpsuite, mais rien qui vaille le coup. ![](https://hackmd.io/_uploads/HkSRJzez6.png)