Vulnhub, Escalate my Privilege đ
Write-Up
Pour ce premier write-up, on commence par une machine (trÚs) simple, Escalate My Privilege qui est une box créée par Akanksha Sachin Verma. Ici, le lien pour le télécharger
ENUMERATION
Pour trouver lâIP de notre box, on lance la commande suivante sur notre kali
netdiscover
Cette commande liste tous les appareils connectés à notre réseau local.
On voit ici que nous avons notre box en 192.168.1.23. On lance donc un scan nmap sur lâIP de notre box, pour cela on lance la commande
nmap -A 192.168.1.23
Nous avons donc, du SSH Ă jour et sans faille connue, un serveur http sur le port 80, un serveur rpc ansi que du nfs_acl sur le port 2049. Pour commencer, regardons du cĂŽtĂ© du serveur web, on trouve dâabord une page avec une image renvoyant vers le site du crĂ©ateur de la box, en regardant le code source de cette page, on voit
alt=âhttp://ip/phpbash.phpâ
EXPLOITATION & ELEVATION DE PRIVILEGE
On essaye donc dâaccĂ©der Ă lâURL
La page se trouve etre un shell, on sâempresse donc dâenvoyer un reverse shell en PHP trouvĂ© sur lâexcellent site PentestMonkey
AprÚs avoir spawné un shell tty avec la commande
python -c âimport pty; pty.spawn(â/bin/shâ)
On remarque quâil y a un fichier nommĂ© readme.txt dans /var/www/html qui indique
HI
Find Armour User backup in /backup
Nous allons donc voir le contenu de /backup/armour, ce dossier contient plusieurs archives dont une qui a un nom différent des autres, 1.tar.gz
On la décompresse donc avec la commande dans le répertoire /home/armour qui nous est accessible en écriture.
tar -xf 1.tar.gz
On trouve donc un fichier Credentials.txt qui contient
my password is md5(rootroot1)
On essaye donc de se connecter au compte de lâutilisateur armour avec la commande
su armour
On utilise donc le hash md5 de rootroot1, ce qui donne
b7bc8489abe360486b4b19dbc242e885
On obtient donc un shell en tant que armour, aprĂšs avoir spawnĂ© un shell tty. En lancant la commande sudo -l, on remarque que lâon peut Ă©xecuter /bin/sh en tant que root sans mot de passe !
Il ne nous reste plus quâĂ faire
sudo bash
cat root/proof.txt
Et voilĂ ! Nous avons le flag, cette box fut facile, je la recommanderais pour une premiĂšre boxâŠ