UnChleuHacker

Dans la plus part des infrastructures Active Directory, chaque poste dispose d’un compte administrateur local. Ce compte est souvent mal géré et dans certains cas son mot de passe est identique sur toutes les machines. Ainsi, un attaquant compromettant une machine du parc informatique peut facilement pivoter sur le réseau. Pour résoudre ce problème, Microsoft a mis en place LAPS v1 (Local Administrator Password Solution) en 2015 puis a publié en 2023 une version plus complète en 2023. Cet ar...

Enumération des utilisateursOn commence par lancer un scan nmap : 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001011021031041051061071081091101111121131141151161171181191201211221231241251261271281291301311321331341351361371381391401411421431441451461471481491501511521531541551561571581591601611621631641651661671681691701711721731741751761771781791...

Hybrid est une chaine composé d’un Active Directory qui contient une machine Windows et une Linux. L’accès initial se fait en compromettant la machine Linux puis la compromission du domaine est possible en utilisant une attaque ADCS EnumérationOn commence par lancer un scan nmap sur les ips fournies. 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374┌──(kali㉿kali)-[~/ctf/vulnlab/hybrid]└─$ nmap -A -iL i...

Heron est un lab de difficulté moyenne. Le scénario suppose une compromission initiale sur une machine Linux jointe à un domaine, nécessitant un pivot vers un contrôleur de domaine pour tenter de le compromettre. EnumérationCommençons par le scan Nmap habituel :Le scan montre que la machine 10.10.168.69 n’a pas de ports accessibles, probablement en raison d’un firewall. En revanche, 10.10.168.70 a le port 22 ouvert. Cela suggére que nous devons commencer en nous connectons à la machine Linux ...

SynthseTea est une chaine Active Directory contenant 2 machines à compromettre. L’accès initial ce fait en exploitant un runner CI/CD sur une instance Gitea et la compromission total du domaine est possible grace à la connexion WSUS du controleur du domaine. Enumération initialCommencons par un scan nmap des deux machines.Il semble qu’on ait un controleur de domaine qui n’est pas derrière un firewall avec une machine hébergeant des services web.On peut récupérer le nom des deux machines ...

Accès initialGrace au scan nmap, on découvre rapidement que l’un des serveurs héberge un serveur xampp. En énumérant les répertoires de ce dernier, on découvre un site web :On parcourant le site, on remarque qu’il est potentiellement vulnérable à une LFI :On confirme cela en accédant au log du serveur sur le lien suivant : http://10.10.162.134/dev/index.html?view=C:/xampp/apache/logs/access.log Ainsi, on peut obtenir un accès à la machine en effectuant du log poisonning. Pour cela, on envoie ...

EnumérationÉnumération des ports ouverts à l’aide de nmap : En s’intéressant au partage smb, on remarque qu’il est possible de se connecter au partage en utilisant le compte invité : On récupere alors dans le partage anonymous un fichier log1.txt qui semble contenir des mots de passe :En listant les dossiers du serveur web à l’aide de dirb, on tombe sur une page de connexion à un serveur mail : Accès au serveur mailA l’aide d’hydra et du fichier log1.txt , on trouve le mot de passe du compte ...

ObjectifExploiter une vulnérabilité de type buffer overflow dans une application en prenant le contrôle du registre EIP et en exécutant un shellcode. 1. Connexion à la cible et lancement de vulnserverConnexion RDP à la cible : 1rdesktop -u IEUser -p 'Passw0rd!' 172.16.5.120 Lancement de vulnserver avec : 1vulnserver.exe 9999 En intéragissant avec le serveur depuis notre machine, on remarque qu’en fonction de la maniere dont on tae la commande et ce que l’on envoie, on obtient des ...

On commence par un scan nmap On voit que les ports ouverts correspondent à ceux d’une machine windows ce qui est confirmé en se rendant sur le site web sur le port 80 : On commence par essayer d’énumérer les partages smb avec le compte guest : On remarque que l’on a des droits en lecture et en ecriture sur un partage. En utilisant impacket-smbclient, on découvre un fichier password.txt qui contient du base64 : En le décodant avec CyberChef, en obtient les identifiants de bob et de Bill: Ap...

On commence par énumérer les ports ouvert avec un nmap : On remarque que le certificat utilisé en https contient plusieurs nom de domaine, on les ajoute donc dans le fichier /etc/hosts pour y acceder : La plus part des domaines sont inutiles, en revanche, en accédant en https au domaine netops-dev.dodge.thm, on accéde à une page blanche : En analysant le code source, on decouvre un fichier php qui nous permet de modifier la configuration du firewall : En entrant la commande sudo...