Loading...

THM - Skynet

Created2025-05-29|Updated2025-05-29|writeups

|Post Views:

Enumération

Énumération des ports ouverts à l’aide de nmap :

En s’intéressant au partage smb, on remarque qu’il est possible de se connecter au partage en utilisant le compte invité :

On récupere alors dans le partage anonymous un fichier log1.txt qui semble contenir des mots de passe :

En listant les dossiers du serveur web à l’aide de dirb, on tombe sur une page de connexion à un serveur mail :

Accès au serveur mail

A l’aide d’hydra et du fichier log1.txt , on trouve le mot de passe du compte milesdyson (nom trouvé lors de l’énumération des partages smb)

Ce qui nous permet d’accéder à la boite mail de milesdyson :

En fouillant rapidement la boite mail, on trouve le mot de passe du compte smb de milesdyson.

Ce qui nous permet d’accer à son dossier partagé et de récuperer le fichier important.txt qui contient un nom de repertoire permettant d’acceder à son nouveau site.

Cuppa RCE

En énumrant encore à l’aide de dirb, on trouve la console adminstration :

On apprend alors que le CMS utilisé est Cuppa. Une recherche trés rapide sur internet, nous apprend qu’il existe une faille sur ce CMS permettant une RFI à l’aide du fichier /alertConfig.php

Cette faille nous permet d’avoir un reverse shell et d’obtenir le flag user :

Escalade de privilèges

Pour devenir root, il suffit de remarquer qu’un script backup.sh est executé toutes les minutes avec des droits root:

Ce script semble faire une sauvegarde du site internet en utilisant le binaire tar :

Or comme nous possédons les droits d’écriture dans le dossier /var/www/html, on peut crée 2 fichiers : /var/www/html/–checkpoint=1 et /var/www/html/–checkpoint-action=exec=bash shell.sh

Comme les noms de ces fichiers sont commandes tar valides, le binaire va les exécuter ce qui va nous permettre d’executer notre fichier shell.sh et nous permettre d’obtenir et reverse shell en tant que root.

Related Articles

THM - BOF - Task8

Etape 1 : Trouver l’offsetLa premiere étape consiste à trouver l’offset qui nous permettra de remplacer l’adresse de retour. Pour ce faire, il existe 2 méthodes : Méthode manuelle :On voit dans le code source que le buffer fait 140 octes mais entre la fin de ce buffer et l’adresse de retour se trouvent des possibles octes de remplissage(alignement mémoire) et le registre rbp (pointeur de base) qui fait 8 octets sur une architecture 64 bits.Ainsi, pour écraser l’adresse de retour, il faudra au...

On commence par énumérer les ports ouvert avec un nmap : On remarque que le certificat utilisé en https contient plusieurs nom de domaine, on les ajoute donc dans le fichier /etc/hosts pour y acceder : La plus part des domaines sont inutiles, en revanche, en accédant en https au domaine netops-dev.dodge.thm, on accéde à une page blanche : En analysant le code source, on decouvre un fichier php qui nous permet de modifier la configuration du firewall : En entrant la commande sudo...

On commence par un scan nmap On voit que les ports ouverts correspondent à ceux d’une machine windows ce qui est confirmé en se rendant sur le site web sur le port 80 : On commence par essayer d’énumérer les partages smb avec le compte guest : On remarque que l’on a des droits en lecture et en ecriture sur un partage. En utilisant impacket-smbclient, on découvre un fichier password.txt qui contient du base64 : En le décodant avec CyberChef, en obtient les identifiants de bob et de Bill: Ap...

Ce challenge simule une scenario ou l’on doit compromettre un environnement Active Directory.Scan nmap : Au vue des ports ouverts, on a surement a faire à un environnement Active Directory. On peut tester d’obtenir des infromations à l’aide de quelques ports importants : Port 53 (DNS) :Le scan nmap nous fournit des FQDN (Fully Qualified Domain Named) comme haystack.thm.corp. On peut alors demander au DNS de nous fournir tous les enregistrements DNS liée au domaine thm.corp. Cela peut être ré...

On commence par un scan nmap : Grâce au fichier robots.txt, on découvre 3 répertoires. Seul l’un d’entre eux est accessible :On voit alors que l’on peut crée un compte et que le mot de passe initial sera md5(username+ddmm)Ainsi, on crée un compte test avec une date de naissance de 00/00/0000. On peut ensuite calculer le hash demandé avec la commande bash suivante :Le -n permet de ne pas avoir de retour à la ligne. On peut alors se connecter au compte test avec ce mot de passe :On vo...

THM - U.A High School

Présentation de la machine Niveau: Facile Lien : https://tryhackme.com/r/room/yueiua Outils nmap fuzz dirb hexeditor steghide openssl EnumérationOn commence par un simple scan nmap : 2 ports sont ouverts, le port ssh et le port http.A l’aide de dirb, on découvre un fichier index.php dans un répertoire assets ce qui n’est pas commun : On tente alors de vérifier l’existence ou non d’un parametre en entrée de ce fichier php à l’aide de FUZZ avec cette commande : 1ffuf -u 'http://1...

Loading Database