Oui ils troll pour le coup, il n'est pas très facile
En fait j'ai validé peu de temps après mon message.
Conclusion : je devrais prendre plus de temps au niveau de la phase de reconnaissance. J'ai tendance à commencer l'exploitation trop tôt (ce qui me fait juste perdre du temps inutilement).
D'abord, j'ai scanné la machine cible, on apprend qu'il y a deux sites sur le serveur web, l'un sur le port 80 et l'autre sur le port 5000.
Sur le port 80, ça semble être le site de l'utilitaire de conversion et avec un peu de guessing (ou via un bruteforce de répertoire) sur les deux serveurs, on arrive à trouver une page d'administration sur http://ip_machine_distante:5000/admin sauf que quand on s'y rend on nous indique que la page n'est accessible que depuis localhost (donc le réseau interne à la cible).
Pour ce qui est du formulaire sur la page d'accueil du site, j'ai d'abord pensé à une faille de type File Inclusion (ce qui n'a pas vraiment de sens rétrospectivement puisque c'est un champ de saisie textuel (form-data) et non un champ de type file).. J'ai perdu du temps à essayer de manipuler le Content-Type et le corps de la requête vers /convert pour essayer de faire passer la saisie pour un fichier php (sait-on jamais..).
Impasse, je décide d'analyser le fichier pdf produit avec exiftool (et la, tout va s'accélérer d'un coup). Dans les métadonnées, je remarque le nom et la version du logiciel utilisé pour convertir le markdown en pdf : "wkhtmltopdf 0.12.5". Après une petite recherche sur internet, je m'aperçois que ce produit est vulnérable à l'injection de code html, ce qui permet de forger un requête côté serveur (Server Side Request Forgery).
Sachant tout ça, j'ai simplement commencé par mettre un <a href></a> vers l'ip du site, et effectivement, le pdf contenait bien un hyperlien qui me redirigeait là ou je demandais.
Donc il suffisait d'incorporer une iframe dont la source pointe vers l'url : http://localhost:5000/admin dans le champs de saisie pour que le contenu de l'iframe soit copié dans le fichier pdf.
Ici, on profite du fait que le serveur se connecte à son localhost et écrit le contenu dans le fichier pdf. La page /admin n'est accessible que depuis le réseau local de la cible, ce qui est bien le cas ici, mais on profite de l'injection pour pouvoir lire le contenu nous même.
La page /admin contenait le flag, terminé.
Conclusion : je devrais prendre plus de temps au niveau de la phase de reconnaissance. J'ai tendance à commencer l'exploitation trop tôt (ce qui me fait juste perdre du temps inutilement).
Excellent, c'est un très bon write-up que tu nous as fais là
J'ai le même soucis je passe trop rapidement à la phase d'exploitation alors que la phase de recon est vraiment très très importante en premier lieu
En tout cas tu a l'air de vraiment aimer, je suis content !
J'ai le même soucis je passe trop rapidement à la phase d'exploitation alors que la phase de recon est vraiment très très importante en premier lieu
En tout cas tu a l'air de vraiment aimer, je suis content !
Excellent, c'est un très bon write-up que tu nous as fais là
J'ai le même soucis je passe trop rapidement à la phase d'exploitation alors que la phase de recon est vraiment très très importante en premier lieu
En tout cas tu a l'air de vraiment aimer, je suis content !
J'ai le même soucis je passe trop rapidement à la phase d'exploitation alors que la phase de recon est vraiment très très importante en premier lieu
En tout cas tu a l'air de vraiment aimer, je suis content !
Effectivement, c'est comme un jeu pour moi
Et le système de points me rend à croc
Et le système de points me rend à croc
Effectivement, c'est comme un jeu pour moi
Et le système de points me rend à croc
Et le système de points me rend à croc
Idem, c'est vraiment cool que tu le prends comme un jeu, c'est le meilleur moyen d'apprendre
Le système de points et de niveau est vraiment addictif effectivement, tu as aussi le système de league qui est bien sympa
Le système de points et de niveau est vraiment addictif effectivement, tu as aussi le système de league qui est bien sympa
Idem, c'est vraiment cool que tu le prends comme un jeu, c'est le meilleur moyen d'apprendre
Le système de points et de niveau est vraiment addictif effectivement, tu as aussi le système de league qui est bien sympa
Le système de points et de niveau est vraiment addictif effectivement, tu as aussi le système de league qui est bien sympa
Oui, apparemment je suis premier de la ligue bronze
Mais bon, le classement a encore le temps d'évoluer c'est vrai.
Je sais pas trop ce que ça signifie mais ça fait toujours plaisir d'être dans un classement.
Mais bon, le classement a encore le temps d'évoluer c'est vrai.
Je sais pas trop ce que ça signifie mais ça fait toujours plaisir d'être dans un classement.
Oui, apparemment je suis premier de la ligue bronze
Mais bon, le classement a encore le temps d'évoluer c'est vrai.
Je sais pas trop ce que ça signifie mais ça fait toujours plaisir d'être dans un classement.
Mais bon, le classement a encore le temps d'évoluer c'est vrai.
Je sais pas trop ce que ça signifie mais ça fait toujours plaisir d'être dans un classement.
Joli
Je suis passé en silver league aujourd'hui, il va falloir que je fasse des points pour monter dans le classement
Je ne sais pas trop ce que ça signifie non plus, mais c'est motivant je trouve d'avoir un petit classement comme ça
Tiens d'ailleurs une room sympa que tu devrais aimer, c'est pas un chall mais ça t'apprends le top 10 des vulns de 2021, c'est vachement intéressant
https://tryhackme.com/room/owasptop102021
Je suis passé en silver league aujourd'hui, il va falloir que je fasse des points pour monter dans le classement
Je ne sais pas trop ce que ça signifie non plus, mais c'est motivant je trouve d'avoir un petit classement comme ça
Tiens d'ailleurs une room sympa que tu devrais aimer, c'est pas un chall mais ça t'apprends le top 10 des vulns de 2021, c'est vachement intéressant
Moi je veux juste apprendre à hacker la webcam de ma voisine, ça prend combien de temps ?
Joli
Je suis passé en silver league aujourd'hui, il va falloir que je fasse des points pour monter dans le classement
Je ne sais pas trop ce que ça signifie non plus, mais c'est motivant je trouve d'avoir un petit classement comme ça
Tiens d'ailleurs une room sympa que tu devrais aimer, c'est pas un chall mais ça t'apprends le top 10 des vulns de 2021, c'est vachement intéressant https://tryhackme.com/room/owasptop102021
Je suis passé en silver league aujourd'hui, il va falloir que je fasse des points pour monter dans le classement
Je ne sais pas trop ce que ça signifie non plus, mais c'est motivant je trouve d'avoir un petit classement comme ça
Tiens d'ailleurs une room sympa que tu devrais aimer, c'est pas un chall mais ça t'apprends le top 10 des vulns de 2021, c'est vachement intéressant
Je l'ai déjà fait, un des membre du workspace l'avait mentionné sur ce topic (c'était peut-être toi d'ailleurs), et je pense que c'est un pré-requis pour aborder les challenges sereinement.
Je l'ai déjà fait, un des membre du workspace l'avait mentionné sur ce topic (c'était peut-être toi d'ailleurs), et je pense que c'est un pré-requis pour aborder les challenges sereinement.
Effectivement je l'avais déjà mentionné sur le topic car comme toi je pense que c'est un pré-requis pour comment les challenges en toute sérénité
Si tu trouves des rooms sympa n'hésite pas à les poster sur le topic, ça m'intéresse
Si tu trouves des rooms sympa n'hésite pas à les poster sur le topic, ça m'intéresse
Effectivement je l'avais déjà mentionné sur le topic car comme toi je pense que c'est un pré-requis pour comment les challenges en toute sérénité
Si tu trouves des rooms sympa n'hésite pas à les poster sur le topic, ça m'intéresse
Si tu trouves des rooms sympa n'hésite pas à les poster sur le topic, ça m'intéresse
Y'a celle-ci qui n'est pas trop longue mais plutôt sympa je trouve (je sais pas si tu l'as faite nonobstant) :
https://tryhackme.com/room/lofi
"Access this challenge by deploying both the vulnerable machine by pressing the green "Start Machine" button located within this task, and the TryHackMe AttackBox by pressing the "Start AttackBox" button located at the top-right of the page.
Navigate to the following URL using the AttackBox: http://MACHINE_IP and find the flag in the root of the filesystem.
Check out similar content on TryHackMe:
LFI Path Traversal
File Inclusion
Note: The web page does load some elements from external sources. However, they do not interfere with the completion of the room."
Si je devais résumer les infos importantes de l'énoncé :
Edit : au passage si tu as des rooms dans le même style que owasp 2021 j'aimerais bien, c'était super instructif et amusant.
"Access this challenge by deploying both the vulnerable machine by pressing the green "Start Machine" button located within this task, and the TryHackMe AttackBox by pressing the "Start AttackBox" button located at the top-right of the page.
Navigate to the following URL using the AttackBox: http://MACHINE_IP and find the flag in the root of the filesystem.
Check out similar content on TryHackMe:
LFI Path Traversal
File Inclusion
Note: The web page does load some elements from external sources. However, they do not interfere with the completion of the room."
Si je devais résumer les infos importantes de l'énoncé :
- "find the flag in the root of the filesystem." => trouver un flag.txt à la RACINE du système de fichier.
- "LFI Path Traversal" => C'est via cette faiblesse que tu trouveras un moyen d'inclure le fichier flag.txt
- "http://MACHINE_IP"; + "LFI Path Traversal" => indique que l'exploitation sera uniquement dans la portée de l'application web (c'est pas un challenge qui relève de l'exploitation d'un service)
Edit : au passage si tu as des rooms dans le même style que owasp 2021 j'aimerais bien, c'était super instructif et amusant.
Y'a celle-ci qui n'est pas trop longue mais plutôt sympa je trouve (je sais pas si tu l'as faite nonobstant) :
https://tryhackme.com/room/lofi
"Access this challenge by deploying both the vulnerable machine by pressing the green "Start Machine" button located within this task, and the TryHackMe AttackBox by pressing the "Start AttackBox" button located at the top-right of the page.
Navigate to the following URL using the AttackBox: http://MACHINE_IP and find the flag in the root of the filesystem.
Check out similar content on TryHackMe:
LFI Path Traversal
File Inclusion
Note: The web page does load some elements from external sources. However, they do not interfere with the completion of the room."
Si je devais résumer les infos importantes de l'énoncé :
Edit : au passage si tu as des rooms dans le même style que owasp 2021 j'aimerais bien, c'était super instructif et amusant.
"Access this challenge by deploying both the vulnerable machine by pressing the green "Start Machine" button located within this task, and the TryHackMe AttackBox by pressing the "Start AttackBox" button located at the top-right of the page.
Navigate to the following URL using the AttackBox: http://MACHINE_IP and find the flag in the root of the filesystem.
Check out similar content on TryHackMe:
LFI Path Traversal
File Inclusion
Note: The web page does load some elements from external sources. However, they do not interfere with the completion of the room."
Si je devais résumer les infos importantes de l'énoncé :
- "find the flag in the root of the filesystem." => trouver un flag.txt à la RACINE du système de fichier.
- "LFI Path Traversal" => C'est via cette faiblesse que tu trouveras un moyen d'inclure le fichier flag.txt
- "http://MACHINE_IP"; + "LFI Path Traversal" => indique que l'exploitation sera uniquement dans la portée de l'application web (c'est pas un challenge qui relève de l'exploitation d'un service)
Edit : au passage si tu as des rooms dans le même style que owasp 2021 j'aimerais bien, c'était super instructif et amusant.
Je ne l'ai pas fait, je save la room elle semble plutôt intéressante ua vu de l'énoncé et de ton résumé !
Tu as des rooms un peu similaire mais je crois qu'elles sont réservé au membres premium dans le learning path
Jr Pentester
https://tryhackme.com/room/idor
https://tryhackme.com/room/fileinc
https://tryhackme.com/room/ssrfqi
https://tryhackme.com/room/xss
https://tryhackme.com/room/oscommandinjection
Tu as des rooms un peu similaire mais je crois qu'elles sont réservé au membres premium dans le learning path
Je ne l'ai pas fait, je save la room elle semble plutôt intéressante ua vu de l'énoncé et de ton résumé !
Tu as des rooms un peu similaire mais je crois qu'elles sont réservé au membres premium dans le learning path
Jr Pentester
https://tryhackme.com/room/idor
https://tryhackme.com/room/fileinc
https://tryhackme.com/room/ssrfqi
https://tryhackme.com/room/xss
https://tryhackme.com/room/oscommandinjection
Tu as des rooms un peu similaire mais je crois qu'elles sont réservé au membres premium dans le learning path
Oui, elles sont toutes premium
Nonobstant, il y en a tellement plein en free que j'aurais jamais de mal à m'occuper t'inquiètes
Nonobstant, il y en a tellement plein en free que j'aurais jamais de mal à m'occuper t'inquiètes
Oui, elles sont toutes premium
Nonobstant, il y en a tellement plein en free que j'aurais jamais de mal à m'occuper t'inquiètes
Nonobstant, il y en a tellement plein en free que j'aurais jamais de mal à m'occuper t'inquiètes
Mince
Mais effectivement, tu as de quoi faire en gratuit niveau challenge déjà
Mais effectivement, tu as de quoi faire en gratuit niveau challenge déjà
Temps indicatif, c'est quand tu es un professionnel avancé de la cybersécurité je pense...
Parce que faut vraiment être chaud pour aller aussi vite.
Parce que faut vraiment être chaud pour aller aussi vite.
Je suis en plein exploitation sur le challenge Lookup.
(Au passage : si jamais tu tentes de le faire, garde à l'esprit qu'il faut ajouter les domaines et sous-domaines dans ta configuration des hôtes, sous linux c'est dans /etc/hosts, faut ajouter une entrée avec le domaine et le sous-domaine précédé de l'ip de la machine virtuelle, sinon tu pourras pas accéder à l'app web).
J'ai réussi à brute-force les identifiants d'un utilisateur d'une application web via un script python, et j'ai trouvé le nom d'utilisateur de l'admin (mais pas son mot de passe), et un autre couple login:mot_de_passe.
Une fois loggué, je tombe sur un gestionnaire de fichier qui s'appelle elFinder et s'avère vulnérable à une injection de commande : CVE 2019-9194, qui permet d'upload une image contenant du PHP et de renommer cette image en .php suite à l'injection d'une commande (expliqué dans le payload de l'exploit :
https://www.exploit-db.com/exploits/46481).
(J'essaye de réécrire l'exploit actuellement, je me contente pas de l'exécuter, je fais des tests avec Burp)
Donc ça c'est probablement pour récupérer le flag de l'utilisateur, pour le deuxième flag j'ai aucune idée pour l'instant, j'en suis pas encore la, mais j'imagine qu'il faudra trouver un moyen d'élever ses privillèges.
Ça me prend du temps, mais j'avance régulièrement un petit peu, je suis pas loin du premier flag.
Actuellement, j'arrive à upload le fichier sur le serveur, mais son extension n'est pas changée en .php)
(Au passage : si jamais tu tentes de le faire, garde à l'esprit qu'il faut ajouter les domaines et sous-domaines dans ta configuration des hôtes, sous linux c'est dans /etc/hosts, faut ajouter une entrée avec le domaine et le sous-domaine précédé de l'ip de la machine virtuelle, sinon tu pourras pas accéder à l'app web).
J'ai réussi à brute-force les identifiants d'un utilisateur d'une application web via un script python, et j'ai trouvé le nom d'utilisateur de l'admin (mais pas son mot de passe), et un autre couple login:mot_de_passe.
Une fois loggué, je tombe sur un gestionnaire de fichier qui s'appelle elFinder et s'avère vulnérable à une injection de commande : CVE 2019-9194, qui permet d'upload une image contenant du PHP et de renommer cette image en .php suite à l'injection d'une commande (expliqué dans le payload de l'exploit :
(J'essaye de réécrire l'exploit actuellement, je me contente pas de l'exécuter, je fais des tests avec Burp)
Donc ça c'est probablement pour récupérer le flag de l'utilisateur, pour le deuxième flag j'ai aucune idée pour l'instant, j'en suis pas encore la, mais j'imagine qu'il faudra trouver un moyen d'élever ses privillèges.
Ça me prend du temps, mais j'avance régulièrement un petit peu, je suis pas loin du premier flag.
Actuellement, j'arrive à upload le fichier sur le serveur, mais son extension n'est pas changée en .php)
J'ai remarqué que pas mal de forumeurs étaient intéressé par la cybersécurité/pentesting, donc je me suis dit que ce serait intéressant d'apprendre ensemble.
J'ai commencé tryhackme il y a deux mois et je me demandais si ça intéresserait certains d'entre vous d'en faire ensemble afin d'apprendre tous ensemble et de s'entraider
Vous n'êtes pas obligé d'avoir la version payante à 14€/mois, bien que ça donne accès à beaucoup plus de modules et certains sont vraiment super intéressants !
J'ai créé un workspace onche.org, ça nous permet de voir l’avancée des personnes présentes dans le workspace et de faire des CTF ensembles (normalement) et il y a un petit classement.
Si vous souhaitez le rejoindre MP moi votre e-mail associé au compte tryhackme que je puisse vous inviter dedans. Je vous conseille d'utiliser addy.io afin de créer un alias qui redirige les mails vers votre e-mail principal, comme ça, vous n'avez pas à partager votre véritable e-mail avec moi.
J'ai aussi créé une team onche que vous pouvez rejoindre directement via ce lien https://tryhackme.com/man[...]teams?joinTeam=7defbaecc2
Le site est vraiment super et tu apprends beaucoup de choses, c'est aussi au niveau de n'importe qui, débutant comme personnes ayant déjà un peu d'expérience donc n'hésitez pas si le milieu vous intéresse !
J'ai commencé tryhackme il y a deux mois et je me demandais si ça intéresserait certains d'entre vous d'en faire ensemble afin d'apprendre tous ensemble et de s'entraider
Vous n'êtes pas obligé d'avoir la version payante à 14€/mois, bien que ça donne accès à beaucoup plus de modules et certains sont vraiment super intéressants !
J'ai créé un workspace onche.org, ça nous permet de voir l’avancée des personnes présentes dans le workspace et de faire des CTF ensembles (normalement) et il y a un petit classement.
Si vous souhaitez le rejoindre MP moi votre e-mail associé au compte tryhackme que je puisse vous inviter dedans. Je vous conseille d'utiliser addy.io afin de créer un alias qui redirige les mails vers votre e-mail principal, comme ça, vous n'avez pas à partager votre véritable e-mail avec moi.
J'ai aussi créé une team onche que vous pouvez rejoindre directement via ce lien
Le site est vraiment super et tu apprends beaucoup de choses, c'est aussi au niveau de n'importe qui, débutant comme personnes ayant déjà un peu d'expérience donc n'hésitez pas si le milieu vous intéresse !
J'ai rejoins la team hier j'ai fait le défi Pickle Rick super sympa
Au passage je vois que tu as suivi des apprentissages sur Burp, c'est super pratique pour tester l'envoie de requêtes avant d'écrire l'exploit.
Je suis en plein exploitation sur le challenge Lookup.
(Au passage : si jamais tu tentes de le faire, garde à l'esprit qu'il faut ajouter les domaines et sous-domaines dans ta configuration des hôtes, sous linux c'est dans /etc/hosts, faut ajouter une entrée avec le domaine et le sous-domaine précédé de l'ip de la machine virtuelle, sinon tu pourras pas accéder à l'app web).
J'ai réussi à brute-force les identifiants d'un utilisateur d'une application web via un script python, et j'ai trouvé le nom d'utilisateur de l'admin (mais pas son mot de passe), et un autre couple login:mot_de_passe.
Une fois loggué, je tombe sur un gestionnaire de fichier qui s'appelle elFinder et s'avère vulnérable à une injection de commande : CVE 2019-9194, qui permet d'upload une image contenant du PHP et de renommer cette image en .php suite à l'injection d'une commande (expliqué dans le payload de l'exploit : https://www.exploit-db.com/exploits/46481).
(J'essaye de réécrire l'exploit actuellement, je me contente pas de l'exécuter, je fais des tests avec Burp)
Donc ça c'est probablement pour récupérer le flag de l'utilisateur, pour le deuxième flag j'ai aucune idée pour l'instant, j'en suis pas encore la, mais j'imagine qu'il faudra trouver un moyen d'élever ses privillèges.
Ça me prend du temps, mais j'avance régulièrement un petit peu, je suis pas loin du premier flag.
Actuellement, j'arrive à upload le fichier sur le serveur, mais son extension n'est pas changée en .php)
(Au passage : si jamais tu tentes de le faire, garde à l'esprit qu'il faut ajouter les domaines et sous-domaines dans ta configuration des hôtes, sous linux c'est dans /etc/hosts, faut ajouter une entrée avec le domaine et le sous-domaine précédé de l'ip de la machine virtuelle, sinon tu pourras pas accéder à l'app web).
J'ai réussi à brute-force les identifiants d'un utilisateur d'une application web via un script python, et j'ai trouvé le nom d'utilisateur de l'admin (mais pas son mot de passe), et un autre couple login:mot_de_passe.
Une fois loggué, je tombe sur un gestionnaire de fichier qui s'appelle elFinder et s'avère vulnérable à une injection de commande : CVE 2019-9194, qui permet d'upload une image contenant du PHP et de renommer cette image en .php suite à l'injection d'une commande (expliqué dans le payload de l'exploit :
(J'essaye de réécrire l'exploit actuellement, je me contente pas de l'exécuter, je fais des tests avec Burp)
Donc ça c'est probablement pour récupérer le flag de l'utilisateur, pour le deuxième flag j'ai aucune idée pour l'instant, j'en suis pas encore la, mais j'imagine qu'il faudra trouver un moyen d'élever ses privillèges.
Ça me prend du temps, mais j'avance régulièrement un petit peu, je suis pas loin du premier flag.
Actuellement, j'arrive à upload le fichier sur le serveur, mais son extension n'est pas changée en .php)
Très intéressant ton petit write-up, je le garde en mémoire pour quand je ferais ce chall
Tu as l'air plutôt bon en plus, tu va vite monter en niveaux !
De mon côté ça ce corse pas mal du coup je suis retourné faire des cours, je suis actuellement sur cette room : https://tryhackme.com/room/owaspjuiceshop
J'ai fais la room premium file inclusion avant, mais j'avoue avoir bien galérer sur certaines questions, il faut encore que je m'entraîne pas mal là-dessus... Mais j'ai appris des trucs sympa comme l'injeciton de null byte (%00) afin de bypass certaines mesures comme quand c'est restreint à une certaine extension tel que .php lors de path traversal
Tu as l'air plutôt bon en plus, tu va vite monter en niveaux !
De mon côté ça ce corse pas mal du coup je suis retourné faire des cours, je suis actuellement sur cette room :
J'ai fais la room premium file inclusion avant, mais j'avoue avoir bien galérer sur certaines questions, il faut encore que je m'entraîne pas mal là-dessus... Mais j'ai appris des trucs sympa comme l'injeciton de null byte (%00) afin de bypass certaines mesures comme quand c'est restreint à une certaine extension tel que .php lors de path traversal
J'ai rejoins la team hier j'ai fait le défi Pickle Rick super sympa
Excellent un de plus
Si jamais tu veux rejoindre le workspace n'hésite pas à me MP
Pickle Rick était vraiment bien sympa c'est vrai, tu as beaucoup de challenges en free donc tu as de quoi faire !
Si jamais tu veux rejoindre le workspace n'hésite pas à me MP
Pickle Rick était vraiment bien sympa c'est vrai, tu as beaucoup de challenges en free donc tu as de quoi faire !