C’est parti pour une nouvelle machine, cette fois ci nous nous attaquons à Cronos qui est classé Medium.
Commençons avec Nmap.
Celui ci nous indique que 3 port sont ouverts, le port 22 ssh, le port 53 pour le DNS et le port 80 pour http.
Lorsque nous nous connectons via un navigateur au site web nous avons cette page.
Cette page ne nous indique rien de vraiment intéressant. Puisque nous avons un serveur DNS, je me suis dit essayons d’appeler le site d’après le nom de la machine: cronos.htb
J’entre cette information dans /etc/hosts
En nous connectant nous avons cette fois ci un site web. Celui ci est créé avec le framework Web Laravel, malheureusement pour nous, cette page est la page par défaut.
Puisque nous avons un serveur DNS, essayons de voir si il y a d’autres sites web avec le nom cronos.htb.
Il en existe effectivement. Nous les entrons dans /etc/hosts
Le premier qui est intéressant est admin.cronos.htb
La première chose qui nous vient quand on voit un formulaire de connexion est d’essayer de bypass celui ci via une injection. J’essaye une injection sql et bingo.
Nous avons accès à la page protégée qui nous permet de traceroute ou de ping.
Avec le ping, j’entre une autre commande à la suite pour confirmer que l’injection de commande est possible.
celle ci fonctionne. Nous allons donc lancé nc (penelope pour moi) et une commande pour récupérer un shell.
Bingo, nous avons notre shell.
Maintenant nous devons faire une escalation de privilège. Pour cela je décide de télécharger linpeas.sh.
Celui ci m’indique qu’un cron est lancé à intervalle régulier avec l’utilisateur root sur le fichier /var/www/laravel/artisan
En modifiant le fichier, nous pouvons le corrompre pour avoir un nouveau shell qui cette fois ci sera lancé par le root.
Et voilà.