Salut à tous, aujourd’hui on s’attaque à la machine Popcorn classée Medium sur HTB.
Enumération et scan de port
Lors du scan de port, 2 ports nous sont retournés. Le port SSH et le port http en 22 et 80 respectivement.
Lorsque nous nous rendons sur le site web. Cette page s’affiche.
Utilisons ffuf pour découvrir de nouvelles choses.
Nous découvrons un fichier test.php. Et des dossiers test/ et torrent/
Regardons les plus attentivement.
Nous découvrons que le fichier test.php est un fichier qui nous indique la version php utilisé (via phpinfo()).
Le dossier torrent se charge mais difficilement. On voit en bas à gauche qu’il essaye de se connecter au domaine popcorn.htb. Ajoutons le à notre /etc/hosts.
Voilà le site.
Celui ci rassemble des infos sur le torrent et des fichiers.
On peut s’inscrire pour uploader des fichiers torrent.
Allons y!
On voit que pour uploader, il nous faut un fichier à uploader, un nom optionnel, une catégorie, une sous catégorie, une description, etc.
J’essaye d’uploader un reverse shell via le formulaire torrent. Sans succès. Celui ci n’accepte que le format torrent. De plus, il ne sera pas interprété par le serveur car nous ne pouvons que télécharger le fichier.
Je décide de télécharger un fichier torrent réel (Parrot Security dans mon exemple) et de remplir le formulaire
Nous voilà sur la page du fichier torrent. Avec les informations renseignées. Et je vois que l’on peut rajouter un screenshot. Ceci est intéressant car nous pouvons sûrement mettre un reverse shell dans notre image.
Je l’uploade et je vais sur la page de l’upload mais malheureusement sans succès.
Je dècide donc d’utiliser burpsuite pour changer le content type du fichier.
Cela ne fonctionne pas.
Je décide donc d’utiliser la même méthode mais pour supprimer l’extension .png
Et voilà, nous avons accès à la machine.
Privilege Escalation
Avant d’uploader linpeas.sh, j’ai l’habitude de lancer quelques commandes de bases. sudo -l, uname -a etc.
sudo -l ne fonctionne pas.
uname -a nous retourne une version du kernel de linux. Après une recherche sur google celui ci est vulnérable.
Et voilà, nous sommes administrateur de la machine.