Pour changer un peu des challenges root-me, Newbie, ... je me suis penché sur Vulnhub et ses Vulnerables VM ENJOY
Objectif : Être root et obtenir les 4 flags
NOTES : Durant le pentest je me suis aperçue que des fichiers web pour bien fonctionner pointait sur l'adresse raven.local (n'oubliez pas de l'ajouter dans votre fichier hosts de votre machine)
1- Prise d'Information
La première phase étant l'OSINT, il faut dans un premier temps déterminer l'adresse IP de la machine virtuelle (les VM sont en NAT)
OK l'adresse IP de la cible est 192.168.239.130
Un petit scan pour avoir les services et les version avec l'OS
On à donc du SSH, HTTP et RPC, une énumeration de directories web s'impose
Donc le CMS est Wordpress, un scan du CMS, de ses plugins/thèmes vulnérables et de ses utilisateurs via wpscan
Pas de plugins mais on a la version du wordpress qui selon www.cvedetails.com est ... vulnerable avec xmlrpc.php :)
Ah oui et on à aussi 2 utilisateurs
LA CHAAAAAAANCE
l'URL http://raven.local/vendor/ est en index of

Hmmmm si on regarde ça de plus prêt ..
Pour couronner le tout un dernier scan nmap en utilisant les scripts nse (Avec les informations acquises, il faut choisir les scripts à effectuer)
Ça fait une jolie petite liste à essayer
Pas d'info à propos des script rpc et wordpress (nous reviendront dessus dans la phase d'exploitation)
2- Exploitation
Le port SSH étant ouvert un tentative via bruteforce sur les utilisateurs michael et steven est possible
Un accès shell à la machine est désormais possible sous l'utilisateur michael (Au passage on trouve le flag N°1 et N°2)
En regardant la configuration de wordpress on obtient le pass root de mysql (OMG Cette misconfiguration)
En fouillant dans les tables on remarques certaines informations intéressantes
2 hash avec un salt, analysons ça de prêt (et bruteforce ça de loin)
Miracle le mot de passe de steven est pink84
En se connectons à l'interface wordpress nous remarquons qu'un poste est dans les brouillon et ...

Bingo le 3eme flag ! plus qu'un :)
En se connectant en ssh avec le compte de steven nous faisons une recherche de programme en SUID
Hmm dommage rien à part les binaires systèmes ... en analysant la liste sudo de steven quelque chose de dangereux apparaît
Woaaaw un appel a python en root sans password (OMG cette misconfiguration again) Appelons un shell via python via sudo
Nous voila root sur la VM allons à la recherche du dernier flag
Nous avons les 4 flags et loggué en root MISSION ACCOMPLIE :)
flag1{b9bbcb33e11b80be759c4e844862482d}
flag2{fc3fd58dcdad9ab23faca6e9a36e581c}
flag3{afc01ab56b50591e7dccf93122770cd}
flag4{715dea6c055b9fe3337544932f2941ce}
Cette VM est sympa pour commencer, elle dispose de faille assez simple mais non explicite (elle ne vous sauterons pas au yeux directement) un petit travail de recherche s'impose (Je l'ai fais en 5h)
Apparemment il existe 2 moyen d'être root sur la VM l'autre méthode concerne sûrement des exploit web que je n'ai pas exploiter