Kioptrix: Level 1 (#1)
Dernière mise à jour
Dernière mise à jour
Nom : Kioptrix: Level 1 (#1)
Date de sortie : 17 Février 2010
Lien de téléchargement : http://www.kioptrix.com/dlvm/Kioptrix_Level_1.rar
Niveau : Facile
Objectif(s) : obtenir un accès "root"
Description :
This Kioptrix VM Image are easy challenges. The object of the game is to acquire root access via any means possible (except actually hacking the VM server or player). The purpose of these games are to learn the basic tools and techniques in vulnerability assessment and exploitation. There are more ways then one to successfully complete the challenges.
Je ne change pas les bonnes habitudes, un netdiscover suivi d'un nmap pour connaitre un peu mieux notre cible :
La cible aura l'adresse IP 192.168.1.12 :
Du SSH, du web (80 et 443), du smb ainsi que du rpc, du classique pour cette machine.
La version 2.9 est très vieille même pour une machine sortie en 2010, et en effet la version 2.9 est vulnérable à la CVE-2002-0083 :
Rien à se mettre sous la dent, le serveur web est déséspérement vite. Une seule page (la page d'accueil) semble disponible et quelques images etc. Un dirb ne remonte rien d'intéressant non plus. Etant donné qu'il n'y a pas de vulnérabilité web possible, peut-être faut il se pencher un peu plus sur les version d'Apache ou de ses modules afin de trouver une porte d'entrée. Voici donc le résultat du nikto :
Il y a tout de même une page en PHP nommée "test.php" à la racine du site :
La version d'Apache est une version 1.3.20, le mod_ssl est en 2.8.4 et OpenSSL en 0.9.6b, de très vieilles versions donc. Beaucoup de vulnérabilités existent sur ces différents composants, mais j'en retiens principalement une qui affecte le module mod_ssl :
Le port 139 est un partage Samba dont je ne connais pas la version (en tout cas pas avec le scanne de nmap). Peut être qu'un Metasploit en dira d'avantage :
Les versions de Samba 2.2.x avant 2.2.8a semblent vulnérables à un buffer overflow permettant une exécution de code distant (CVE-2003-0201) :
Rien ne semble différent par rapport à la version exposée sur le port 80.
La CVE-2002-0083 du service SSH est intéressante mais je n'ai trouvé aucun exploit sur cette dernière et ceci est bien dommage.
L'exploitation de la vulnérabilité présente sur le mod_ssl doit pouvoir me permettre de récupérer un shell. L'exploit disponible sur Kali n'est pas compilable sans modification, certaines choses doivent être adaptées. Un article explique toutes les étapes nécessaires : https://medium.com/@javarmutt/how-to-compile-openfuckv2-c-69e457b4a1d1. Pour que l'exploit fonctionne j'ai également dû utiliser le paramètre "-c" avec une valeur de 50 ici :
Concernant l'option "0x6b" il s'agit du couple version du système/version d'Apache. Je sais déjà, grâce à nikto, que c'est un RedHat et pour Apache une version 1.3.20, il n'y a en fait que deux possibilités pour l'option : "0x6a" et "0x6b".
Bien que je suis déjà "root", rien ne m'empêche de tester la seconde vulnérabilité (un module Metasploit existe également) :
Il sera sans doute nécessaire de supprimer les quelques premiers lignes de l'exploit 22470.c pour réussir à le compiler.
Aucune élévation de privilèges ici n'est nécessaire puisque les deux exploits me donne directement les accès "root".
Machine intéressante car elle change des vulnérabilités web fréquemment rencontrées. Ici il s'agit de l'exploitation de composants tiers (OpenSSH, Apache et Samba), bien que l'exploit pour OpenSSH n'a pas été possible.
