Pentesting For Evil Corp - Jesshuan Diné

CONFIDENTIAL
Penetration Test for Evil Corp
VULNERABILITY REPORT
FRIDAY, SEPTEMBER 9, 2022
CONFIDENTIAL
MODIFICATIONS HISTORY
Version Date Author Description

1.0 09/09/2022 Jesshuan Diné Initial Version
2 / 25
CONFIDENTIAL
TABLE OF CONTENTS
1. General Information......................................................................................................................................................................4
1.1 Scope.....................................................................................................................................................................................4
1.2 Organisation..........................................................................................................................................................................4
2. Executive Summary........................................................................................................................................................................5
3. Vulnerabilities summary............................................................................................................................................................6
4. Technical Details.........................................................................................................................................................................7
Annexes......................................................................................................................................................................................18
3 / 25
CONFIDENTIAL
GENERAL INFORMATION
SCOPE
EvilCorp nous a mandaté pour assurer les tests de pénétration sur le serveur :
172.31.35.242
Ce serveur héberge en outre :

- une application web intitulé « PINGOSAURUS » qui propose à l’utilisateur uen recherche automatisée de « traceroute » à partir
d’une nom de domaine ou d’une adresse IP.
- une application web intitulée « Evil Corp » avec présentation des activités de la société, et accès privé pour ses membres.
- une base de données.
Une autre adresse IP 172.31.47.97 est apparu dans les premiers scans de vulnérabilité, comme étant liée à la première, mais
cette adresse IP ne s’est pas révélée être ni importante ni particulièrement vulnérable après quelques scans… Ne pouvant joindre
le mandataire de l’étude au moment de cette découverte, nous avons préféré finalement l’écarter de l’étude.
ORGANISATION
The testing activities were performed between 09/07/2022 and 09/09/2022.
Un fichier présentant les vulnérabilités hypothétiques, en lien avec les utilisateurs du serveur, et avec une nomenclature propre,
était fournie par le mandataire :
4 / 25
CONFIDENTIAL
EXECUTIVE SUMMARY
Cette étude, courte dans le temps, a permis de mettre en évidence 4 vulnérabilités de risque moyen à haut.
D’autres vulnérabilités sont par ailleurs supposées, au vue de l’ampleur des failles qui ont été mises en évidence, et de leur
nature, très imprévisibles et typiquement ‘’humaine’’.
Puisque ce qui relie ces failles, outre leur classification en Insecure Design (selon la nomenclature OWASP 2021) pour Conception
non sécurisée, c’est précisément le manque évident de discernement de certains utilisateurs du serveurs qui semblent
« s’amuser » à copier et se transmettre leurs passwords via des protocoles non sécurisés, des services anciens toujours ouverts,
en garde les historiques, etc... comme si ces « traces » étaient des bouts de papier dans une corbeille avec lequel on tentait de
construire une cocotte en papier géante.
Il est donc aisé de remonter la trace de ces utilisateurs et d’ouvrir plusieurs sessions au nom de « alice », « bob » et « john ».
Avec un peu plus de temps, et au vue de l’extrême compétence de cette équipe de choc pour créer des « traces » de toutes les
manières possibles (garder l’historique d’une page web avec un password écrit en ‘’note de bas de page », tout de même!..) il
serait peut-être aisé de s’accorder le privilège root du serveur, notamment par l’emploi probable de la vulnérabilité présentée en
Vuln-4 de ce présent rapport.
Nous ne serrions que vous préconiser de :

- renforcer tous vos préconisations, protocoles de sécurité… etc. comme cela est détaillé pour chaque vulnérabilité.
-sensibiliser fortement votre équipe à la protection des données.
Afin que le serveur d’Evil Corp reste le « serveur le plus sécurisé du monde » tel que le mentionne M. Wellick.
(On en est loin;) )
5 / 25
CONFIDENTIAL
VULNERABILITIES SUMMARY
Following vulnerabilities have been discovered:
Risk ID Vulnerability Affected Scope

IDX-003 Vuln-03 bis (ou 07 ?) : Escalade de permissions
1.172.31.35.242
High potentielles depuis l'utilisateur alice
VULN-001 Vuln-03 : FTP // SSH // & Connexion au serveur en
1.172.31.35.242
Medium tant qu'Alice [Insecure Design]
VULN-004 Vuln-04 (et 08 ?): Connexion au serveur en tant
1.172.31.35.242
Medium que Bob (Mot de passe en clair)
VULN-002 Vuln-02 : Connexion au serveur en tant que Jhon //
1.172.31.35.242
Medium Password en clair [Insecure Design]
6 / 25
CONFIDENTIAL
TECHNICAL DETAILS
VULN-03 : FTP // SSH // & C ONNEXION AU SERVEUR EN TANT QU'ALICE [INSECURE DESIGN]
CVSS SEVERITY Medium CVSSV3 SCORE 5.3
CVSSV3 Attack Vector : Network Scope : Unchanged

CRITERIAS
Attack Complexity : Low Confidentiality : Low
Required Privileges : None Integrity : None
User Interaction : None Availability : None
AFFECTED SCOPE
DESCRIPTION
A04:2021 – Insecure Design [TOP10 OWASP:2021]
Insecure Design est une vaste catégorie représentant différentes faiblesses, exprimées comme
"conception de contrôle manquante ou inefficace". La conception non sécurisée n'est pas à l'origine de
toutes les autres catégories de risques du Top 10. Il existe une différence entre une conception non
sécurisée et une mise en œuvre non sécurisée. Nous faisons la différence entre les défauts de
conception et les défauts de mise en œuvre pour une raison, ils ont des causes profondes et des
remèdes différents. Une conception sûre peut néanmoins présenter des défauts de mise en œuvre
conduisant à des vulnérabilités susceptibles d'être exploitées. Une conception non sécurisée ne peut
être corrigée par une mise en œuvre parfaite puisque, par définition, les contrôles de sécurité
nécessaires n'ont jamais été créés pour se défendre contre des attaques spécifiques. L'un des facteurs
qui contribuent à une conception non sécurisée est l'absence de profilage des risques commerciaux
inhérents au logiciel ou au système en cours de développement, et donc l'incapacité à déterminer le
niveau de sécurité requis.
OBSERVATION Le port ouvert 21 du serveur cible possède un accès "anonymous" par défaut qui permet d'ouvrir une
session "ftp". Dans les dossiers encore présent sur la session, une clé SSH-private, non protégée en
droits, est accessible. Cette clé, trouvé dans le dossier "alice", permet ensuite d'accéder à la session de
l'utilisateur "alice" par protocole SSH, sans fournir aucun password.
TEST DETAILS
1) Le rapport nmap primaire (fourni en annexe 1) affiche 4 ports ouverts dont le port 21 ftp, File Transfer Protocol, qui
sert au transfert de fichier d'un serveur à un autre :
21/tcp open ftp vsftpd 3.0.3
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_drwxr-xr-x 1 ftp ftp 4096 Jan 25 2022 alice
(...)
| FTP server status:
| Connected to 172.31.47.97
| Logged in as ftp
7 / 25
CONFIDENTIAL
(...)
Ce rapport indique également que le port est en cours de connexion (as ftp) auprès de l'adresse IP 172.31.47.97 pour
transfert d'un dossier "alice".
2) Ce port ftp est, par défaut, accessible depuis n'importe quelle machine avec l'identifiant par défaut : anonymous,
comme pour tout protocol FTP dont l'accès n'a pas été restreint (voir 2ème mesure de remédiation).
Il devient donc aisé d'établir une connexion :
3) En s'identifiant ainsi comme "anonymous" (utilisateur anonyme) et en tapant n'importe quel mot de passe (comme
pour toute demande d'identification "anonymous" par défaut sur le port FTP), on a accès au serveur cible en session "ftp".
On navigue et visualise rapidement un dossier "alice" et on obtient l'accès à plusieurs fichiers, dont un document
sensible : une clé "id_rsa" qui, de plus, a des droits de lecture et d’exécution totalement ouverts.
Muni de cette clé, on peut ensuite tenter une connexion avec cette clé qui semble être une clé SSH-private pour accéder
au serveur. Le nom du dossier étant "alice", on suppose que la session "alice" sera accessible avec cette clé :
8 / 25
CONFIDENTIAL
4) Conséquences :
- Cet accès va permettre ainsi l'exploitation d'une autre vulnérabilité (voir Vuln-02) de type "Indesign Secure" ouvrant
droit à la session de l'utilisateur Jhon.
- Cet accès aux serveurs nous donne par ailleurs accès à "~etc/passwd" où nous pouvons visualiser toutes les users
possibles (voir liste trouvée annexe 2).
- En outre, avec la commande linux "sudo -l" on voit apparaître les droits exceptionnels d'utilisation en root de "alice" :
User alice may run the following commands on jedhabootcamp:
(ALL : ALL) NOPASSWD: /usr/bin/tee -a *
La commande "tee -a * " pourrait ainsi théoriquement être détournée pour ouvrir une session en tant que root de cette
manière :
$> cat fichier1 | sudo tee -a *; sh bin/bash
ou tout autre commande approchantes.
Cependant, nous n'y sommes pas parvenus et ne pouvons en fournir une preuve de concept.
9 / 25
CONFIDENTIAL
REMEDIATION Mesure 1 => Rendre inaccessible un port non utilisé sans surveillance (le port 21).
Mesure 2 => Empêcher ou modifier les droits d'accès des utilisateurs anonymes au port 21 : entrer
defaultserver private au fichier ftpaccess.
Mesure 3 => interdire aux users de transférer (et surtout de laisser !) des données sensibles comme
des clés privées sur une session aussi ouverte que FTP.
Mesure 4 => demander aux users de vérifier et modifier systématiquement les droits des clés SSH après
génération ou réception par l'administrateur réseau (chmod 600 depuis le poste de l'ulisateur), ou
laisser l'administateur réseau effectuer cette tâche de protection.
Mesure 5 => Eventuellement, mettre en place une double identification pour le protocole SSH.
REFERENCES
VULN-02 : CONNEXION AU SERVEUR EN TANT QUE JHON // PASSWORD EN CLAIR [INSECURE DESIGN]
CVSSV3 Attack Vector : Local Scope : Unchanged

CRITERIAS
Attack Complexity : Low Confidentiality : High
Required Privileges : Low Integrity : Low
User Interaction : None Availability : None
AFFECTED SCOPE
DESCRIPTION
OBSERVATION La session ouverte sur le serveur en tant qu' "alice" permet d'accéder à certains fichiers de d'autres
utilisateurs (première faiblesse) : jhon et bob. L'un de ces fichiers est /run/.bash_history qui est
consultable (deuxième faiblesse car le fichier peut être vidé en permanence) permettant d'accéder à
l'historique des commandes passées par l'utilisateur "john". On y voit la création d'un fichier
exécutable qui, une fois trouvé dans le système, dans le répertoire run est encore consultable. Ce
fichier est un fichier de test de connexion ssh où le mot de passe de "john" apparaît en clair, comme
déclaration d'une variable dans le fichier de test...
10 / 25
CONFIDENTIAL
TEST DETAILS
En ayant créé une session en tant qu' "alice" (voir Vuln-03) il est possible d'accéder au /home d'alice mais aussi de deux
autres utilisateurs : "bob" et "john". En cherchant un peu, dans le /home de "john" on tombe sur un .bash_history
consultable par tout utilisateur, et sans lien symbolique pour le vider en fermeture de session :
Cette suite de commande semble nous indiquer que l'utilisateur "john" a exécuter une série de test avec un fichier
exécutable john-script.sh qui se trouve dans le répertoire run, répertoire dédié aux scripts en cours d'éxécution. Pour une
raison quelconque, après brève recherche dans le répertoire run, le fichier est encore bien présent et consultable. Il
affiche en clair les variables utilisés par le script ''test'' créé par "jhon" qui ne sont autre que son username et son
password :
11 / 25
CONFIDENTIAL
REMEDIATION Mesure 1 => empêcher l'accès des fichiers entre utilisateurs autrement que selon des règles bien
définies (partage de fichier en réseau local, stockage cloud...) Les fichiers cachés devraient en outre
être toujours invisibles ou non consultables d'une session à une autre.
Mesure 2 => En tant qu'administrateur système, accompagner les utilisateurs dans toute initiative qui
concerne les données sensibles (clés, passwords...) Les utilisateurs du serveur ne devraient pas avoir le
droit de s'essayer à la programmation avec ces données-là, sans consultation et vérification préalable
et postérieur.
Mesure 3 => créer systématiquement (ou vérifier) qu'il y ait bien un lien symbolique qui vide le
.bash_history : (.bash_history -> dev/null/ ) afin que toute commande passée dans le bash ne puisse
plus être consultée une fois la session fermée.
REFERENCES
12 / 25
CONFIDENTIAL
VULN-04 (ET 08 ?): C ONNEXION AU SERVEUR EN TANT QUE BOB (MOT DE PASSE EN CLAIR)
CVSSV3 Attack Vector : Local Scope : Unchanged

CRITERIAS
Attack Complexity : Low Confidentiality : Low
Required Privileges : Low Integrity : Low
User Interaction : None Availability : Low
AFFECTED SCOPE
DESCRIPTION
OBSERVATION Encore une fois, l'accès à la session d'un utlisateur (ici john) permet de naviguer dans les fichiers
d'historiques où un échange ou un mot de passe est divulgué en clair. Ici, c'est dans le répertoire
opt/evil-web-app/view que l'on trouve le fichier evil-secret.ejs où le password de "bob" est écrit noir
sur blanc (ou plutôt blanc sur noir dans notre terminal ;) ).
L'accès à la session de "Bob", après quelques recherches, nous permet de visualiser un nouveau mot de
passe, cette fois-ci pour une base de données pour l'utilisateur "jedha" (le mot de passe a dû être
changé entretemps).
TEST DETAILS
Avec une session précédemment ouverte avec "john" (voir Vuln-02), on navigue dans les fichiers et répertoires et on
trouve une fichier qui est très probablement un historique de page web précédemment affiché en ligne avec une "note en
bas de page" de l'Admin plutôt juteuse :
13 / 25
CONFIDENTIAL
14 / 25
CONFIDENTIAL
Quand on emploi le mot de passe pour se connecter en protocol SSH avec l'utilisateur "Bob", on voit que le mot de passe
est toujours bien actuel ! On ouvre la session :
Par ailleurs, on voit qu'en naviguant dans la session maintenant ouverte de "Bob", on trouve, dans le répertoire racine de
la session, un fichier .node_repl_history avec un historique de requête et... un nouveau mot de passe pour un utilisateur
nommé "jedha", ainsi que le password associé.
Un tel utilisateur n'existe pas dans notre serveur, et n'a pas droit à de session (voir la liste des utilisateurs en annexe).
Mais il peut exister dans la base de données client du serveur.
Quand on essai le mot de passe et l'utilisateur Jedha sur le site Evil Corp (port 1337), on voit que le mot de passe a sans
doute été changé depuis.
15 / 25
CONFIDENTIAL
REMEDIATION Mesure 1 => S'assurer que les utilisateurs ne communiquent pas à l'écrit leur mot de passe sur le
serveur. La pratique doit être banni. Surtout qu'il s'agit ici d'une page web qui a pu apparaître
temporairement sur le site web d'EvilCorp.
Mesure 2 => Dire au fameux John qu'il tient là sans doute le ponpon pour la conservation de ce fichier
de page web avec "note en bas de page" à l'attention de son collègue. Ainsi qu'à l'"admin" d'éviter les
"notes en bas de page" sur une page web publique. Un bout de papier pour écrire un mot de passe,
bien que problématique également, aurait été moins risqué !...
Mesure 3 => Songer à la révocation de certains membres du personnel. Parce qu'à ce point...
REFERENCES
VULN-03 BIS (OU 07 ?) : ESCALADE DE PERMISSIONS POTENTIELLES DEPUIS L'UTILISATEUR ALICE
CVSS SEVERITY High CVSSV3 SCORE 7.8
CVSSV3 Attack Vector : Local Scope : Changed

CRITERIAS
Attack Complexity : High Confidentiality : High
Required Privileges : Low Integrity : High
User Interaction : None Availability : High
AFFECTED SCOPE
DESCRIPTION
OBSERVATION Suite à la session ouverte avec facilité pour l'utlisateur "alice", on remarque, avec un simple sudo -l, les
permission de la commande sudo sans password de l'utilisateur. On remarque qu' "Alice" a la
possibilité de passer la commande tee -a * sans password. Ce privilège, étrange et inopportun, est un
point d'entrée pour une éventuelle escalade de privilège en utilisateur root... bien que l’expérience de
la manipulation de la commande n'est pas été fructueuse pour nous et n'ait pas ouverte de session
root... Un hacher plus aguerri pourrait peut-être profiter de cette faille et s'accorder ainsi tous les
privilèges du serveur...
16 / 25
CONFIDENTIAL
TEST DETAILS
- Avec la commande linux "sudo -l" on voit apparaître les droits exceptionnels d'utilisation en root de "alice" :
"
User alice may run the following commands on jedhabootcamp:
(ALL : ALL) NOPASSWD: /usr/bin/tee -a *
"
La commande "tee -a * " pourrait ainsi théoriquement être détournée pour ouvrir une session en tant que root de cette
manière :
$> cat fichier1 | sudo tee -a *; sh bin/bash
ou tout autre commande approchante....
Cependant, nous n'y sommes pas parvenus et ne pouvons en fournir une preuve de concept absolue.
REMEDIATION Mesure 1 => empêcher toute commande de sudo sans password aux utilisateurs. Obliger
l'identification systématique.
REFERENCES
17 / 25
CONFIDENTIAL
ANNEXE 1 : NMAP PRIMAIRE DU SCOPE 1.172.31.35.242 [SCAN AGRESSIF]

PS> nmap -A 172.31.35.242 -v
Starting Nmap 7.92 ( https://nmap.org ) at 2022-09-03 15:36 EDT
NSE: Loaded 155 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 15:36
Completed NSE at 15:36, 0.00s elapsed
Initiating Ping Scan at 15:36
Scanning 172.31.35.242 [2 ports]
Completed Ping Scan at 15:36, 0.02s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 15:36
Completed Parallel DNS resolution of 1 host. at 15:36, 0.01s elapsed
Initiating Connect Scan at 15:36
Scanning 172.31.35.242 [1000 ports]
Discovered open port 21/tcp on 172.31.35.242
Completed Connect Scan at 15:36, 0.77s elapsed (1000 total ports)
Initiating Service scan at 15:36
Scanning 4 services on 172.31.35.242
Completed Service scan at 15:36, 12.21s elapsed (4 services on 1 host)
NSE: Script scanning 172.31.35.242.
NSE: [ftp-bounce] PORT response: 500 Illegal PORT command.
Nmap scan report for 172.31.35.242
Host is up (0.057s latency).
Not shown: 996 closed tcp ports (conn-refused)
PORT STATE SERVICE VERSION
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_drwxr-xr-x 1 ftp ftp 4096 Jan 25 2022 alice
| ftp-syst:
| STAT:
| FTP server status:
18 / 25
CONFIDENTIAL
| Connected to 172.31.47.97
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| At session startup, client count was 2
| vsFTPd 3.0.3 - secure, fast, stable
|_End of status
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 8e:fd:e3:37:43:3e:85:23:6d:9a:7a:82:0e:d1:d8:e1 (RSA)
| 256 af:33:7f:c2:29:f5:88:86:c2:9c:09:31:fe:50:df:e9 (ECDSA)
|_ 256 c9:26:20:13:40:77:82:4d:9c:89:ec:6e:29:9d:e9:a9 (ED25519)
80/tcp open http
| fingerprint-strings:
| FourOhFourRequest:
| HTTP/1.1 404 Not Found
| X-RateLimit-Limit: 150
| X-RateLimit-Remaining: 147
| Date: Sat, 03 Sep 2022 19:36:51 GMT
| X-RateLimit-Reset: 1662234094
| Vulnerable: True
| Content-Security-Policy: default-src 'none'
| X-Content-Type-Options: nosniff
| Content-Type: text/html; charset=utf-8
| Content-Length: 174
| Connection: close
| <!DOCTYPE html>
| <html lang="en">
| <head>
| <meta charset="utf-8">
| <title>Error</title>
| </head>
| <body>
| <pre>Cannot GET /nice%20ports%2C/Tri%6Eity.txt%2ebak</pre>
| </body>
| </html>
| GetRequest:
| HTTP/1.1 200 OK
| Date: Sat, 03 Sep 2022 19:36:50 GMT
19 / 25
CONFIDENTIAL
| Vulnerable: True
| ETag: W/"a20-8K2d1fq0bRvZNJ6t/PUR8k2dANs"
| Connection: close
| <!DOCTYPE html>
| <html>
| <head>
| <meta charset="utf-8">
| <title> PINGOZAURUS </title>
| <link rel="icon" type="image/x-icon" href="ping.png" />
| <link href="https://cdnjs.cloudflare.com/ajax/libs/font-awesome/5.15.1/css/all.min.css" rel="stylesheet" />
| <link href="https://fonts.googleapis.com/css?family=Roboto:300,400,500,700&display=swap" rel="stylesheet" />
| <link href="https://cdnjs.cloudflare.com/ajax/libs/mdb-ui-kit/3.6.0/mdb.min.css" rel="stylesheet"/>
| <link href="/all.css" rel="stylesheet">
| <link href="/ping.css" rel="stylesheet" />
| <script src="https://use.fontawesome.com/re
| HTTPOptions:
| HTTP/1.1 200 OK
| Date: Sat, 03 Sep 2022 19:36:50 GMT
| Vulnerable: True
| Allow: GET,HEAD,POST
| ETag: W/"d-bMedpZYGrVt1nR4x+qdNZ2GqyRo"
| Connection: close
| GET,HEAD,POST
| RTSPRequest, X11Probe:
| HTTP/1.1 400 Bad Request
|_ Connection: close
|_http-title: PINGOZAURUS
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
|_http-favicon: Unknown favicon MD5: A716CCEBFD1075296DC7D4F1D68F3A8B
| ssh-hostkey:
| 3072 51:8c:45:5b:22:9f:f3:7b:a8:ad:76:db:84:10:e7:e3 (RSA)
| 256 9b:c8:06:5c:4d:b1:4b:49:c5:3f:c8:ec:6e:eb:d1:d8 (ECDSA)
|_ 256 a3:70:3a:eb:ec:0e:db:e7:94:6f:6c:33:d5:be:0e:43 (ED25519)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at
https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port80-TCP:V=7.92%I=7%D=9/3%Time=6313ACD2%P=x86_64-pc-linux-gnu%r(GetRe
20 / 25
CONFIDENTIAL
SF:quest,B39,"HTTP/1\.1\x20200\x20OK\r\nX-RateLimit-Limit:\x20150\r\nX-Rat
SF:eLimit-Remaining:\x20149\r\nDate:\x20Sat,\x2003\x20Sep\x202022\x2019:36
SF::50\x20GMT\r\nX-RateLimit-Reset:\x201662234094\r\nVulnerable:\x20True\r
SF:\nContent-Type:\x20text/html;\x20charset=utf-8\r\nContent-Length:\x2025
SF:92\r\nETag:\x20W/\"a20-8K2d1fq0bRvZNJ6t/PUR8k2dANs\"\r\nConnection:\x20
SF:close\r\n\r\n<!DOCTYPE\x20html>\n<html>\n\x20\x20<head>\n\x20\x20\x20\x
SF:20<meta\x20charset=\"utf-8\">\n\x20\x20\x20\x20<title>\x20PINGOZAURUS\x
SF:20</title>\n\x20\x20\x20\x20<link\x20rel=\"icon\"\x20type=\"image/x-ico
SF:n\"\x20href=\"ping\.png\"\x20/>\n\x20\x20\x20\x20<link\x20href=\"https:
SF://cdnjs\.cloudflare\.com/ajax/libs/font-awesome/5\.15\.1/css/all\.min\.
SF:css\"\x20rel=\"stylesheet\"\x20/>\n\x20\x20\x20\x20<link\x20href=\"http
SF:s://fonts\.googleapis\.com/css\?family=Roboto:300,400,500,700&display=s
SF:wap\"\x20rel=\"stylesheet\"\x20/>\n\x20\x20\x20\x20<link\x20href=\"http
SF:s://cdnjs\.cloudflare\.com/ajax/libs/mdb-ui-kit/3\.6\.0/mdb\.min\.css\"
SF:\x20rel=\"stylesheet\"/>\n\x20\x20\x20\x20<link\x20href=\"/all\.css\"\x
SF:20rel=\"stylesheet\">\n\x20\x20\x20\x20<link\x20href=\"/ping\.css\"\x20
SF:rel=\"stylesheet\"\x20/>\n\x20\x20\x20\x20<script\x20src=\"https://use\
SF:.fontawesome\.com/re")%r(HTTPOptions,138,"HTTP/1\.1\x20200\x20OK\r\nX-R
SF:ateLimit-Limit:\x20150\r\nX-RateLimit-Remaining:\x20148\r\nDate:\x20Sat
SF:,\x2003\x20Sep\x202022\x2019:36:50\x20GMT\r\nX-RateLimit-Reset:\x201662
SF:234094\r\nVulnerable:\x20True\r\nAllow:\x20GET,HEAD,POST\r\nContent-Typ
SF:e:\x20text/html;\x20charset=utf-8\r\nContent-Length:\x2013\r\nETag:\x20
SF:W/\"d-bMedpZYGrVt1nR4x\+qdNZ2GqyRo\"\r\nConnection:\x20close\r\n\r\nGET
SF:,HEAD,POST")%r(RTSPRequest,2F,"HTTP/1\.1\x20400\x20Bad\x20Request\r\nCo
SF:nnection:\x20close\r\n\r\n")%r(X11Probe,2F,"HTTP/1\.1\x20400\x20Bad\x20
SF:Request\r\nConnection:\x20close\r\n\r\n")%r(FourOhFourRequest,1F0,"HTTP
SF:/1\.1\x20404\x20Not\x20Found\r\nX-RateLimit-Limit:\x20150\r\nX-RateLimi
SF:t-Remaining:\x20147\r\nDate:\x20Sat,\x2003\x20Sep\x202022\x2019:36:51\x
SF:20GMT\r\nX-RateLimit-Reset:\x201662234094\r\nVulnerable:\x20True\r\nCon
SF:s:\x20nosniff\r\nContent-Type:\x20text/html;\x20charset=utf-8\r\nConten
SF:t-Length:\x20174\r\nConnection:\x20close\r\n\r\n<!DOCTYPE\x20html>\n<ht
SF:ml\x20lang=\"en\">\n<head>\n<meta\x20charset=\"utf-8\">\n<title>Error</
SF:title>\n</head>\n<body>\n<pre>Cannot\x20GET\x20/nice%20ports%2C/Tri%6Ei
SF:ty\.txt%2ebak</pre>\n</body>\n</html>\n");
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
NSE: Script Post-scanning.
Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.19 seconds
21 / 25
CONFIDENTIAL
ANNEXE 2 : NMAP SECONDAIRE DU SCOPE 1.172.31.35.242 [SCAN DES SERVICES]

└─# nmap -sV 172.31.35.242 -v
NSE: Loaded 45 scripts for scanning.
Initiating SYN Stealth Scan at 14:50
Scanning 172.31.35.242 [1000 ports]
Completed SYN Stealth Scan at 14:50, 0.74s elapsed (1000 total ports)
Initiating Service scan at 14:50
Scanning 4 services on 172.31.35.242
Completed Service scan at 14:51, 12.20s elapsed (4 services on 1 host)
NSE: Script scanning 172.31.35.242.
Not shown: 996 closed tcp ports (reset)
PORT STATE SERVICE VERSION
80/tcp open http
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at
https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port80-TCP:V=7.92%I=7%D=9/4%Time=6314F390%P=x86_64-pc-linux-gnu%r(GetRe
SF:quest,B39,"HTTP/1\.1\x20200\x20OK\r\nX-RateLimit-Limit:\x20150\r\nX-Rat
SF:eLimit-Remaining:\x20149\r\nDate:\x20Sun,\x2004\x20Sep\x202022\x2018:50
SF::56\x20GMT\r\nX-RateLimit-Reset:\x201662317516\r\nVulnerable:\x20True\r
SF:\nContent-Type:\x20text/html;\x20charset=utf-8\r\nContent-Length:\x2025
SF:92\r\nETag:\x20W/\"a20-8K2d1fq0bRvZNJ6t/PUR8k2dANs\"\r\nConnection:\x20
SF:close\r\n\r\n<!DOCTYPE\x20html>\n<html>\n\x20\x20<head>\n\x20\x20\x20\x
SF:20<meta\x20charset=\"utf-8\">\n\x20\x20\x20\x20<title>\x20PINGOZAURUS\x
SF:20</title>\n\x20\x20\x20\x20<link\x20rel=\"icon\"\x20type=\"image/x-ico
SF:n\"\x20href=\"ping\.png\"\x20/>\n\x20\x20\x20\x20<link\x20href=\"https:
22 / 25
CONFIDENTIAL
SF://cdnjs\.cloudflare\.com/ajax/libs/font-awesome/5\.15\.1/css/all\.min\.
SF:css\"\x20rel=\"stylesheet\"\x20/>\n\x20\x20\x20\x20<link\x20href=\"http
SF:s://fonts\.googleapis\.com/css\?family=Roboto:300,400,500,700&display=s
SF:wap\"\x20rel=\"stylesheet\"\x20/>\n\x20\x20\x20\x20<link\x20href=\"http
SF:s://cdnjs\.cloudflare\.com/ajax/libs/mdb-ui-kit/3\.6\.0/mdb\.min\.css\"
SF:\x20rel=\"stylesheet\"/>\n\x20\x20\x20\x20<link\x20href=\"/all\.css\"\x
SF:20rel=\"stylesheet\">\n\x20\x20\x20\x20<link\x20href=\"/ping\.css\"\x20
SF:rel=\"stylesheet\"\x20/>\n\x20\x20\x20\x20<script\x20src=\"https://use\
SF:.fontawesome\.com/re")%r(HTTPOptions,138,"HTTP/1\.1\x20200\x20OK\r\nX-R
SF:ateLimit-Limit:\x20150\r\nX-RateLimit-Remaining:\x20148\r\nDate:\x20Sun
SF:,\x2004\x20Sep\x202022\x2018:50:56\x20GMT\r\nX-RateLimit-Reset:\x201662
SF:317516\r\nVulnerable:\x20True\r\nAllow:\x20GET,HEAD,POST\r\nContent-Typ
SF:e:\x20text/html;\x20charset=utf-8\r\nContent-Length:\x2013\r\nETag:\x20
SF:W/\"d-bMedpZYGrVt1nR4x\+qdNZ2GqyRo\"\r\nConnection:\x20close\r\n\r\nGET
SF:,HEAD,POST")%r(RTSPRequest,2F,"HTTP/1\.1\x20400\x20Bad\x20Request\r\nCo
SF:nnection:\x20close\r\n\r\n")%r(X11Probe,2F,"HTTP/1\.1\x20400\x20Bad\x20
SF:Request\r\nConnection:\x20close\r\n\r\n")%r(FourOhFourRequest,1F0,"HTTP
SF:/1\.1\x20404\x20Not\x20Found\r\nX-RateLimit-Limit:\x20150\r\nX-RateLimi
SF:t-Remaining:\x20147\r\nDate:\x20Sun,\x2004\x20Sep\x202022\x2018:50:57\x
SF:20GMT\r\nX-RateLimit-Reset:\x201662317516\r\nVulnerable:\x20True\r\nCon
SF:tent-Security-Policy:\x20default-src\x20'none'\r\nX-Content-Type-Option
SF:s:\x20nosniff\r\nContent-Type:\x20text/html;\x20charset=utf-8\r\nConten
SF:t-Length:\x20174\r\nConnection:\x20close\r\n\r\n<!DOCTYPE\x20html>\n<ht
SF:ml\x20lang=\"en\">\n<head>\n<meta\x20charset=\"utf-8\">\n<title>Error</
SF:title>\n</head>\n<body>\n<pre>Cannot\x20GET\x20/nice%20ports%2C/Tri%6Ei
SF:ty\.txt%2ebak</pre>\n</body>\n</html>\n");
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
ANNEXE 3 : NMAP TERTIAIRE DU SCOPE 1.172.31.35.242 [SCAN EXHAUSTIF DES PORTS]
└─# nmap -sT 172.31.35.242 -p- -v
Initiating Connect Scan at 19:47
Scanning 172.31.35.242 [65535 ports]
23 / 25
CONFIDENTIAL

Completed Connect Scan at 19:47, 50.35s elapsed (65535 total ports)
Not shown: 65530 closed tcp ports (conn-refused)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
1337/tcp open waste
9999/tcp open abyss
Read data files from: /usr/bin/../share/nmap

Nmap done: 1 IP address (1 host up) scanned in 50.52 seconds
Raw packets sent: 4 (152B) | Rcvd: 1 (28B)
ANNEXE 4 : LISTE DES UTILISATEURS DU SERVEUR

Liste en lecture dans le dossier etc/.passwd :
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
systemd-timesync:x:101:101:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
systemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
mysql:x:104:105:MySQL Server,,,:/nonexistent:/bin/false
24 / 25
CONFIDENTIAL
messagebus:x:105:107::/nonexistent:/usr/sbin/nologin
ftp:x:106:109:ftp daemon,,,:/srv/ftp:/usr/sbin/nologin
sshd:x:107:65534::/run/sshd:/usr/sbin/nologin
alice:x:1000:1000::/home/alice:/bin/bash
bob:x:1001:1001::/home/bob:/bin/bash
john:x:1002:1002::/home/john:/bin/bash
25 / 25

Pentesting For Evil Corp - Jesshuan Diné

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Pentesting For Evil Corp - Jesshuan Diné

Transféré par

Droits d'auteur :

Formats disponibles

CONFIDENTIAL

Penetration Test for Evil Corp

Version Date Author Description

Ce serveur héberge en outre :

Nous ne serrions que vous préconiser de :

-sensibiliser fortement votre équipe à la protection des données.

Following vulnerabilities have been discovered:

Risk ID Vulnerability Affected Scope

CVSS SEVERITY Medium CVSSV3 SCORE 5.3

CVSSV3 Attack Vector : Network Scope : Unchanged

Required Privileges : None Integrity : None

User Interaction : None Availability : None

CVSS SEVERITY Medium CVSSV3 SCORE 6.1

CVSSV3 Attack Vector : Local Scope : Unchanged

Required Privileges : Low Integrity : Low

User Interaction : None Availability : None

CVSS SEVERITY Medium CVSSV3 SCORE 5.3

CVSSV3 Attack Vector : Local Scope : Unchanged

Required Privileges : Low Integrity : Low

User Interaction : None Availability : Low

VULN-03 BIS (OU 07 ?) : ESCALADE DE PERMISSIONS POTENTIELLES DEPUIS L'UTILISATEUR ALICE

CVSS SEVERITY High CVSSV3 SCORE 7.8

CVSSV3 Attack Vector : Local Scope : Changed

Required Privileges : Low Integrity : High

User Interaction : None Availability : High

ANNEXE 1 : NMAP PRIMAIRE DU SCOPE 1.172.31.35.242 [SCAN AGRESSIF]

ANNEXE 2 : NMAP SECONDAIRE DU SCOPE 1.172.31.35.242 [SCAN DES SERVICES]

Discovered open port 1337/tcp on 172.31.35.242

Read data files from: /usr/bin/../share/nmap

ANNEXE 4 : LISTE DES UTILISATEURS DU SERVEUR

Vous aimerez peut-être aussi