Rapport Atelier 5

EXPLOITATION

Cours : TECHNOLOGIES DE SÉCURITÉ (TDS)

Étudiant : Pape Moussa DIOP
Professeur : M. Doudou FALL
 RAPPORT ATELIER 5

Partie 1 – Mise en route

Metasploit est une plateforme open source pour la recherche de vulnérabilités, le
développement d'exploits et la création d'outils de sécurité personnalisés. Dans cet atelier,
nous allons utiliser Metasploit pour attaquer la VM Metasploitable2.
Mettre à jour kali :

Démarrez le service PostgreSQL de Kali (que Metasploit utilise comme backend) :

# (Lancera le service postgresql@14-main et quittera ensuite...)

Initialisez la base de données PostgreSQL de Metasploit :

# Ne le faites qu'UNE FOIS, pas à chaque fois !

Lancez msfconsole dans Kali :

Vérifier la connectivité de la base de données :

1
 RAPPORT ATELIER 5

Ajoutez un nouvel espace de travail pour cet atelier. Un espace de travail vous permet de
labelliser les données collectées (hôtes, vulnérabilités, ....) pour un projet spécifique dans la
base de données. Voir aussi : Gestion des espaces de travail

Passez en revue les espaces de travail actuellement configurés. Un * marque l'espace de

travail actuellement sélectionné.

Exécutez Nmap sur le sous-réseau où vous savez que la VM metasploitable2 fonctionne. La

commande db_nmap enregistrera les résultats de l'analyse nmap dans la base de données.
Utilisez un scan -A (ALL) parce que nous savons qu'il n'y a que quelques systèmes dans ce
sous-réseau (metasploitable2, Kali, peut-être votre OS hôte si vous utilisez VMware) et donc
cela ne prendra pas trop de temps.

Affichez la liste des hôtes trouvés dans l'analyse nmap :

Affichez la liste des services trouvés dans l'analyse nmap :

• Il y a deux serveurs FTP qui fonctionnent sur Metasploitable. Quels sont-ils ?

Ce sont les services vsftpd 2.3.4 et ProFTPD 1.3.1

2
 RAPPORT ATELIER 5

Partie 2 – Exploitation de VSFTPD

Tout d'abord, apprenez comment fonctionne la recherche dans Metasploit.

Ensuite, recherchez la première application FTP cible – VSFTPD :

• Combien d'exploits ont été trouvés ?

1 a été trouvé

• Quel est le chemin complet et le nom de chaque exploit ? (commençant par exploit/...)

Nom: VSFTPD v2.3.4 Backdoor Command Execution

Chemin : exploit/unix/ftp/vsftpd_234_backdoor

Sélectionnez un des exploits que vous avez trouvés :

• Quelle est l'URL pastebin.com qui fournit le différentiel de code ?

http://pastebin.com/AetT9sS5

Pour le même exploit, passez brièvement en revue les options disponibles (c'est-à-dire celles
qui doivent être correctement configurées).

3
 RAPPORT ATELIER 5

• Quels sont les noms des options qui doivent être définies ? Considérez-les comme des
variables d'environnement. Le "R" signifie “Remote" (à distance).
Répondez dans l'ordre indiqué dans Metasploitable.
On a :
RHOSTS ensuite RPORT

Ces options doivent être définies pour que l'exploit cible le bon hôte. Définissez-les
maintenant avec les informations que vous avez apprises précédemment sur la VM
Metasploitable2 :

Maintenant, il est temps de lancer l'EXPLOIT !

• À l'aide de la commande whoami, quel utilisateur utilisez-vous via l'exploit ?

• En utilisant la commande uname -a, quelle est la version du noyau Linux exécuté sur la VM
Metasploitable2 ? Fournissez la chaîne complète.
La version du noyau est Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00
UTC 2008 i686 GNU/Linux

4
 RAPPORT ATELIER 5

Enfin, obtenez les formes hachées des mots de passe des utilisateurs sur le système pour une
analyse future. Sur les systèmes Linux, ceux-ci sont stockés dans le fichier "shadow". Utilisez
cette commande pour regarder le fichier /etc/shadow et ne montrer que les lignes où un mot
de passe de compte a été défini. (Les autres sont des comptes sans connexion, c'est-à-dire
des comptes locaux uniquement).
cat /etc/shadow | grep '$1'
Quelles sont les formes hachées ("shadow") des mots de passe des utilisateurs du système ?

Partie 3 – Exploitation de Samba

Samba est une implémentation open source des protocoles de partage de fichiers et
d'imprimantes de Microsoft, ainsi que d'Active Directory.
Tout d'abord, vérifiez la version de Samba en cours d'exécution (indiquée dans les résultats de
l'analyse Nmap précédente). Ensuite, recherchez les exploits dans Samba pour cette version.

• Quelle version de Samba est exécutée sur la VM de Metasploitable2 ? (Donnez la chaîne

"info" complète de l'analyse Nmap précédente).
Samba smbd 3.0.20-Debian workgroup: WORKGROUP

• Combien d'exploits de Samba (pas "Sambar") Metasploit a-t-il actuellement ?

(Notez que les libellés commencent à zéro...)
C’est au nombre de 11
5
 RAPPORT ATELIER 5

À première vue, la vérification des numéros de version n'est pas particulièrement utile. Soit la
description n'inclut pas les numéros de version applicables, soit les versions listées sont plus
anciennes que celles que nous visons. Il n'y en a pas tant que ça – peut-être devrions-nous
toutes les essayer ? Ou seulement celles qui sont classées comme excellentes ou superbes ?
(Ou encore, il suffit de chercher sur Google pour savoir à quelle version Metasploitable2 est
sensible) ?

• Quel numéro CVE a été attribué à cette vulnérabilité particulière de Samba ?

C’est le CVE-2007-2447
• Quelles versions de Samba sont sensibles à cette vulnérabilité ?
Ce sont les versions de Samba 3.0.0 – 3.0.25rc3 (inclusive)
• Après avoir utilisé l'exploit Samba, quelle commande pouvez-vous utiliser pour confirmer la
version spécifique de Samba qui est exécutée sur la VM Metasploitable2 ?

Avec la commande smbclient -L 10.0.2.4 on trouve la version Samba 3.0.20-Debian

6
 RAPPORT ATELIER 5

Maintenant que vous avez accès au système Metasploitable2 via un autre exploit, essayons
une autre façon d'accéder aux fichiers /etc/passwd et /etc/shadow du système – en les
exfiltrant via Netcat au lieu d'un copier-coller manuel. Cette méthode peut également être
utilisée pour exfiltrer des fichiers arbitraires.
Voir aussi : Méthodes de base pour l'exfiltration de données
Sur le système Kali, à une invite de commande ordinaire (pas msf6), exécutez l'utilitaire
Netcat, en écoute, sur le port 4567 :

À l'invite de commande du système exploité, acheminez le contenu du fichier /etc/passwd

vers l'utilitaire Netcat, qui est configuré pour se connecter à Kali à l'IP et au port spécifiés :

Il n'y aura pas de barre de progression ou autre signe d'activité. Cependant, vous savez déjà
que le fichier est petit, il devrait donc être transféré rapidement. Pas besoin de l'attendre.
Retournez sur le Netcat "en écoute", arrêtez-le avec un CTRL-C et inspectez le contenu du
fichier passwd.txt en utilisant l'utilitaire cat. Contient-il les données que vous attendiez ? Si
oui, c'est bien ! Sinon, revérifiez vos commandes et réessayez jusqu'à ce que vous ayez exfiltré
le fichier passwd.

Modifiez et répétez ces deux commandes pour exfiltrer le fichier /etc/shadow aussi.

Dans ce cas particulier, il est plus utile de combiner les fichiers passwd et shadow en un seul
fichier pour un futur craquage de mot de passe. Utilisez la commande unshadow sur l'hôte Kali
pour fusionner ces deux fichiers ensemble, et gardez le ficher résultant.

• Quel est le contenu du fichier fusionné logins_de_metasploitable2.txt ?

C’est le contenu des deux fichiers combinés.

7
 RAPPORT ATELIER 5

Partie 4 – Hydra
Hydra est un craqueur de login par force brute (parallelisé) qui prend en charge de nombreux
protocoles, notamment : Cisco AAA, Cisco auth, Cisco enable, CVS, FTP, HTTP(S)-FORM-GET,
HTTP(S)-FORM-POST, HTTP(S)-GET, HTTP(S)-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-
SQL, MySQL, NNTP, Oracle Listener, Oracle SID, PC-Anywhere, PC-NFS, POP3, PostgreSQL,
RDP, Rexec, Rlogin, Rsh, SIP, SMB(NT), SMTP, SMTP Enum, SNMP v1+v2+v3, SOCKS5, SSH
(v1 et v2), SSHKEY, Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC et XMPP.
Utilisez Hydra pour deviner un mot de passe contre un seul nom d'utilisateur dans
Metasploitable2.
Vous pouvez obtenir les noms d’utilisateurs de multiples façons : à partir de comptes sur
d'autres systèmes, d'adresses email, de combinaisons probables de noms humains, ou
simplement en devinant (root, admin, Administrator, user, etc...)
Exécutez xhydra (la version GUI de hydra) avec les paramètres suivants :
• Craquez le nom d'utilisateur sys,
• via le protocole SSH (secure shell),
• avec 4 tâches simultanées (aussi appelées "threads") pour éviter de submerger le serveur et
de lui faire abandonner les requêtes,
• et en utilisant le fichier de mots de passe de base de John the Ripper dans
/usr/share/john/password.lst

Après ça j’ai rencontrer une erreur avec la connection ssh. Pour résoudre le probléme j’ai
reconfiguré le système de scurité avec kali-tweaks à l’aide d’un tuto youtube
https://m.youtube.com/watch?v=fKVLVNaVXF0&feature=youtu.be

8
 RAPPORT ATELIER 5

• Quelle est l'invocation de la ligne de commande que l'interface graphique a construite à

partir de la définition de ces options spécifiées ?
C’est hydra -l sys -P /usr/share/john/password.lst -t 4 10.0.2.4 ssh

• À partir de la tentative de craquage de mot de passe en cours, combien de tentatives par

minute Hydra effectue-t-il ?
Hydra a effectué 52.00 tries/min
• Combien de temps a-t-il fallu à Hydra pour trouver ce mot de passe commun ?
Le temps est de 1mn d’après la sortie

• Quel est le mot de passe de ce compte ?

Le mot de passe de sys est batman

9
 RAPPORT ATELIER 5

Partie 5 – Exploiter quelque chose d'autre

Il est temps pour vous d'explorer Metasploit !
À l'aide de Metasploit et de vos connaissances de Google, découvrez 2 autres exploits qui
fonctionnent sur la VM Metasploitable2. Il en existe de nombreux décrits en ligne dans des
blogs et des tutoriels, ou vous pouvez utiliser la liste des services et la fonctionnalité de
recherche pour trouver une vulnérabilité sans connaissance extérieure.

Exploit pour la vulnérabilité du serveur FTP vsftpd 2.3.4 :

Service : FTP (port 21)
Nom complet : exploit/unix/ftp/vsftpd_234_backdoor
Options : RHOSTS (cible), RPORT (port)
Cette vulnérabilité concerne une version spécifique du serveur FTP vsftpd. L'exploit exploite
une porte dérobée (backdoor) qui a été intentionnellement introduite dans la version 2.3.4 du
vsftpd.
L'attaquant configure les options telles que RHOSTS (adresse de la cible) et RPORT (port du
service FTP).
Lors de l'exploitation, l'exploit se connecte au service FTP, envoie la séquence spécifique qui
active la porte dérobée, permettant ainsi à l'attaquant d'obtenir un accès non autorisé au
système.

Exploit pour la vulnérabilité du serveur Telnet :

Service : Telnet (port 23)
Nom complet : exploit/unix/telnet/telnet_encrypt_keyid_overflow
Options : RHOST (cible), RPORT (port)
Cette vulnérabilité concerne le service Telnet sur la machine. L'exploit exploite un
débordement de tampon (buffer overflow) dans la gestion des clés de chiffrement.
L'attaquant configure les options telles que RHOST (adresse de la cible) et RPORT (port du
service Telnet).
Lors de l'exploitation, l'exploit envoie des données malveillantes déclenchant le débordement
de tampon, ce qui peut permettre à l'attaquant d'exécuter du code arbitraire sur la machine
cible.

Atelier done

10