A compléter
Table des matières
3*Présentation du projet et de l’équipe 3
4*Audit des machines de Shockwave 4
Recherche d’informations avec NMAP 5
Scan de ports ouverts et services correspondants 5
Recherche des systèmes d’exploitation 8
1*l
2*
3*Présentation du projet et de l’équipe
Le but de ce projet est d’effectuer un test d’intrusion sur une infrastructure faillible existante, et de le documenter.
-
L’équipe
Notre équipe est une société de pentest de sept personnes, nommée LGHM. Nous possédons une machine kali sur le réseau “externe”
.
-
Informations préalables
L’infrastructure que nous testonsappartient à un groupe nommé Shockwave. Celle-ci possède deux machines sur le réseau “externe” . De plus, nous possédons un identifiant et un mot de passe.
4*Audit des machines de Shockwave
Test du Ping
Test du Ping sur les machine 10.201.3.116 et 119
De notre côté seule la 119 répond au Ping.
Recherche d’informations avec NMAP
Scan de ports ouverts et services correspondants
-
Résultat pour la machine 10.201.3.116
Un seul port est ouvert sur la machine 10.201.3.116, le 135, associé au service RPC Remote Procedure Call. Ce service est utilisé dans des applications client/serveur telles que Exchange client.
-
Résultat pour la machine 10.201.3.119
Quinze ports sont ouverts sur la machine 10.201.3.119.
Recherche des systèmes d’exploitation
-
Résultat pour la machine 10.201.3.116
Une recherche aggressive du système d’exploitation sur la machine 10.201.3.116 donne FreeBSD avec 94% de chance.
-
Résultat pour 10.201.3.119
Une recherche avec l’option –A trouve la version Windows Server 2016 pour la machine 10.201.3.119. Nous récupérons également les nom et domaine de la machine :
5*Recherche des vulnérabilités
Nous explorons plusieurs pistes pour tenter de rentrer dans le réseau de Shockwave.
-
Par connexion à distance sur Srv001 : le port 3389 est ouvert.
-
En cherchant les vulnérabilités connues des systèmes d’exploitations possibles découverts, par service actif :
soit avec l’option –script vuln de nmap,
soit dans la base de données de db-exploit : https://www.exploit-db.com/,
soit dans la base de donnée de rapi7 : https://www.rapid7.com/db
Résultat pour la machine en 10.201.3.116 : Pas de vulnérabilité détectée.
Résultat pour la machine Srv001 :
-
Explorer le port 88-kerberos pour se connecter au domaine en tant qu’administrateur : le port 88/tcp est associé au service kerberos-sec, c’est à dire sécurisé. Aucune vulnérabilité n’a été trouvée dans le temps imparti.
- Accès aux dossiers partagés par Windows explorer.
On obtient 3 dossiers :
-
1 dossier non protégé mais vide.
-
2 autres dossiers protégés par mot de passe. Les identifiants qui nous ont été communiqués ne fonctionnent pas pour ces dossiers.
-
Connexion FTP : vu que le port 21 est ouvert, on pourrait essayer de se connecter au serveur directement pour récupérer un compte utilisateur. Mais le résultat de nmap –sC nous apprend que le service ftp est protégé par un certificat.
-
Résultat de la commande nmap avec option --script vuln :
L’option –script vuln de nmap trouve une vulnérabilité de Windows Server 2016 sur le protocole smbv1 utilisé. Cette faille est connue sous la référence MS17-010 et le CVE CVE-2017-0143. Le risque est important et l’exploitation de cette faille permet d’exécuter du code à distance.
Un module de scan de metasploit nous confirme que la machine est vulnérable à cette faille :
La base de donnée de metasploit ne contient pas d’exploit de la faille ms17-010 sur une machine Windows Server 2016. Toutefois, une rapide recherche google nous renvoie vers une vidéo youtube décrivant comment générer celui-ci : vidéo de j3ssie james à l’adresse suivante https://www.youtube.com/watch?v=eQFH9gEGnPQ.
Nous décidons de tester cette attaque.
6*Test de l ‘attaque
La mise en place de cette attaque nécessite l’installation de l’outil ‘Thefatrat’ ainsi que la récupération du dossier MS17-010.
-
Installation de l’outil ‘thefatrat’ :
-) Dans un terminal :
‘Thefatrat’ est un outil de post exploitation d’exploit existant. Ici nous allons l’utiliser pour récupérer le code powershell du payload windows/meterpreter/reverse_tcp fixé à l’adresse et au port locals d’écoute.
-
Récupération de MS17-010 :
-) Dans un terminal
MS17-010 est un dossier d’exploitation de la faille ms17-010 mise en ligne sur github par worawir. Ce dossier contient notament une version de l’exploit eternalblue applicable à Windows Server 2016.
-
Générer l’exploit :
-
Dans mfsconsole, on utilise un multi handler et le payload windows/meterpreter/reverse_tcp pour écouter sur le port 4444 de notre machine locale.
-
On lance fatrat et on choisit les mêmes options
-
Dans le dossier MS17-010, on édite le script zzz_exploit.py et affecte les variables USERNAME et PASSWORD :
-
Puis on injecte le shell.bat précédemment généré dans la fonction def smb_pwn(conn, arch) :
-
Décocher et remplacer service_exec par
-
Copier le contenu de <TheFatRat/output/shell.bat> que l’on vient de générer :
-
Coller le code dans service_exec :
-
On lance enfin le script zzz_exploit.py de l’exploit :
-
Une session meterpreter s’ouvre alors dans msfconsole.
En parcourant le système de fichier de SRV001, on découvre un fichier excel intéressant, salaires.xlsx, que l’on récupère.
Ce fichier nous donne les salaires de la société Shockwave, notre mission est réussie :
Graphiques illustrations
à