Poster – WriteUp – TryHackMe – Fr

Poster est une box de TryHackMe qui est dédié à l’attaque sur PostgreSQL avec Metasploit. C’est une room guidée qui reste simple à réaliser et qui permet d’utiliser Metasploit pour ceux et celle qui ne connaissent pas. 

Task 1 Flag

  • What is the rdbms installed on the server?

postgresql

  • What port is the rdbms running on?

5432

Un simple scan avec nmap ( nmap -T5 -p- 10.10.32.215) permet de répondre aux deux 1ier question.

  • After starting Metasploit, search for an associated auxiliary module that allows us to enumerate user credentials. What is the full path of the modules (starting with auxiliary)?

auxiliary/scanner/postgres/postgres_login

  • What are the credentials you found?
    • example: user:password

redacted

  • What is the full path of the module that allows you to execute commands with the proper user credentials (starting with auxiliary)?

auxiliary/admin/postgres/postgres_sql

  • Based on the results of #6, what is the rdbms version installed on the server?

9.5.21

  • What is the full path of the module that allows for dumping user hashes (starting with auxiliary)?

auxiliary/scanner/postgres/postgres_hashdump

  • How many user hashes does the module dump?

6

  • What is the full path of the module (starting with auxiliary) that allows an authenticated user to view files of their choosing on the server?

auxiliary/admin/postgres/postgres_readfile

  • What is the full path of the module that allows arbitrary command execution with the proper user credentials (starting with exploit)?

exploit/multi/postgres/postgres_copy_from_program_cmd_exec

 

Compromission

  • Compromise the machine and locate user.txt

Redacted

Pour commencer, on va lire le fichier /etc/passwd afin de voir quels sont les utilisateurs présent sur le système.

Commande :

use auxiliary/admin/postgres/postgres_readfile

Résultat :

On a un credentials.txt dans le dossier /home/dark/. On va donc le lire pour voir ce qu’il y a dedans. Toujours avec le même module. 

Connexion SSH

Avec les identifiants, on va se connecter sur le compte de dark en SSH.

ssh dark@10.10.32.215

Une fois connecté, il faut soit utiliser un outil comme linpeas.sh ou faire une énumération manuelle. La commande suivant permet de rechercher le terme pass dans tous les fichiers avec l’extension PHP avec une profondeur ( dans les sous dossiers )  de 8 

Escalade de privilège

Comme le montre la capture précédente, on récupère les identifiants du compte d’Alison. On va basculer sur son compte.

Commande :

su alison 

password  : 

Une fois que l’on est sur son compte, il faut faire sudo -l pour voir quels sont les droits de l’utilisateur. 

L’utilisateur a tous les droits… Donc si on fait sudo bash, on basculera sur le compte root.