Write-ups

Voici les write-ups que j’ai rédigés pour différentes box. Pour HackTheBox, les write-ups ne sont rendus publics que lorsque la box est retirée, conformément aux règles de la plateforme. Pour TryHackMe, les write-ups sont rendus publics deux semaines après la sortie d’une room, sauf indications contraires de l’auteur de la room.

Certains write-ups n’ont pas encore été migrés sur ce site. En attendant, ils sont encore disponibles soit sur mon Github soit sur mon ancien site web.

  • HackTheBox – Brutus (Very easy)

    , , , ,

    Dans ce Sherlock very easy, vous allez vous familiariser avec les logs auth.log et wtmp d’Unix. Nous explorerons un scénario où un serveur Confluence a été touché par une attaque brute-force sur son service SSH. Après avoir obtenu l’accès au serveur, l’attaquant a effectué des activités supplémentaires, que nous pouvons suivre en utilisant auth.log. Bien…

    https://www.youtube.com/watch?v=Nk_oeQ84Fzs

  • HackTheBox – Pollution (Hard)

    , , , , , , , ,

    Pollution est une machine Linux de difficulté hard avec plusieurs vulnérabilités complexes et sophistiquées à exploiter, telles qu’une XXE et l’exploitation d’une LFI pour obtenir une RCE, ainsi qu’une prototype pollution. Dans un premier temps, nous prenons pied en tant qu’utilisateur « www-data » en lisant les fichiers critiques via une XXE, puis en tirant…

    https://www.youtube.com/watch?v=vBYsTJUOl3s

  • HackTheBox – Soccer (Easy)

    , ,

    Soccer est une machine Linux de difficulté facile qui comporte un accès initial basé sur les identifiants par défaut, permettant l’accès à une version vulnérable du « Tiny File Manager », ce qui mène à un reverse shell sur le système cible (« CVE-2021-45010 »). L’énumération de la cible révèle un sous-domaine qui est vulnérable à une Blind SQLi…

    https://www.youtube.com/watch?v=V3ZsMPgDYH4

  • HackTheBox – Topology (Easy)

    , , ,

    Topology est une machine Linux de difficulté easy qui présente une application Web comportant une fonctionnalité interprétant du code LaTeX sensible à une vulnérabilité d’inclusion de fichiers locaux (LFI). L’exploitation de la faille LFI permet de récupérer un fichier « .htpasswd » contenant un mot de passe haché. En déchiffrant le hachage du mot de passe, l’accès…

    https://www.youtube.com/watch?v=OiarvDSB1X0

  • HackTheBox – Busqueda (Easy)

    , , , ,

    Busqueda est une machine Linux de difficulté easy qui implique l’exploitation d’une vulnérabilité d’injection de commandes présente dans un module Python. En exploitant cette vulnérabilité, nous obtenons un accès utilisateur à la machine. Pour élever les privilèges vers « root », nous découvrons des informations d’identification dans un fichier de configuration Git, nous permettant de nous connecter…

    https://www.youtube.com/watch?v=T-S3ArhEXzw

  • HackTheBox – TwoMillion (Easy)

    , , , ,

    TwoMillion est une box Linux de difficulté easy qui a été publiée pour célébrer les 2 millions d’utilisateurs sur HackTheBox. La box contient une ancienne version de la plateforme HackTheBox qui inclut l’ancien code d’invitation piratable. Après avoir piraté le code d’invitation, un compte peut être créé sur la plateforme. Le compte peut être utilisé…

    https://www.youtube.com/watch?v=tyrZoCMmHX4
Retour en haut