Source : « What The FIC » Découvrez les solutions d’un des challenges pentest proposés au FIC 2020 | Orange Cyberdefense

Enoncé : Vous avez accès à une machine d’attaque, et vous devez prendre le contrôle complet du server victime

Niveau : Moyen

Temps : 20/25 mns

Description

L’utilisation d’une API/SPA (Single Page Application) ne veut pas dire que vous êtes en sécurité. Trouvez votre chemin pour devenir root.

Solution

Le participant devait lancer la commande suivante de façon à identifier les ports ouverts sur la machine : nmap -sV -Pn -p- 192.168.1.24

Suite à cela, il remarque que les ports 4201, 8000 et 22 sont disponibles.

Sur le port 4201 après lecture des fichiers javascripts, nous trouvons une interface web codée en Angular.

Login page