Footprinting Lab – Easy

🎯 Objectif de la mission

Dans le cadre d’un audit de sécurité interne, la société Inlanefreight Ltd nous a mandatés pour effectuer un test de reconnaissance passive sur trois serveurs de leur infrastructure. Ce test est destiné à évaluer les risques liés à une mauvaise configuration ou à une exposition excessive d'informations sensibles. Aucune attaque intrusive ou exploitation active n’est autorisée.

Notre mission ici se concentre sur le premier serveur identifié comme un serveur DNS interne. L’objectif est :

• D’identifier toutes les informations disponibles via ce serveur (zonetransfer, informations de configuration, sous-domaines, etc.)

• D’exploiter ces données pour comprendre les éventuelles failles ou vecteurs d’attaque

• De récupérer le contenu du fichier flag.txt présent sur la machine cible

📄 Informations

• Le serveur DNS est exposé sur le réseau interne.

• Des identifiants ont été récupérés : ceil:qwer1234

• Des discussions en interne évoquent l’usage de clés SSH par certains employés.

• L’usage d’exploits ou de techniques agressives est strictement interdit.

---

Enumerate the server carefully and find the flag.txt file. Submit the contents of this file as the answer.

Scan TCP de la cible :

$ nmap -A -T5 -p- -oN TCP_Easy 10.129.84.241

PORT     STATE SERVICE VERSION
21/tcp   open  ftp
| fingerprint-strings: 
|   GenericLines: 
|     220 ProFTPD Server (ftp.int.inlanefreight.htb) [10.129.84.241]
|   NULL: 
|_    220 ProFTPD Server (ftp.int.inlanefreight.htb) [10.129.84.241]
22/tcp   open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0)
53/tcp   open  domain  ISC BIND 9.16.1 (Ubuntu Linux)
2121/tcp open  ftp
| fingerprint-strings: 
|   GenericLines: 
|     220 ProFTPD Server (Ceil's FTP) [10.129.84.241]
|   NULL: 
|_    220 ProFTPD Server (Ceil's FTP) [10.129.84.241]

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

On observe alors 2 services FTP actifs :

21/tcp   open  ftp
| fingerprint-strings: 
|   GenericLines: 
|     220 ProFTPD Server (ftp.int.inlanefreight.htb) [10.129.84.241]

[...]

2121/tcp open  ftp
| fingerprint-strings: 
|   GenericLines: 
|     220 ProFTPD Server (Ceil's FTP) [10.129.84.241]

On se connecte au FTP de ceil avec ses identifiants (ceil:qwer1234) :

$ ftp ceil@10.129.84.19 2121
Connected to 10.129.84.19.
220 ProFTPD Server (Ceil's FTP) [10.129.84.19]
331 Password required for ceil
Password: 
230 User ceil logged in
Remote system type is UNIX.
Using binary mode to transfer files.

Nous listons son répertoire actuel :

ftp> ls -al
229 Entering Extended Passive Mode (|||31588|)
150 Opening ASCII mode data connection for file list
drwxr-xr-x   4 ceil     ceil         4096 Nov 10  2021 .
drwxr-xr-x   4 ceil     ceil         4096 Nov 10  2021 ..
-rw-------   1 ceil     ceil          294 Nov 10  2021 .bash_history
-rw-r--r--   1 ceil     ceil          220 Nov 10  2021 .bash_logout
-rw-r--r--   1 ceil     ceil         3771 Nov 10  2021 .bashrc
drwx------   2 ceil     ceil         4096 Nov 10  2021 .cache
-rw-r--r--   1 ceil     ceil          807 Nov 10  2021 .profile
drwx------   2 ceil     ceil         4096 Nov 10  2021 .ssh
-rw-------   1 ceil     ceil          759 Nov 10  2021 .viminfo

On peut observer la présence du répertoire .ssh. Nous nous y rendons pour récupérer la clé privée de connexion SSH :

ftp> cd .ssh
250 CWD command successful

ftp> pwd
Remote directory: /.ssh

ftp> ls -al
229 Entering Extended Passive Mode (|||24957|)
150 Opening ASCII mode data connection for file list
drwx------   2 ceil     ceil         4096 Nov 10  2021 .
drwxr-xr-x   4 ceil     ceil         4096 Nov 10  2021 ..
-rw-rw-r--   1 ceil     ceil          738 Nov 10  2021 authorized_keys
-rw-------   1 ceil     ceil         3381 Nov 10  2021 id_rsa
-rw-r--r--   1 ceil     ceil          738 Nov 10  2021 id_rsa.pub
226 Transfer complete

ftp> get id_rsa
local: id_rsa remote: id_rsa
229 Entering Extended Passive Mode (|||2693|)
150 Opening BINARY mode data connection for id_rsa (3381 bytes)
100% |***********************************************************|  3381        4.70 MiB/s    00:00 ETA
226 Transfer complete
3381 bytes received in 00:00 (114.00 KiB/s)

Une fois téléchargé, nous appliquons à la clé privée les droits nécessaires avant de l'utiliser pour nous connecter à notre cible :

chmod 600 id_rsa    # Attribution des droits pour le fichier id_rsa

$ ssh -i id_rsa ceil@10.129.84.19  # Utilisation de la clé privée pour la connexion
Welcome to Ubuntu 20.04.1 LTS (GNU/Linux 5.4.0-90-generic x86_64)

Last login: Fri Jun 27 07:18:40 2025 from 10.10.14.130
ceil@NIXEASY:~$ 

Nous avons maintenant accès à notre cible via SSH.

Une fois connectés, nous analysons l'ensemble de la machine pour trouver le fichier flag.txt :

ceil@NIXEASY:~$ ls ../
ceil  cry0l1t3  flag

ceil@NIXEASY:~$ ls ../flag/
flag.txt

ceil@NIXEASY:~$ cat ../flag/flag.txt 
HTB{7nrzise7hednrxihskjed7nzrgkweunj47zngrhdbkjhgdfbjkc7hgj}

Afin de trouver l'emplacement du fichier, nous pouvons également executer la commande suivante sur notre cible :

ceil@NIXEASY:~$ find / -type f -name "flag.txt" 2>/dev/null
/home/flag/flag.txt

Nous obtenons donc le flag de ce premier niveau :

HTB{7nrzise7hednrxihskjed7nzrgkweunj47zngrhdbkjhgdfbjkc7hgj}

---