Exercice 1 — Test d'intrusion d'un système Linux
Hey, what's going on guys, c'est Zack et bienvenue dans cette nouvelle leçon dans laquelle je vais vous donner un exercice pratique à faire.
Après avoir étudié notre premier challenge, Basic Pentesting 2, où nous avons vu comment mener un audit de base sur un système Linux, je vous propose de réaliser ce second challenge pour tester vos compétences.
Ce challenge est intitulé « Basic Pentesting 1 ».
Vous pouvez le retrouver sur VulnHub (je vous mets le lien dans la description) pour télécharger la machine virtuelle.
Sur la page de VulnHub, vous trouverez tous les détails du challenge : son titre, sa date de sortie, etc.
Il s'agit du même créateur que la machine précédente, Josiah Pearce, qui a conçu les deux boxes (Basic Pentesting 1 et 2).
Cliquez sur le lien de téléchargement pour récupérer l'image de la machine virtuelle, qui fait environ 2,6 Go.
L'objectif est identique au précédent : rooter la machine, c'est-à-dire pénétrer le système et élever vos privilèges jusqu'à obtenir l'utilisateur root.
Le site indique également l'hyperviseur recommandé, qui est VirtualBox.
Le service DHCP est activé sur la machine virtuelle, ce qui signifie qu'elle récupérera automatiquement une adresse IP sur votre réseau.
J'ai déjà téléchargé le fichier et je vais vous montrer comment l'importer dans VirtualBox.
C'est très simple : faites un clic droit sur le fichier téléchargé, puis sélectionnez « Open with VirtualBox Manager ».
Si vous utilisez VMware, la procédure est similaire et vous pouvez l'importer directement.
Dans la fenêtre d'importation de VirtualBox, vous verrez les détails de la machine (c'est un système Ubuntu).
Par défaut, l'importation alloue 4 Go de RAM et 2 CPU.
Si vous souhaitez modifier ces ressources, double-cliquez sur les lignes correspondantes.
Par exemple, vous pouvez lui allouer 2 ou 3 Go de RAM si votre machine hôte est limitée.
Une fois que la configuration vous convient, cliquez sur « Finish » pour lancer l'importation.
Une étape cruciale après l'importation consiste à configurer la carte réseau.
Prenons l'exemple d'une autre machine virtuelle sous Parrot OS.
Sélectionnez votre machine virtuelle, cliquez sur « Settings » (Configuration) puis sur « Network » (Réseau), et configurez l'accès réseau en mode « Bridged Adapter » (Accès par pont).
Ce mode permet d'attribuer à la machine virtuelle une adresse IP de votre réseau local, partagée avec votre machine hôte (Windows ou macOS).
Si je tape `ifconfig` dans le terminal de ma machine virtuelle et `ipconfig` dans l'invite de commandes de ma machine Windows, je constate que les deux systèmes sont désormais sur le même sous-réseau.
Il est impératif que la machine victime du challenge soit sur le même réseau pour que votre machine d'attaque Kali Linux puisse communiquer avec elle et mener à bien le test d'intrusion.
Pour configurer notre machine victime, nous allons donc dans ses paramètres réseau et sélectionnons « Bridged Adapter ».
Si VirtualBox affiche un message d'erreur du type « Invalid Settings Detected » concernant les paramètres système ou d'affichage (Display/Screen), corrigez la configuration puis cliquez sur « OK » et démarrez la machine.
Pour réussir ce challenge, vous aurez besoin de deux choses : d'une part, mobiliser l'ensemble des connaissances et des concepts étudiés dans cette formation, et d'autre part, savoir manipuler Metasploit si vous souhaitez utiliser la méthode la plus rapide.
Néanmoins, l'utilisation de Metasploit n'est pas obligatoire, vous pouvez tout à fait exploiter les failles manuellement en cherchant des exploits publics sur Internet.
La machine démarre sur un écran de connexion Ubuntu.
Votre objectif est désormais de réaliser le test d'intrusion sur cette machine et de la compromettre.
Si vous rencontrez des difficultés, vous pouvez poser vos questions en commentaire, ou me contacter directement sur mes réseaux professionnels (LinkedIn, Discord) ou par e-mail.
Bon courage pour ce challenge, et on se retrouve dans la prochaine leçon.
Peace !