Selamlar. Bu yazımda user kısmı kolay, root kısmı orta şeker olan Access makinesinin çözümünden bahsedeceğim. Bu makine için hazırladığım pdf dosyasını da yine bilalkan.com/downloads kısmında bulabilirsiniz.

Efendi gibi VPN bağlantımı kurdum ve bir nmap taraması başlattım.

Nmap çıktısında bir telnet bağlantımız olduğunu ve ftp servisi için anonim bağlantıya izin verildiğini görüyoruz.
Ftp üzerinden neler paylaşılmış bir göz atalım.

Ftp servisi üzerinde Backups ve Engineer isimli iki dizin bulunuyor. Engineer dizinine göz atarak başlıyoruz.

 

Engineer dizininde Access Control.zip isimli bir dosya bulunuyor. Bu dosyayı kendi makinemize get "Access Control.zip"  komutuyla çekiyoruz.
Geri dönüp Backups dizinine bakarak devam ediyoruz.

Backups dizininde backup.mdb isminde bir MariaDB yedek dosyası bulunuyor. Bunu da yine get backup.mdb komutuyla kendi makinemize alıyoruz.
Access Control.zip dosyası parola korumalı bir dosya olduğu için brute-force atmadan önce, içerisinden parola buluruz ümidiyle backup.mdb dosyasını inceliyoruz.

 

strings backup.mdb  komutuyla dosyayı incelediğimizde [email protected] şeklinde bir string dikkat çekiyor.

Bulduğumuz stringi Access Control.zip dosyasına parola olarak verdiğimizde sıkıştırılmış dosya içerisindeki Access Control.pst dosyasını dışarı çıkarabiliyoruz.

readpst aracını kullanarak bu dosyanın içeriğini de dışarı çıkarıyoruz.
pst dosyasını çıkarınca mbox uzantılı bir mail backup dosyası ile karşılaştık. Matruşka gibi çıkar çıkar bitmiyor mübarekler.

Çok sevdiğim leafpad editörünü kullanarak bu dosyanın içine baktığımızda John isimli birisinden gelen bir mail karşımıza çıkıyor. Mail içeriğinde security hesabının parolasının 4Cc3ssC0ntr0ller olarak değiştirildiği yazılmış.

security:4Cc3ssC0ntr0ller  bilgilerini kullanarak telnet servisine giriş yaptık.

Bu kısımdan sonrası nice genç yiğitlerin ömrünü solduran telnet bağlantısı ile cebelleşmek ile geçti. Aldığımız telnet bağlantısında backspace tuşu çalışmıyor ve bağlantı hızı aşırı yavaş. Kanser olmadan önce hızlıca user.txt okuyalım.

Yetki yükseltme aşaması için öncelikle sistemdeki kullanıcı bilgilerine göz atalım. cmdkey.exe uygulaması bu konuda bilgi sahibi bir abiye benziyor, hemen soralım.

cmdkey /list  komutuyla makinede depolanan kullanıcı bilgilerini öğreniyoruz. Listeleme sonucunda ACCESS grubuna ait Administrator kullanıcısının giriş bilgilerinin makinede depolanmış olduğunu gördük.

Administrator kullanıcısına ait giriş bilgileri sistemde kayıtlı olduğu için runas /savecred /user:ACCESS\Administrator  komutu ile Administrator kullanıcısına ait yetkileri o anki kullanacağımız işlem üzerine devralabiliriz.

Şimdi root.txt okumak için yapmamız gereken işlem root.txt dosyasını bulunduğu dizinden, düşük yetkilerimizle okuyabileceğimiz bir dizine kopyalamak. Bu işlem için de pek kıymetli cmd.exe uygulamasını kullanacağız.

runas /savecred /user:ACCESS\Administrator "cmd /c type C:\Users\Administrator\Desktop\root.txt > C:\Users\security\Desktop\uzunisim.txt"  komutu ile root.txt dosyasını kendi Desktop dizinimize kopyalayabiliriz.

Kopyalama işlemi başarıyla gerçekleştiğine göre security kullanıcısının Desktop dizinine aldığımız root.txt dosyasını da artık okuyabiliriz.

Okuduğunuz için teşekkürler. Sorularınız için bilalkan.com/contact

https://www.linkedin.com/feed/update/urn:li:activity:6507682055944433664

Tags: