Merhabalar herkese, bugün yine çok kolay bir makinenin çözümü için buradayım.
İlgileneceğimiz makine Irked isimli 20 puanlık bir linux makine.

Tıkla 645758 GB internet kazan!

Üstteki şakalı linkimize tıklayıp tebessüm dahi etmeden nmap taramasını başlatabiliriz.

Baya açık port geldi. 80 portu yine aradan sırıtıyor, tarayıcı ile ziyaret edelim.

Sinirlenmiş bir emoji resmi var karşımızda. Sağ altta da “IRC is almost working!” ibaresini not düşmüşler. Biraz da açık portlarda olan UnrealIRCd servisiyle alakadar olmaya başlayalım.

UnrealIRCd servisiyle alakalı bir exploit var mıdır diye kontrol ettiğimizde bir sürümünde backdoor olduğunu öğrendik. Hemen metasploit çalıştıralım ve mevzuyu oradan ilerletelim.

Metasploit üzerinden de kontrol ettiğimizde aynı zafiyete ait backdoor exploitinin bulunduğunu gördük. use komutunu kullanarak exploiti elimize alalım.

options komutu ile bizden istenenleri kontrol ettiğimizde host adresi ve port numarası gerektiğini görüyoruz. Exploiti ilk önce default olarak gelen 6667 portunu kullanarak exploit etmeye çalıştığımda bir session elde edemedim. nmap taramasında gördüğümüz diğer portlardan hangisidir acaba diye düşünmek yerine portlara netcat ile bağlanmaya çalışalım.

Diğer portlarda “waiting for irked.htb” gibi bir yanıt dönerken, 65534 portundan farklı bir yanıt döndü.

Hemen RHOST ve RPORT bilgilerini güncelleyerek exploiti çalıştıralım.

Exploiti çalıştırınca makineden bir oturum elde etmeyi başardık. Devamında shell komutu ile oturumumuzu interaktif bir shell’e çevirdik.

Hızlıca user.txt okuyalım derken djmardov kardeşimizin Desktop dizinini boş bulduk. Sürecin takipçisi olacağımızın göstergesi olarak makinedeki diğer dizinleri inceleyerek devam edelim.

Documents dizini altında user.txt ve yanında bir backup dosyasına ulaştık. user.txt okumayı deneyelim.

Henüz djmardov kullanıcısı olamadığımız için böyle bir hata ile karşılaştık. backup dosyasını inceleyerek devam edelim.

backup dosyasını okuduğumuzda bir steganografi kurtarma parolası elde ettik. “Ee, steg hangi resimde var şimdi” diye düşünürken 80 portunda rastladığımız gergin abi aklımıza geliyor.

Resmi irked.jpeg adıyla makinemize kaydedelim.

Devamında steghide aracına elde ettiğimiz parola bilgisini de vererek irked.jpeg içerisinde ne varsa çıkaralım. Resmin içinden çıkan pass.txt dosyasını okuduğumuzda nur topu gibi bir parola elde ettik. E artık vakit geldi.

Elde ettiğimiz parola bilgisini kullanarak djmardov kullanıcısına SSH ile bağlandık ve user.txt okuduk.
Şimdi yetki yükseltme aşaması için SUID biti atanan bir dosya var mı kontrol edelim.

find / -perm -u=s -type f 2>/dev/null  komutu ile djmardov kullanıcısıyken de root yetkileriyle çalıştırabileceğimiz dosyaları görüntüleyelim.
Dikkatimi ilk çeken viewuser uygulaması oldu. viewuser komutuyla çalıştırdığımızda bir yerden sonra shell bize hata döndürerek /tmp dizini altında listusers isimli bir dosya bulamadığını söylüyor. Hemen ilgilenelim bu kardeşle.

Gittik, baktık. Hakikaten öyle bir dosya yok. O zaman shell üzerinde root yetkileriyle çalışacak bu dosyayı biz oluşturup viewuser uygulamasına salalım.

Amacımız root.txt okumak olduğu için echo "cat /root/root.txt" > listusers komutunu bu dosyaya yazdırabiliriz. Eğer, “Ben çok pis hackerım, root olmazsam böbreklerim falan acayip ağrıyor” diyorsanız echo "/bin/bash" > listusers  komutunu kullanarak o mübarek # işaretini gösterecek dosyayı da oluşturabilirsiniz. chmod +x listusers  komutu ile dosyamıza çalıştırma yetkisini de vermeyi unutmayalım.

viewuser komutuyla tekrardan uygulamayı çalıştırdığımızda bu sefer alt satırda root.txt dosyasını görüntüleyebildik.

Okuduğunuz için teşekkürler. Sorularınız için bilalkan.com/contact

https://www.linkedin.com/feed/update/urn:li:activity:6527607770550661120

Tags: