Selamlar herkese, bu yazımda Ypuffy isimli 30 puanlık OpenBSD makineyi nasıl çözdüğümü dilim döndüğünce anlatmaya çalışacağım. Detaylı anlatım için bir pdf hazırladım bilalkan.com/downloads adresinden erişebilirsiniz.

Yine sağ ayakla bir nmap taraması başlatıyoruz.

Nmap çıktısında dikkatimi çeken ilk şey ldap için anonim bağlantıya izin verilmiş olması.
Hemen 389 portuna nmap scriptlerinden ldap-search scriptini kullanarak bir tarama daha yapalım.

ldap-search çıktısında alice1978 kullanıcısına ait, samba servisine bağlanırken kullanabileceğimiz bir parola elde ettik.

Elde ettiğimiz bilgileri kullanarak smbclient aracılığıyla makinenin samba servisine bağlanıp paylaşılan dizinleri listeledik.
Devamında alice dizinine giriş yaparak dir komutuyla dizindeki dosyaları görüntüledik.
.ppk uzantılı putty private key dosyasını puttygen aracını kullanarak OpenSSH için kabul edilen formata (.pem) çevirebiliriz.
puttygen aracını kullanabilmek için putty-tools paketini yüklüyoruz.

puttygen aracıyla my_private_key.ppk dosyasından istediğimiz ssh anahtarını elde ettikten sonra, OpenSSH ile alice1978 kullanıcısına bağlantımızı kurup user.txt okuyabiliriz.

Yetki yükseltme aşaması için öncelikle kernel versiyonumuzda bir zafiyet olup olmadığını kontrol etmek için kernel versiyonumuza bakıyoruz.

OpenBSD 6.3 kerneli için google üzerinde arama yaptığımızda kernel versiyonunun CVE-2018-14665 numarasıyla kayıtlı yetki yükseltme zafiyeti olduğunu tespit ediyoruz. Bu zafiyeti sömürecek exploit olan bash scripti ise aşağıdaki linkte bulunan github sayfasında mevcut.
https://github.com/0xdea/exploits/blob/master/openbsd/raptor_xorgasm

Sayfadan raw alıp bunu kendi makinemizde bir dosyaya kaydediyoruz. Kaydettiğimiz dosyayı netcat aracını kullanarak Ypuffy makinesine gönderebiliriz.

Bunun için kendi makinemizden 1234 portunu dinlemeye alarak bu porta bağlanan makinelere exploitimizin olduğu dosyayı göndereceğiz.
Kendi makinemizin 1234 portuna bağlanabilmek için de, Ypuffy makinesinden kendi makinemizin ip adresi ve 1234 port numarasını vererek gelen veriyi direkt olarak privesc isminde bir dosyaya yazmasını istiyoruz.

Aktardığımız bash scriptine chmod +x privesc komutuyla çalıştırma yetkisi veriyoruz, ./privesc  komutu ile yetki yükseltme işlemimizi başlatıyoruz.

whoami komutu ile root olduğumuzu gördükten sonra artık root.txt okuyabiliriz.

Daha detaylı çözüm için hazırladığım pdf dosyasına bilalkan.com/downloads dizininden ulaşabilirsiniz.

Okuduğunuz için teşekkürler. Sorularınız için bilalkan.com/contact

https://www.linkedin.com/feed/update/urn:li:activity:6500046964208463873

Tags: