Kioptrix level 2 den birazcık daha zor ama oldukça zevkli ve düşündürücü oldu benim için. Birkaç yeni bilgi edindim bu makine sayesinde. Sizlerinde öğreneceğinizi tahmin ediyorum. Lafı uzatmadan başlayalım.
Sızma Testi Örnekleri:Kioptrix level 1
Sızma Testi Örnekleri:Kioptrix Level 2
Kioptrix Level 3 indirme bağlantısı : https://www.vulnhub.com/entry/kioptrix-level-12-3,24/
İlk olarak netdiscover ile hedef makinenin ip adresini bulalım.
Nmap ile makineyi detaylı tarama yaptığımızda aslında bilmemiz gereken çoğu şeyi gösteriyor bize
Starting Nmap 7.80 ( https://nmap.org ) at 2020-04-08 11:20 AKDT
Nmap scan report for 192.168.42.55
Host is up (0.00039s latency).
Not shown: 65533 closed ports
PORT STATE SERVICE
22/tcp open ssh
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
80/tcp open http
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
| http-cookie-flags:
| /:
| PHPSESSID:
|_ httponly flag not set
| http-csrf:
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.42.55
| Found the following possible CSRF vulnerabilities:
|
| Path: http://192.168.42.55:80/gallery/
| Form id:
| Form action: login.php
|
| Path: http://192.168.42.55:80/index.php?system=Admin
| Form id: contactform
| Form action: index.php?system=Admin&page=loginSubmit
|
| Path: http://192.168.42.55:80/index.php?system=Blog&post=1281005380
| Form id: commentform
| Form action:
|
| Path: http://192.168.42.55:80/gallery/index.php
| Form id:
| Form action: login.php
|
| Path: http://192.168.42.55:80/gallery/gadmin/
| Form id: username
| Form action: index.php?task=signin
|
| Path: http://192.168.42.55:80/index.php?system=Admin&page=loginSubmit
| Form id: contactform
|_ Form action: index.php?system=Admin&page=loginSubmit
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-enum:
| /phpmyadmin/: phpMyAdmin
| /cache/: Potentially interesting folder
| /core/: Potentially interesting folder
| /icons/: Potentially interesting folder w/ directory listing
| /modules/: Potentially interesting directory w/ listing on 'apache/2.2.8 (ubuntu) php/5.2.4-2ubuntu5.6 with suhosin-patch'
|_ /style/: Potentially interesting folder
| http-slowloris-check:
| VULNERABLE:
| Slowloris DOS attack
| State: LIKELY VULNERABLE
| IDs: CVE:CVE-2007-6750
| Slowloris tries to keep many connections to the target web server open and hold
| them open as long as possible. It accomplishes this by opening connections to
| the target web server and sending a partial request. By doing so, it starves
| the http server's resources causing Denial Of Service.
|
| Disclosure date: 2009-09-17
| References:
| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_ http://ha.ckers.org/slowloris/
| http-sql-injection:
| Possible sqli for queries:
| http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
| http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
| http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
| http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
| http://192.168.42.55:80/index.php?page=loginSubmit%27%20OR%20sqlspider&system=Admin
| http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
| http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
| http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
| http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
| http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
|_ http://192.168.42.55:80/index.php?page=loginSubmit%27%20OR%20sqlspider&system=Admin
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-trace: TRACE is enabled
|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
MAC Address: 08:00:27:67:96:F9 (Oracle VirtualBox virtual NIC)
Nmap done: 1 IP address (1 host up) scanned in 323.17 seconds
Kioptrix Level 3 WEB
Webden ilerlemeden önce kioptrix makinesinin giriş ekranındaki bilgiyi ciddiye almakta fayda var.
etc dizini altında bulunan hosts dosyasına gereken ayarı yapalım.
Şimdi web üzerinden ilerleyebiliriz.Bizi şöyle bir web sayfası karşılıyor.
Giriş sayfasındaki yazının en altında bulunan “now” bağlantısına tıklıyorum ve eğlenceli bir sayfa çıkıyor karşımıza.
Size eğlenceli ve masum gelebilir ama sayfanın sol altında bulunan butonda sıralamayla oynadıktan sonra URL kısmında tehlikeyi hissedebilirsiniz 🙂
id kısmına ufak bir tırnak herşeyi mahvedebilir.
Şimdi sqlmap ile kolay bir şekilde kritik bilgilere ulaşabiliriz.
gallery veritabanına girelim ve tablolara göz atalım.
Kullanıcı bilgilerinin burda olduğu aşikar.Dump edelim
İhtiyacımız olan tam da buydu.Şimdi ssh ile devam edelim bakalım bilgiler işe yarayacakmı.
Bulunduğum dizinde “CompanyPolicy.README” isimli bir dosya var.İçinde ht editörü sudo ile açmamı istediği yazıyordu. “sudo -l” komutu ile baktığımda şifresiz olarak ht editörü açabileceğimi gördüm.Bu bizim için çok iyi bir haber.
Tabi ht editörü açmam için environment değerini değiştirmem gerekecek.
ht editörü ile etc dizini altında bulunan sudoers dosyasını açıp ufak bir değişiklik ile root olabiliriz.Ht editörde dosya açmak için F3 tuşuna basın ve dosya yolunu girin.
loneferret kullanıcısına şifresiz çalıştırabileceği yeni path olarak /bin/sh girersek root olabiliriz.(virgül koymayı unutmayın ) F2 ile kaydedip çıkalım.
sudo -l komutu ile tekrar kontrol ettiğimde şifresiz olarak çalıştırabileceğimi görüyorum.Ve sonuç ..
/root dizini altında bulunan Congrats.txt dosyasını okuyup bitirebiliz. Ama daha da ilerleyebiliriz bence.
Web sayfasında gezinirken url kısmına gözüm çarptı ve lfi olabileceğinden şüphelendim.Haklıydımda./etc/passwd dosyasını okuyabildim.
Ilgili zafiyet:
http://vulnerable_host/preview.php?file=../../../../etc/passwd%00
http://vulnerable_host/preview.php?file=../../../../etc/passwd%00jpg
Aynı zamanda anasayfada menüde bir de login vardı.Girdiğimde karşıma şöyle bir login ekranı çıktı ve bilin bakalım aşağı ne yazıyordu ?
Sızma testi örnekleri serisinin ilk yazısında lotuscms in nasıl sömürüleceğinden bahsetmiştim.Aynen devam.
İnteraktif shell e geçmek için ;
Son olarak nikto ile tarama yaptığımda ve tabi nmap sonucunda da çıktığı üzere phpmyadmin vardı.
makinede /www/kioptrix3.com/gallery dizini altında bulunan gconfig.php yi açtığımda phpmyadmin giriş bilgilerini elde ettim.
Phpmyadmin e girip bilgileri kullandığımda başarılı oldum.