Yine yeni bir vulnhub makinesiyle karşınızdayım. Makinenin açıklama kısmında bu makinenin oscp ye hazırlanmak için geliştirildiği yazıyor. Çözümünü oldukça güzel ve öğretici buldum. Her zamanki gibi işe makinenin ip adresini bulmakla başlayalım.
Nmap çıktısısına baktığımızda web servislerinin ve samba servisinin ayakta olduğunu görüyoruz.
# Nmap 7.80 scan initiated Fri Oct 2 04:09:18 2020 as: nmap -A -p- -o nmap 192.168.1.26
Nmap scan report for 192.168.1.26
Host is up (0.00017s latency).
Not shown: 65531 closed ports
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Photographer by v1n1v131r4
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
8000/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-generator: Koken 0.22.24
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: daisa ahomi
MAC Address: 08:00:27:10:27:06 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Host: PHOTOGRAPHER
Host script results:
|_clock-skew: mean: -1h39m56s, deviation: 2h18m33s, median: -2h59m56s
|_nbstat: NetBIOS name: PHOTOGRAPHER, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb-os-discovery:
| OS: Windows 6.1 (Samba 4.3.11-Ubuntu)
| Computer name: photographer
| NetBIOS computer name: PHOTOGRAPHER\x00
| Domain name: \x00
| FQDN: photographer
|_ System time: 2020-10-01T18:09:37-04:00
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2020-10-01T22:09:37
|_ start_date: N/A
TRACEROUTE
HOP RTT ADDRESS
1 0.17 ms 192.168.1.26Samba servisine baktığımda wordpress backup dosyası ve mailsent.txt dosyası buluyorum.Gönderilen mail içinde alıcı ve mesaj dikkatimi çekiyor.
Şimdilik bu burada kalsın.Web servisine baktığımda pek birşey bulamıyorum fakat 8000.portuna dizin taraması yaptığımda admin dizini olduğunu görüyorum.
admin dizinine girdiğimde karşımda admin paneli beliriyor.Burada mailsent.txt dosyasındaki bilgileri kullanıyorum.
mail : daisa@photographer.com
password : babygirl
Bu aşamada siteye shell atıp oturum almam gerek.Koken CMS in ne gibi zafiyeti var diye araştırdığımda karşıma şöyle bir bilgi çıktı ve rahatlıkla shell atabileceğimi gördüm.
İlk olarak shell dosyamı oluşturdum ve uzantısını .php.jpg olarak değiştirdim.
Daha sonra siteye shell’imi yüklerken Burp ile araya girip tekrardan .php uzantısına çevirip dosyamı yükledim.
Yüklediğim shell’i anasayfadan çağırdığımda arkada çalışan netcat e ters bağlantı aldım.
Daha sonra daisa kullanıcısının home dizinine gelip user.txt dosyasını okuyabildim.
Yetki yükseltebilmek için makineye biraz bakayım derken suid bit ayarlı bir program gözüme çarptı.Php7.2 suid bit ayarlıydı.
Bununla nasıl yetki yükseltebilirim derken şu arkadaştan yardım aldım.Bu site birçok yetki yükseltme yöntemini anlatıyor.Şİddetle tavsiye ederim.
En son /root dizini altında bulunan proof.txt dosyasını okuyup makinenin çözümünü bitirmiş oluyorum.
Diğer yazıda görüşmek üzere.