Sızma Testi Örnekleri:Webdeveloper

Serinin devamında yine kolay bir vulnhub makinesini ele alacağız. Bu makineyi siber güvenliğe yeni başlayan arkadaşlar için oldukça zevkli ve öğretici buldum. İsterseniz Başlayalım. İlk olarak netdiscover ile makinenin ip adresini bulalım.

netdiscover

Nmap taramasında ssh ve web servisinin açık olduğunu görüyoruz.

nmap -A -p- -o nmap 192.168.1.24
# Nmap 7.80 scan initiated Thu Oct  1 18:37:03 2020 as: nmap -A -p- -o nmap 192.168.1.24
Nmap scan report for 192.168.1.24
Host is up (0.00012s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 d2:ac:73:4c:17:ec:6a:82:79:87:5a:f9:22:d4:12:cb (RSA)
|   256 9c:d5:f3:2c:e2:d0:06:cc:8c:15:5a:5a:81:5b:03:3d (ECDSA)
|_  256 ab:67:56:69:27:ea:3e:3b:33:73:32:f8:ff:2e:1f:20 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-generator: WordPress 4.9.8
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Example site – Just another WordPress site
MAC Address: 08:00:27:CC:54:C9 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.12 ms 192.168.1.24

Dirb ile dizinleri taradığımda wordpress yüklü olduğu ve ipdata dizini olduğunu görüyorum.

İpdata dizinine gittiğimde analyze.cap dosyası buluyorum.

Bu dosyayı indirip wireshark ile incelediğimde karşıma kullanıcının giriş bilgileri çıkıyor.

username : webdeveloper
password : Te5eQg&4sBS!Yr$)wf%(DcAd

Bu bilgileri kullanıp wordpress’in admin paneline erişiyorum.Plugin kısmında akismet isimli pluginin akismet.php dosyasını reverse shell almak üzere düzenliyorum.Reverse shell için /usr/share/webshells/php/php-reverse-shell.php dosyasını kullanıyorum ve kendime göre ayarlıyorum.

Netcat ile 1337.portu dinlemeye aldıktan sonra http://192.168.1.24/wp-content/plugins/akismet/akismet.php adresine gidip düzenlediğim php dosyasını çalıştırıyorum. /var/www/html dizini altında bulunan wp-config.php dosyasını okuduğumda veritabanı kullanıcı adı ve parolasını elde ediyorum.

Bulduğum bu bilgileri kullanarak ssh bağlantısı yapabiliyorum.Sudo ile hangi programları çalıştırabileceğime baktığımda tcpdump’ı root yetkileriyle çalıştırabileceğimi görüyorum.

Tcpdump ile nasıl yetki yükseltebileceğimi herzamanki gibi şu adresten araştırıp öğreniyorum. https://gtfobins.github.io/gtfobins/tcpdump/

İlk başta reverse shell almamı sağlayan akismet.php dosyasını tekrar kullanıyorum. Gerekli yetkiyi verdikten sonra tcpdump ile arkada 1337.portu dinleyen netcat’e tekrar root olarak bağlanıyorum ve son olarak /root dizini altında bulunan flag.txt’yi okuyup bu makinenin çözümünü bitiriyorum.

Sağlıcakla kalın ..

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir