Serinin devamında yine kolay bir vulnhub makinesini ele alacağız. Bu makineyi siber güvenliğe yeni başlayan arkadaşlar için oldukça zevkli ve öğretici buldum. İsterseniz Başlayalım. İlk olarak netdiscover ile makinenin ip adresini bulalım.
Nmap taramasında ssh ve web servisinin açık olduğunu görüyoruz.
# Nmap 7.80 scan initiated Thu Oct 1 18:37:03 2020 as: nmap -A -p- -o nmap 192.168.1.24
Nmap scan report for 192.168.1.24
Host is up (0.00012s latency).
Not shown: 65533 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 d2:ac:73:4c:17:ec:6a:82:79:87:5a:f9:22:d4:12:cb (RSA)
| 256 9c:d5:f3:2c:e2:d0:06:cc:8c:15:5a:5a:81:5b:03:3d (ECDSA)
|_ 256 ab:67:56:69:27:ea:3e:3b:33:73:32:f8:ff:2e:1f:20 (ED25519)
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
|_http-generator: WordPress 4.9.8
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Example site – Just another WordPress site
MAC Address: 08:00:27:CC:54:C9 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 0.12 ms 192.168.1.24
Dirb ile dizinleri taradığımda wordpress yüklü olduğu ve ipdata dizini olduğunu görüyorum.
İpdata dizinine gittiğimde analyze.cap dosyası buluyorum.
Bu dosyayı indirip wireshark ile incelediğimde karşıma kullanıcının giriş bilgileri çıkıyor.
username : webdeveloper
password : Te5eQg&4sBS!Yr$)wf%(DcAd
Bu bilgileri kullanıp wordpress’in admin paneline erişiyorum.Plugin kısmında akismet isimli pluginin akismet.php dosyasını reverse shell almak üzere düzenliyorum.Reverse shell için /usr/share/webshells/php/php-reverse-shell.php dosyasını kullanıyorum ve kendime göre ayarlıyorum.
Netcat ile 1337.portu dinlemeye aldıktan sonra http://192.168.1.24/wp-content/plugins/akismet/akismet.php adresine gidip düzenlediğim php dosyasını çalıştırıyorum. /var/www/html dizini altında bulunan wp-config.php dosyasını okuduğumda veritabanı kullanıcı adı ve parolasını elde ediyorum.
Bulduğum bu bilgileri kullanarak ssh bağlantısı yapabiliyorum.Sudo ile hangi programları çalıştırabileceğime baktığımda tcpdump’ı root yetkileriyle çalıştırabileceğimi görüyorum.
Tcpdump ile nasıl yetki yükseltebileceğimi herzamanki gibi şu adresten araştırıp öğreniyorum. https://gtfobins.github.io/gtfobins/tcpdump/
İlk başta reverse shell almamı sağlayan akismet.php dosyasını tekrar kullanıyorum. Gerekli yetkiyi verdikten sonra tcpdump ile arkada 1337.portu dinleyen netcat’e tekrar root olarak bağlanıyorum ve son olarak /root dizini altında bulunan flag.txt’yi okuyup bu makinenin çözümünü bitiriyorum.
Sağlıcakla kalın ..