TryHackMe/Bebop, Brooklyn99 , Root me

Bugün sizlere başlangıç düzeyinde olan üç odanın çözümünü yapacağım bu odaları seçmemin nedeni yeni başlayan arkadaşlar için daha yararlı olacaklarını düşünmem. İlk olarak bizi çok uğraştırmayacak bir oda olan Bebop odasından başlayalım.

Bebop

nmap -A -T4 10.10.255.118

Nmap çıktısını incelediğimizde 23 portunda açık bir telnet servisi olduğunu görüyoruz. Odanın başında bize kullanıcı adımızın “pilot” olduğu verildi. Biz de bu bilgiyi kullanacağız telnet portuna pilot adını girdiğimizde bizden şifre isteyip istemediğine bakacağız ama öncelikle;

Telnet Nedir?

Telnet kelimesinin açılımı “Telecommunication Network” iletişim ağı anlamına gelir temel olarak internet ağına bağlı bir cihaza uzaktan erişmemize ve içinde komut çalıştırmamıza olanak sağlar. Telnet protokolünde veriler şifrelenmez . Yani güvenli bir yazılım olduğunu söyleyemeyiz. Herhangi biri ağınıza girip verilerinizi elde edebilir ve telnet kullanıcılarınızı daha sonra Dos(Denial of service) saldırılarında kullanmak için zombi bilgisayara çevirebilir.

Telnet 10.10.255.118

“Pilot” kullanıcı adıyla bağlantı kurduğumuzda bizden herhangi bir şifre istemiyor. Çok rahat bir şekilde sisteme girebiliyoruz.

[pilot@freebsd~]$ cat user.txt

THM{*******************}

Root olarak kullanabildiğimiz komutla yetki yükseltme yapmak için;

“sudo -l” komutunu kullanıp “busybox” isimli komutu görüyoruz.

Brooklyn99

Bu odanın iki farklı çözümü bulunmakta.

Çözüm1

nmap -A -T4 10.10.213.62

Nmap sonucundan yola çıkarak anonymous ftp bağlantısı yapıyoruz.

ftp 10.10.213.62

note_to_jake.txt dosyasını okumak için kendi bilgisayarımıza çekip okuyoruz.

cat note_to_jake.txt

From Amy,

Jake please change your password. It is too weak and holt will be mad if someone hacks into the nine nine”

Dosyanın çıktısından yola çıkarak “jake” kullanıcısının şifresini bulmak için brute-force yapmak için “hydra” aracını kullanıyoruz.

hydra -l jake -P /usr/share/wordlists/rockyou.txt -u 10.10.213.62 ssh

ssh bağlantısı yapıp user.txt’yi aratıyoruz.

jake@brookly_nine_nine:~$ cat /home/holt/user.txt
e*****************************

Ardından root olarak kullanabildiğimiz komutların neler olduğuna bakıyoruz.

“less” komutu ile ise root.txt dosyasını okuyup root flagini alıyoruz.

— Creator : Fsociety2006 —
Congratulations in rooting Brooklyn Nine Nine
Here is the flag: ****************************5

Enjoy!!

Çözüm 2

Makinenin web sitesine giriyoruz .

Sitenin kodlarını incelediğimizde yorum satırı arasında bir not görüyoruz.

“Stenography diye bir şey duydun mu hiç?”

Fotoğrafı indirip stegcracker aracını kullanarak resimin içinde herhangi bir data var mı diye bakıyorum.

stegcracker brooklyn99.jpg

Bu bilgileri kullanarak makineye ssh bağlantısı yapıyoruz ve holt kullanıcısının root.txt ve user.txt okuma izni bulunduğu için herhangi bir yetki yükseltme yapmamıza gerek kalmıyor.

Root me

Makineye yine nmap taraması yaparak başlıyoruz.

nmap -A -T4 10.10.9.125

PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0) < Port 22 de çalışan servis(2.3)
| ssh-hostkey:
| 2048 4a:b9:16:08:84:c2:54:48:ba:5c:fd:3f:22:5f:22:14 (RSA)
| 256 a9:a6:86:e8:ec:96:c3:f0:03:cd:16:d5:49:73:d0:82 (ECDSA)
|_ 256 22:f6:b5:a6:54:d9:78:7c:26:03:5a:95:f3:f9:df:cd (ED25519)
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
| http-cookie-flags:
| /:
| PHPSESSID:
|_ httponly flag not set
|_http-server-header: Apache/2.4.29 (Ubuntu) < Apache versiyonu(2.2)
|_http-title: HackIT – Home

Ardından gobuster ile diğer dizinleri tarıyoruz.

“/panel” dizinine gittiğimde dosya yükleyebildiğimiz bir alan bulunduğunu görüyoruz.

Php reverse shell yüklemeyi deniyoruz ama .php uzantısını kabul etmiyor.

“.php”

Bu sefer de uzantıyı php5 olarak değiştiriyoruz ve bu şekilde yüklemeyi deniyoruz.

nc -lvnp 1234

Bağlantıyı sağlayıp user.txt dosyasını okuduktan sonra suid izni etkin olan dosyaları arıyoruz.

find / -user root -perm /4000 2>dev/null

python komutunun suid izni olduğunu görüyoruz ve python komutu ile yetki yükseltmesi yapıp root.txt dosyasını okuyoruz.

Ve makine çözümlerimiz bu yazı için bu kadar. Kendinize iyi bakın…

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir