Öncelikle hepinize selamlar arkadaşlar. Yeni bir makine çözümüyle karşınızdayım. Uzun süreden sonra yazı yazmamdan dolayı oluşabilecek hataları lütfen affediniz :D. Makinemizin adı Horizontall, bu makine Hackthebox üzerinde bulunuyor. Gelelim makine çözümüne.
USER FLAG
Tüm bağlantı işlemlerini hallettikten sonra makinemizin ip adresine nmap ile bir tarama yapıyorum.
Nmap taramasında da görüldüğü üzere iki adet port açık gözüküyor. SSH portuyla şu anlık bir işimiz yok. Gelelim http portuna. Hemen bir tarayıcı açarak web servisinin üzerinde ne olduğuna bakalım.
Server Not Found şeklinde bir hata aldık. Bunu sebebi ise ip adresinin bir alan adına yönlendirmesi. İp adresini bu alan adıyla beraber aşağıdaki resimde olduğu gibi /etc/hosts dosyasına ekleyerek bu durumdan kurtulalım.
3. satırdaki gibi alan adını ekledikten sonra tarayıcıya horizontall.htb yazarak sitemize erişim sağlayalım.
Siteye giriş yaptıktan sonra hiçbir şey bulamadık bir de kaynak koduna bakmayı deneyelim. Kaynak kodunda bazı js dosyaları bulunuyor. Bu dosyaların birinde fotoğrafta da göründüğü üzere api-prod.horizontall.htb adlı bir adres var.
Hemen bu alan adını da ekliyorum hosts dosyasına ve giriş yapmayı deniyorum.
Ve buraya da erişim sağlayabildik. Bundan sonrasında ise dirbuster ile tarama yapabiliriz fakat öncelikle elle /admin dizini var mı diye kontrol ediyorum. Tam tahmin ettiğim gibi arkada çalışan yazılımın adını öğrenmiş olduk.
Arkada çalışan yazılım strapi ancak hala versiyonunu bilmiyoruz bunu öğrenmek için dirbuster taraması yapalım. Taramanın sonucunda /admin/init diye bir dizin karşımıza çıktı. Burada strapi’nin versiyonunu açık bir şekilde görebiliyoruz.
Elimizdeki versiyon 3.0.0-beta-17.4. Hemen bir exploit var mı diye kontrol ediyoruz ve evet bu versiyonla ilgili bir rce exploiti mevcut. Exploitin adresi: https://www.exploit-db.com/exploits/50239
Bu exploiti kullanarak hemen bir nc bağlantısı deneyelim ve evet artık Shell alabildik. Hemen user.txt yi okuyalım flag’i öğrenelim.
User kısmı bu kadardı gelelim root kısmına.
ROOT FLAG
Root flag için birkaç bir şey denedikten sonra bir de local portları kotnrol etmek istedim ve “netstat –tulpn” komutuyla aktif portlara baktım.
İmleçle belirttiğim yerde gördüğünüz üzere 8000 portunda çalışan bir servis daha var hemen “curl 127.0.0.1:8000” komutuyla bir istek atalım ve yanıtı kontrol edelim.
Bu serviste Laravel v8 (PHP v7.4.18) çalışıyormuş. İlgili versionu girerek exploit kontrolü yaptıktan sonra karşıma bir sürü exploit geldi. Ancak ben aralarından birini seçtim ve onu da buraya ekliyorum. Exploit adresi: https://github.com/nth347/CVE-2021-3129_exploit
Hemen bu exploiti uzak makinaya çekiyorum. Sonrasında exploitin nasıl çalıştırılacağına bakıyorum.
Evet usage kısmında gördüğünüz gibi exploiti çalıştıracağım. Bu exploit bizim komut çalıştırmamızı sağlıyor. Ben hiç uzatmadan “cat /root/root.txt” komutunu çalıştırıyorum ve bingo root flagini de okumuş olduk.
Yazım buraya kadardı değerli arkadaşlar. Böylelikle Horizontall makinesini de çözmüş olduk. Hatam olduysa affola. Hepinize iyi çalışmalar.