Vulnhub Mr.Robot Walkthrough

-


  Herkese merhabalar, bu yazıda ilk defa bol bol yardım alarak da olsa çözdüğüm zaafiyetli makine olan Mr.robot'un çözümünü dilim döndüğünce anlatmaya çalışacağım.Şimdiden söyleyeyim, siber güvenlik alanında yeni olduğumdan dolayı yanlış yerler veya terimler görürseniz bana yorumlarda filan yazarsanız iyi olur ki ben de yanlışları tekrar etmemeye çalışayım :) Neyse yavaştan başlayalım.

 Öncelikle bu zaafiyetli makineyi https://www.vulnhub.com/entry/mr-robot-1,151/ adresinden ova dosyası olarak indirip virtualbox, vmware gibi bir sanallaştırma ortamına kuruyosunuz. Ben virtualbox üzerinden yaptım. Ardından saldırı yaparken kullanacağınız makine ile aynı networkte olması için network ayarlarını ayarlıyoruz(ben saldırı olarak kali kullandım). Makineleri nat networke alarak ikisini aynı ağda kullanmayı tercih ettim.

  Öncelikle bu makineye saldırmak için ip adresini öğrenmemiz lazım. Bunun için ben kendi makinemin bulunduğu ip aralığında nmap taraması yaparak ip adresini buldum.

 Ardından makinede çalışan servisleri ve versiyonlarını öğrenmek için -sV ile bi tarama daha yaptım. Aslında bunu tek tarama ile yapmak daha mantıklı tabii.


  Burada ilk gözüme çarpan 80 portu oldu. Hemen ne var ne yok diye tarayıcıdan gittim baktım. Karşıma bi tane terminal ekranı benzeri bir sayfa çıktı. Burada tanımlı komutları vs. yazıyo ekranda. Biraz kurcaladım ama bir şey çıkmadı. Ben de dirb ile siteye tarama yaptım nereler varmış bir bakalım diye.


Dirb bana uzuuuunca bir liste çıkardı ve burada dikkatimi çeken 2 nokta oldu. İlk olarak robots.txt dosyası vardı.Ayrıca wp-admin.php ve benzeri wordpress sayfaları bulunuyordu. Önce tabii ki robots.txt ye baktım ve bizi 2 tane dosya karşıladı.



 Bu dosyaları curl kullanarak alıp içlerine baktım.

   Evet birinci anahtarımızı bu şekilde almış olduk. Ayrıca yanında da bir wordlist dosyası çıktı. Bu wordlisti açınca farkettim ki bazı kelimeler tekrar tekrar  yazılmış ve tam 800 küsür bin satır var dosyada (wow!). Hemen bu satırları temizledim.

sort liste.txt | uniq > liste2.txt

  Bunu nasıl veya nerede kullanacağımı düşünürken wordpressden admin paneline girmeyi düşündüm. Daha önce hiç bu tarz bir şey denemediğim için internette araştırdım biraz ve wpscan kullanmam gerektiğini anladım. Farklı yöntemleri de vardır elbette ama en çok bu araç kullanılıyor sanırım.
   İşte benim için dananın kuyruğu burada koptu diyebilirim çünkü bu aracı ilk defa kullanıyor olmam ve internette baktığım örneklerde de hep eski versiyondaki parametrelerin verilmesinden dolayı (ayrıca nasıl yaptığımı bilmeden aracı silip tekrar yükleyemeyince sıfırdan kali kurdum :D ) rahat bi 4 saat filan bununla uğraşmışımdır. (Bir toolu kullanmayı beceremiyosan help komutunu kullanacaksın, bunu öğrenmiş olduk geç de olsa) Dedim madem bu eleman çalışmayacak, nasıl olsa burp suite var onunla koyarım intrudera kendisi patlatır şifreyi diye düşündüm. (Bu arada kullanıcı adı "elliot" idi. Zaten diziyi izleyen veya kulak aşinalığı olanlar bilir karakterin elliot olduğunu, deneme yanılma ile bulundu kullanıcı adı da. ) Koydum burpsuite intrudera, ben oyalanırken bulur dedim ancak nerdeyse 1.5 saat sonunda 500 tane deneme yapmıştı. Böyle giderse kaç gün sürer bu diyerek tekrar wpscan ile ilgili araştırma yaptım ve sonunda doğru parametreler ile sonuç elde edebildim.



wpscan denen bu pek maharetli tool burpun deneye deneye bitiremediği listenin yarısında şifreyi buldu ve bu neredeyse 2.5 dk civarı sürdü.Şifremiz ER28-0652 imiş. Bunu hemen admin panelimize yazıp giriş yapıyoruz.


  Eskiden okuduğum blok yazılarından vs. aklımda kaldığı için php dosyası ile reverse shell alınabiliyordu diye hatırladım. İnternette bakınca https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php adresinden  php dosyasındaki kodları kopyaladım. Ardından bunları siteye upload etmemiz lazım, bunu yaparken de sol taraftaki menüden appearance kısmından editöre geliyoruz ve sağ tarafta istediğimiz bir php sayfasını editleyip kopyaladığımız kodlarımızı yapıştırıp kaydediyoruz. Bu arada aldığımız kodda ip ve port bölümünü kendi ip adresimiz ve dinlemek istediğimiz port ile değiştirmeyi unutmamamız lazım. Ben 6000 portu üzerinden dinledim. Şimdi bu sayfayı kaydettikten sonra kali makinemizde netcat ile 6000 portunu dinlemeye başlıyoruz.


  Dinlemeye başladıktan sonra tarayıcımızdan 404.php sayfasına gidiyoruz ve bize reverse bağlantı geliyor.Şimdi bizim 3 anahtarımız vardı ve ilkini bulmuştuk. Oradaki isimlendirmeyi hatırlarsanız key-1-of-3.txt ismindeydi. O zaman sonraki anahtar da key-2-of-3.txt olacaktır diye düşünüp arama yapıyorum ancak bulunan dosyaya okuma iznim yok.


 
  Ayrıca bu dosyanın bulunduğu dizinde bir adet de md5 hash bulunduran bir dosya var. Bu hashi bir online tool ile decode edip buluyorum.Bu muhtemelen robot kullanıcısının şifresi fakat kullanıcı geçişi yapmak için terminalde olmam gerekiyor. Burada da google amcaya başvurup python ile geçiş yapmak için yazılan kodu buluyorum ve geçiş yapıp robot kullanıcısını alıyorum.


 İkinci anahtarı da bu şekilde alıyoruz ve ardından 3. anahtarı almamız gerekiyor. Açık söylemek gerekirse burada benim bilgi seviyem yetmedi ama internetten bakarak bir kaç şey denedim ve erişebileceğimiz yerleri servisleri listelediğini düşündüğüm (evet kullanırken ne yaptığını pek anlamamıştım :D) ve denediğim komut ile sistemde nmap olduğunu gördüm.


 Önceden okuduğum bi writeupda nmap'in bazı sürümlerinde root olmayı sağlayan açık olduğunu okumuştum ve hemen internetten bunun ne olduğuna bakıp denedim.


 Ve işte 3. key de geldii :)

   Umarım işe yarar bir yazı olmuştur.Başta da yazdığım gibi pek tecrübeli değilim bu yüzden bol bol internetten bakıp yaptım denebilir ancak bana faydası olduğu kesin. Yazım yanlışı vs. olduysa affola. Bir sonraki yazıda görüşmek üzere, hoşçakalın.




Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

rgbCTF Writeup(Rev/Pwn)

-
Resim
  Hello everyone, i'm sh4d0wless and here is my writeup for some challenges in rgbCTF 2020. I joined this ctf for our ctf team Hex2Text( https://ctftime.org/team/84925 )Sorry for my really bad english :) Too Slow(Pwn/Rev) I've made this flag decryptor! It's super secure, but it runs a little slow.  Check given binary with file command. file a.out a.out: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, BuildID[sha1]=462dfe207acdfe1da2133cac6b69b45de5169ee2, for GNU/Linux 3.2.0, not stripped İts 64 bit ELF binary. Lets run it When we run it, it says generating key but dont return anything :/ Yes, its "Too Slow" but we don't want to wait. Lets check the binary in ghidra. İn main function, it prints something and get key to uVar1 variable and run "win" function with this value. İn getKey function (i rename the variable names as i and x), it start a while loops with i=0 value and make the first loop contin
Devamı

Overthewire Bandit Çözümleri

-
Resim
  Herkese merhabalar bu yazıda siber güvenlik alanına yeni başlayanlara linux terminalindeki komutlar hakkında alıştırma olması amacıyla hazırlanan bandit serisinin çözümlerini anlatmaya çalışacağım.(Not: Makinelerden aldığımız keyleri sıradaki makineye bağlanırken ssh parolası olarak kullanıyoruz.) Bandit0   İlk aşamada bize ssh ile sunuculara bağlanmayı öğretiyor. Bandit 0 -> 1   Bu aşamada keyi bulmamız için bize readme dosyasına bakmamız söylenmiş. ls komutu ile bulunduğumuz directorydeki dosyaları listeleyip keyi alıyoruz. Bandit 1 -> 2  Bağlandıktan sonra ls komutu ile baktığımızda bize " - "(kısa çizgi) isminde bir dosya olduğunu gösteriyor. Böyle isimlendirilen dosyaları  cat komutu ile direkt olarak açamıyoruz, dosyanın pathini yani lokasyonunu vererek açabiliyoruz. Bandit 2 -> 3   Bu aşamada bize isminde boşluk karakteri olan dosyayı okumamızı istiyor. Dosyanın ilk harflerini yazıp tab'a basarak tamamlayınca key geliyor. Ba
Devamı