HackTheBox OpenAdmin Writeup (Türkçe)

-
  Herkese merhabalar, uzuuunca bir süredir herhangi bir şey yazmıyordum ancak HackTheBox daki makinelerin writeuplarını yazmaya karar verdim. Makineler emekli oldukça eğer o makineyi çözmüş isem çözümünü Türkçe olarak yayınlamaya çalışacağım. Neyse fazla boş yapmadan makinenin çözümüne geçelim. OpenAdmin benim Hackthebox üzerinde çözdüğüm ilk makine, kendisi 20 puanlık mütevazı puanı ile Easy kategorisinde bulunmakta.

  İlk oarak her zamanki gibi nmap taramasıyla başlıyoruz.

    Hackthebox üzerinde makinelerin nmap taramaları genellikle uzun zamanlar alıyor, belki de bende vip olmadığı için vs olabilir bilmiyorum ama ben genelde önce ilk 1000 port için tarama yapıyorum. Çıkan sonuçlara bakarken de tüm portlar için tarama yapıyorum.

  Çıkan sonuçlara baktığımızda top 1000 portta sadece 22 ve 80 numaralı portlar açık. Şu an elimizde herhangi bir username ve password olmadığı için 22 portunda çalışan ssh servisini bi kenara bırakıp 80 portuna bakıyoruz.
Dirb ile tarama yaptığımızda işe yarar bir şey bulamadım ancak makine ismi ile arama yapınca open net admin cms olabileceğini düşünerek deneme yapıyoruz.(gobusterda one directory çıkıyormuş)


  "ona" için tarayıcıdan bakınca bizi bu sayfa karşılıyor. Login vs olamadığım için versiyon bilgisinden faydalanıp hemen bi exploit arıyoruz.Bu versiyon için arama yaptığımızda https://www.exploit-db.com/exploits/47691 exploitini buluyoruz.

  Bu exploiti makinemize indirip çalıştırıyoruz ancak dosya windows ortamında hazırlanmış olsa gerek ki bize \r lerden dolayı hata veriyor.
(yav niye hata veriyor acaba diye düşünenler için buyrun: https://en.wikipedia.org/wiki/Newline
https://stackoverflow.com/questions/1552749/difference-between-cr-lf-lf-and-cr-line-break-types )



  Dosyadaki \r lerden arınmak için dos2unix ile dosyamızı unix formatına dönüştüryoruz ve çalıştırıyoruz.


  Ve pek de işlevleri olmayan bir shell bizi karşılıyor, cd komutu çalışmıyor, ls ve grep komutları çalışıyor. Shell geldikten sonra dosyalarda dolanarak işe yarar bi şey var mıdır diye bakınıyoruz. (Bu makine ilk makinem olduğu için Linpeas vs bilmiyordum o yüzden enum manuel yapıldı :D)
  Bir arkadaş tavsiyesi üzerinde grep komutunu kullanarak dosyalarda "pass, db_pass, password" stringleri var mı diye bakınıyoruz ve işe yarar bir database şifresi buluyoruz.
grep -Ri db_pass

.
.
db_passwd = n1nj4W4rri0R!
-R ve -i nin ne işe yaradığını görmek için : https://linux.die.net/man/1/grep


  Ama bu passwordu kullanmak için usernameler lazım. ls ../../../home şeklinde bir komutla
kullanıcıları listeliyoruz. Jimmy ve joanna isminde iki kullanıcımız var.
İkisi için de ssh deniyoruz ve jimmy ile login oluyoruz.



  Ardından joanna ile ilgili şeyler bulmamız lazım. Aynı grep komutu ile directorylerde arama yapıyoruz ve elimize önemli iki dosya geçiyor.



  Dosyaların içeriklerine bakalım.


  Main.php ye istek attığımızda bize id_rsa dönen bir komut çalışıyormuş(Ben öyle anlamıştım yani :D). Ayrıca ninja şifresini de unutmayın diyor. Başta bulduğumuz ninjawarrior tarzındaki şifreden bahsediyor. Diğer dosyaya bakalım.


  Bu dosyada da üst dosyadaki içeriği DocumentRoot olarak ayarlanmış bir konfigürasyon dosyası var. Orada da localhostun 52846 portunu dinlemekten bahsetmiş.
Hemen curl ile istek atıyoruz ve id_rsa dönüyo :)


  Çıkan bu id_rsa I kırarak bir şifre almamız lazım. Önce bu keyi kaydedip ssh2john ile john’un kırabileceği formata dönüştürüyoruz.


  Şifre “bloodninjas” mış. Ssh ile joanna için bağlanmayı deniyoruz.


USER GG!

  Root almak için ilk aklımıza gelen “sudo -l” komutunu kullanarak şifre olmadan root yetkisiyle neler yapabileceğimize bakıyoruz.


  https://gtfobins.github.io/gtfobins/nano/ adresinden de bunu nasıl kullanacağımızı öğreniyoruz.(Baya güzel site, tavsiye edilir :))
sudo /bin/nano /opt/priv
ctrl+r
ctrl+x
Yukarıdaki adımları uygulayarak nano da komut çalıştıracağız.


  Gelen satırda
reset; sh 1>&0 2>&0
inputunu veriyoruz ve root olarak shell geliyo :)


ROOT GG!

  Umarım anlaşılır ve faydalı bir yazı olmuştur. HTB ye başladığım zamanlarda bana makine çözümlerinde yardımcı olan noi ye buradan teşekkürler. Bir sonraki writeupta görüşmek üzere...(İşlemler tecrübesizlikten dolayı biraz körlemesine ilerlemiş olabilir, official writeupı da okumanızı tavsiye ederim :D)


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

rgbCTF Writeup(Rev/Pwn)

-
Resim
  Hello everyone, i'm sh4d0wless and here is my writeup for some challenges in rgbCTF 2020. I joined this ctf for our ctf team Hex2Text( https://ctftime.org/team/84925 )Sorry for my really bad english :) Too Slow(Pwn/Rev) I've made this flag decryptor! It's super secure, but it runs a little slow.  Check given binary with file command. file a.out a.out: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, BuildID[sha1]=462dfe207acdfe1da2133cac6b69b45de5169ee2, for GNU/Linux 3.2.0, not stripped İts 64 bit ELF binary. Lets run it When we run it, it says generating key but dont return anything :/ Yes, its "Too Slow" but we don't want to wait. Lets check the binary in ghidra. İn main function, it prints something and get key to uVar1 variable and run "win" function with this value. İn getKey function (i rename the variable names as i and x), it start a while loops with i=0 value and make the first loop contin
Devamı

Overthewire Bandit Çözümleri

-
Resim
  Herkese merhabalar bu yazıda siber güvenlik alanına yeni başlayanlara linux terminalindeki komutlar hakkında alıştırma olması amacıyla hazırlanan bandit serisinin çözümlerini anlatmaya çalışacağım.(Not: Makinelerden aldığımız keyleri sıradaki makineye bağlanırken ssh parolası olarak kullanıyoruz.) Bandit0   İlk aşamada bize ssh ile sunuculara bağlanmayı öğretiyor. Bandit 0 -> 1   Bu aşamada keyi bulmamız için bize readme dosyasına bakmamız söylenmiş. ls komutu ile bulunduğumuz directorydeki dosyaları listeleyip keyi alıyoruz. Bandit 1 -> 2  Bağlandıktan sonra ls komutu ile baktığımızda bize " - "(kısa çizgi) isminde bir dosya olduğunu gösteriyor. Böyle isimlendirilen dosyaları  cat komutu ile direkt olarak açamıyoruz, dosyanın pathini yani lokasyonunu vererek açabiliyoruz. Bandit 2 -> 3   Bu aşamada bize isminde boşluk karakteri olan dosyayı okumamızı istiyor. Dosyanın ilk harflerini yazıp tab'a basarak tamamlayınca key geliyor. Ba
Devamı