Bu çalışmada zafiyetli sickos makinesinin 1. versiyonunu ele aldım. Keyifli okumalar..
netdiscover ile ağda ki aktif cihazları taratıp sickos1.1 makinesinin ip adresini tespit etmeyle başladım.
Daha sonra bir nmap taramasıyla açık portların tespitini yaptım.
Sistemde 22 numaralı ssh portu ve 3128 numaralı bir http Proxy sunucusu açık. Tarayıcıdan http://192.168.216.142:3128 adresine gittiğimde çalışmadı. Firefox üzerinden proxy ayarlarını ip adresini 192.168.216.142 ve port numarasını 3128 olacak şekilde ayarladım.
1 ve 2 ile biten ip adresleri genelde modem, NAT Device vb. şeylere verilen ip adreslerdir. Aynı ağ üzerinde olduğu için ya 130 ya da 254 le biten ip adresi kevgir makinesine aittir.
Daha sonra sayfaya erişim sağladığımda boş dönmedi ve böyle bir ekranla karşılaştım.
Ardından bir dirb taraması gerçekleştirdim. Tabi burada Proxy sunucusu mevcut olduğu için port numarasını özellikle belirtmekte fayda var.
Çıkan her sonuç tek tek denendiğinde kayda değer tek şeyin robots.txt dizini olduğu görülecektir.
robots.txt dizinine gittiğimde karşıma bir wolfcms adlı dizin çıktı ve hemen bu adrese gittim.
wolfcms adlı bu sayfa için kısa bir araştırma yapıp github üzerinde arattığımda wolfcms ile alakalı birkaç dosyanın mevcut olduğunu farkettim. Bunlar alt dizinler olabilir düşüncesiyle adres üzerinde denedim.
About us adlı bu sayfayı görüntülemem tarayıcı üzerinde deneyeceğim adresi doğru şekilde girmemi sağladı diyebilirim.
Dikkat edilmesi gereken bir şey söz konusuydu. Adres wolfcms/?about-us.html şeklindeydi. Bu nedenle ilgili github sayfasında admin sayfasına gittiğimde bir login paneli mevcuttu. Oturum açabilmek için burp süite üzerinde bir brute force saldırısı gerçekleştirdim.
Kullanıcı adını user ve parolayı 1234 girdim ve araç üzerinde Send to intruder deyip isteği inceledim.
Son satırda girmiş olduğum değerleri $kullanici$ ve $parola$ olarak belirtip en son kısmı dolar($) tagları arasından çıkarttım.
Ardından payloads bölümünde atak için deneyeceğim wordlistleri belirtip atağı başlattım.
Girilen kullanıcı adlarıyla parolalardan herhangi ikisi eşleştiği takdirde atak başarıyla sonuçlanacaktır. Güçlü bir wordlist kullanıldığı takdirde cevab admin:admin olarak dönecektir.
Giriş bilgileriyle oturum açtıktan sonra files > upload file sayfasında browse edip ardından sayfaya dosya yükleyebilmemize olanak tanıyan bir alan mevcut.
Masaüstüne msfvenom ile önce kullanacağım portu belirterek shell.php adlı bir payload dosyası oluşturdum. Burada LHOST değerine kendi ip adresimizi LPORT değerine ise bağlantı kuracağımız portu belirttim.
Payload dosyamızı upload edip sisteme yerleştirdikten sonra /wolfcms/public/ dizini altındaki dosyalara göz atıp dosyanın mevcut olup olmadığını kontrolünü sağladım.
Dosya mevcut. Msfconsole üzerinde exploit/multi/handler modülünü kullanacağımı belirtip gerekli ayarları yaptıktan sonra yapacağım tek şey shell.php dosyasını açmak olacaktır.
Dosyaya tıklanıldığı takdirde bağlantı kurulmuş meterpreter oturumu açılmış olacaktır.
Hemen bir shell alıp ardından çalıştıracağımız komutlara etkileşim alabilmek için python komut satırını kullandım. Sistemi neler mevcut biraz kurcaladığımda, config.php dosyasını mevcut olduğunu farkettim. İçinde işime yarayabilecek bilgiler var mı diye görüntülediğimde veritabanı bilgilerini elde ettim.
Bu bilgiler sistemde ki kullanıcılardan herhangi birine ait olabilir. Özellikle de home dizini altında ki asıl kullanıcı için. Bu nedenle sistemdeki kullanıcıları öğrendim.
Ve bahsettiğim gibi home dizini altındaki kullanıcı sickos. Elde ettiğim şifre bilgisini bu sickos kullanıcısına geçmek için kullandım ve başarılı oldu. Tabi sınırlı yetkiler dahilinde kurcalamak istemeyiz. Bunun için root olmalıyız ve root olmak için de aynı parolayı denediğimizde doğrulandığını göreceğiz.
Sistemde root oldum, artık sınırsız yetkiye sahibim. Son olarak root dizininde mevcut txt dosyasını görüntülediğimde başarıyla root olduğumu bildiren bir yazıyla makinenin çözümünü tamamlamış oldum.
Sistemde ssh portu açıktı. Sickos kullanıcısıyla bir bağlantı kurabilir ve bağlantı sonrası daha önce sayfamda bahsettiğim diğer ctf çözümlerinde olduğu gibi root olabiliriz.
