SickOs: 1.1 Writeup

SickOs 1.1 adlı zafiyetli makinemizin ip adresini bularak işe koyulalım.

netdiscover aracını kullanarak hedef ip adresini bulalım.

netdiscover

Zafiyetli ip adresimizi bulduktan sonra üzerinde çalışan servislere bir bakalım, nmap taraması ile daha fazla bilgi edinelim.

nmap

Tarama sonucunda ise resimde görüldüğü üzere 22 ve 3128 nolu portların açık olduğunu görüyoruz.

nmap taraması

3128. portta çalışan servisin hakkında biraz araştırma yapalım. “Squid http proxy” üzerine araştırmalar sonucunda metasploit içinde bir yardımcı modülün bulunduğunu, bu modül ile proxy üzerinden çalışan servisleri tespit edebileceğimizi öğrendik.

https://www.rapid7.com/db/modules/auxiliary/scanner/http/squid_pivot_scanning

squid-proxy

“use auxiliary/scanner/http/squid_pivot_scanning” komutu ile yardımcı modülü seçtik. “show options” ile ayarlarına bir bakalım. Gerekli parametreleri veriyoruz. RANGE, RPORT ve RHOSTS.

squid-scan

Gerekli ayarlamaları yaptıktan sonra “run” komutu ile modülü çalıştırıyoruz. 80. portun açık olduğu bilgisini öğrendik. Ama tarayıcı üzerinden erişemiyoruz. Proxy ayarlarını yapmamız gerekiyor.

squid-scan

Proxy üzerinden erişim sağlayarak sayfayı görüntülüyoruz.

site

 

Nikto ile tarama yapalım. Ancak tarama yapmamız için “–useproxy” parametresi ile proxy’i vermemiz gerekiyor.

nikto

Nikto tarama sonucunda “.bash_history” dosyanın okunabildiğini ve shellshock zafiyetinin olduğunu söylüyor.

dirb aracı ile birde dizinleri tarayalım.

dirb

dirb aracını kullanırken “-p” parametresi ile proxy’i veriyoruz.

robots.txt dosyasına bir göz atalım.

robots-txt

/wolfcms dizinine geçelim. Karşımızda bir wolfcms altyapısını kullanan bir site geliyor. İnternette ufak bir araştırma ile admin paneline giriş yolunun “?admin” olduğunu bulunuyoruz.

wolfcms

username olarak “admin” ve password olarakta “admin” yazarak giriş yapmayı deniyoruz.

admin-panel

Sayfada biraz dolaştıktan sonra “Files” menüsü altında dosya yükleyebileceğimiz bir yer ile karşılaşıyoruz.

upload-file

Msfvenom aracı ile shell oluşturup atmayı deneyelim.

msfvenom

Oluşturduğumuz reverse shell’i siteye yükleyelim. Ardından metasploit ile dinleme moduna geçelim.

multi-handler

Bunun için “multi/handler’i” kullanacağız. paylad olarak ise “php/meterpreter/reverse_tcp” kullandık.

meterpreter

Dinleme moduna geçtikten sonra yüklediğimiz shell’i görüntüleyince meterpreter oturumuna düşünüyoruz.

shell

“shell” komutu ile shell’e düşelim. config.php dosyasını okuyalım.

config-php

config.php dosyasında username ve password bilgilerini bir yere kaydedip devam edelim. “etc/passwd” dosyasınıda okuyalim.

passwd

“sickos” adlı bir kullanıcının olduğunu görüyoruz. Nmap taraması sonucundan ssh servisinin açık olduğunu biliyoruz. ssh ile bağlantı kurmaya çalışalım. config.php dosyasından elde ettiğimiz bilgiler ile giriş yapmaya çalıştığımızda bağlantı kuramıyoruz.

Passwd dosyasında sickos adlı bir kullanıcı olduğunu görmüştük. Sickos kullanıcı ile bağlanmaya çalışalım birde.

parola olarak john@123 deneyelim.

ssh

sickos kullanıcı ile ssh bağlantısı gerçekleştirdik. “sudo su” ile root kullanıcısına geçiş yaptık. Açıklamada flag saklandığı yazıyordu. Root kullanıcısının dizininden flagı görüntülüyoruz.

root

Sanal makineyi bu adresten indirebilirsiniz.

https://www.vulnhub.com/entry/sickos-11,132/

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir