Boot2Root: Stapler

OSCP labından sonra elimi attığım ilk makina Stapler oldu. g0tm1k tarafından yapılmış Stapler, OSCP gibi bir sertifika almayı düşünen herkesin Kioptrix serisinden sonra özellikle çözmesi gereken bir makina.

Netdiscover ile Stapler’ın IP adresini buluyor ve nmap ile servislerini tarıyoruz:

Screen Shot 2017-11-01 at 20.42.20Screen Shot 2017-11-01 at 20.42.40

FTP servisinde guest login açık, anonymous ile giriş yapabiliyoruz. FTP içerisinde karşımıza bir not çıkıyor:

Screen Shot 2017-11-01 at 20.44.45

Screen Shot 2017-11-01 at 20.44.54

Elly ve John isminde iki adet FTP kullanıcısı bulmuş olduk.

enum4linux ile SMB servisini incelediğimizde karşımıza bazı paylaşımlar çıkıyor.

Screen Shot 2017-11-01 at 20.47.06.png

Bu paylaşımlar içerisine baktığımızda kathy adında bir paylaşım görüyoruz. Backup adı altında yedeklenmiş dosyalar içerisinde wordpress4 ve vsftpd.config dosyaları bulunuyor. Vsftpd.config dosyasını incelediğimizde ilginç bir ayarla karşılaşıyoruz:

Screen Shot 2017-11-01 at 20.47.18.png

FTP kullanıcıları /etc dizinine erişebiliyor! Elly ya da John’un FTP parolasını bulduğumuz taktirde shadow ve passwd dosyalarına erişebiliriz demektir.

666 portuna bağlandığımızda karşımıza ilginç yazılar çıkıyor. ZIP içerisinde JPG formatlı bir dosya olduğunu tahmin ettiğimiz bu çıktıyı bir dosyaya alıyoruz.

Screen Shot 2017-11-01 at 20.49.52.png

Screen Shot 2017-11-01 at 20.50.40.png

Dosya’nın ZIP olduğundan emin olduktan sonra içindeki message2.jpg’yi açıyoruz.

Screen Shot 2017-11-01 at 20.52.09.png

JPG’nin içine gizlenmiş olabilecek potansiyel stringler için strings ile içine bakıyoruz. Burada bize bir mesaj bırakılmış:

Screen Shot 2017-11-01 at 20.53.00.png

Elly ya da John’un parolasının cookie olmadığını gördükten sonra, cookie’mizi bir kenara not ediyor ve devam ediyoruz.

12380 portunda çalışan Apache’yi nikto ile taradığımızda bazı dizinlerle karşılaşıyoruz.

Screen Shot 2017-11-01 at 20.54.27.png

Burada bizi ilgilendiren dizin /blogblog/ dizini, çünkü daha önce SMB paylaşımında bulduğumuz wordpress burada kurulu.

Screen Shot 2017-11-01 at 20.56.13

wpscan yardımıyla yaptığımız keşif bize pek çok zafiyet ve kullanıcı listesini veriyor. 16 adet kullanıcı bulunmakta:

Screen Shot 2017-11-01 at 20.57.21.png

Önceliğimiz kendisine not bırakılmış olan Elly. Brute-force için elly kullanıcısına yönelik bir wordlist oluşturmamız gerekiyor. İlk etapta içerisinde ‘elly’ ve ‘ylle’ geçen basit bir wordlist oluşturuyoruz. Elly ve ylle içeriğinin en çok geçtiği yaygın bir wordlistten çıkararak hazırladığımız parola listesi ile brute-force saldırısı yapıyoruz.

Screen Shot 2017-11-01 at 21.03.04.png

Elly’nin bilgileriyle FTP sunucusuna bağlanmayı denediğimizde parolanın burada da aynı olduğunu görüyoruz. Bizi /etc/ dizini karşılıyor:

Screen Shot 2017-11-01 at 21.03.56.png

Passwd dosyası içerisinde /bin/bash tanımlı kullanıcıların bir listesini oluşturuyoruz. Bunu yapma sebebimiz hala SSH servisini kullanmamış olmamız ve elimizde ipucu olarak ‘cookie’ kelimesi olması.

Screen Shot 2017-11-01 at 21.04.53.png

Kullanıcı listemizi ve cookie parolamızı verdiğimiz hydra bize tahminimizde doğru çıktığımızı gösteriyor:

Screen Shot 2017-11-01 at 21.06.58.png

JBare normal bir kullanıcı, root yetkimiz henüz bulunmamakta. Home dizinine geldiğimizde tüm kullanıcıların .bash_history’lerini görüntülüyoruz. Shell yetkisi kazanılmış bir sistemde bakılması gereken ilk noktalardan birisi olan .bash_history burada da bizi yanıltmıyor:

Screen Shot 2017-11-01 at 21.07.41.png

Peter kullanıcısının dizinine erişemiyoruz fakat parolasını bulduk. Normal bir kullanıcının erişemediği bir dizine sahipse, sistemde önemli biri olabilir. SSH ile peter’a bağlanıyoruz. Peter’ın sudo kullanabildiğiniz görüyoruz:

Screen Shot 2017-11-01 at 21.11.04.png

Sudo ile root yetkisi elde ettikten sonra artık root dizinindeki flag’imizi gururla okuyabiliriz:

Screen Shot 2017-11-01 at 21.12.55.png

 

Reklamlar