Boot2Root: HackademicRTB1

ISO dosyasına buradan ulaşabilirsiniz.

Hedef: Makinayı rootlamak ve ‘key.txt’ dosyasını okumak.

Makina hakkında ulaşılabilen bilgiler:

  • Linux işletim sistemine sahip
  • DHCP servisi açık, otomatik olarak IP alıyor
  • Üzerinde Apache, MySQL ve PHP çalışıyor
  • Açık parola, hak yükseltme, aynı kimlik bilgilerinin birden fazla yerde kullanılması, SQL injection ve kısıtlanmamış dosya yükleme zafiyetleri içeriyor

ISO dosyası kurulduktan ve işletim sistemi başlatıldıktan sonra bizi bir giriş ekranı karşılıyor. Makinayı bulabilmek için netdiscover ile ağ üzerinde bir tarama yapıyoruz:

Screen Shot 2017-05-04 at 19.15.39.png

Makinanın IP adresinin 172.16.28.135 olduğu bulunduktan sonra, pasif keşif sırasında bulduğumuz çalışan servislerin portlarının tespiti için bir nmap taraması yapıyoruz:

Screen Shot 2017-05-04 at 19.18.01.png

Görüyoruz ki, MySQL servisi dışarıya açık değil. Sayfayı ziyaret ettiğimizde bizi bir index sayfası karşılıyor. Kaynak koduna baktığımızda ise site üzerinde WordPress 1.5.1.1 kullanıldığını görüyoruz.

Screen Shot 2017-05-04 at 19.19.23.png

WordPress 1.5.1.1 versiyonu hakkında zafiyet taraması yapıldığında, SQL injection barındırdığı görülmektedir.

Screen Shot 2017-05-04 at 19.25.37.png

URL üzerinden ‘cat’ parametresi kullanılarak bunu doğruladıktan ve çeşitli yöntemler denedikten sonra veritabanı üzerinde 5 kolon olduğunu ve ikinci kolonun varchar olduğunu tespit ediyoruz. (örnek payload: http://172.16.28.135/Hackademic_RTB1/?cat=99 and sleep(5) union select 1,2,3,4,5)

SQL injection kullanarak kullanıcı bilgileri çıkarıldıktan sonra, (parola bilgileri hem açık olarak hem de md5 olarak tutulmakta) md5 hashlerinin açık hallerine ulaşıyoruz.

Screen Shot 2017-05-04 at 19.23.54.png

WordPress giriş sayfası wp-login.php uzantısına giderek kullanıcılara bakıldığında, GeorgeMiller’ın admin yetkileri olduğunu görüyoruz. Admin panelinde bulunan options kısmında dosya yükleme opsiyonu ve izin verilecek dosya uzantılarını buluyoruz.

Screen Shot 2017-05-04 at 19.27.35.png

wp-content.php uzantısından görüntülenebilen yüklenmiş dosyalar arasına arka kapımızı upload ediyoruz.

Screen Shot 2017-05-04 at 19.29.49.png

shell.php arka kapımızı çalıştırdığımızda, makina üzerinden reverse shell elde etmiş olduk. Yetki durumumuz ve çalışan işletim sistemi versiyonunu aşağıda görüyoruz.

Screen Shot 2017-05-04 at 19.30.19.png

Linux 2.6.31 versiyonu üzerinde yerel hak yükseltme zafiyetlerini araştırdığımızda karşımıza pek çok zafiyet çıkıyor. CVE-2010-3904 kodlu zafiyeti shell üzerinden makinaya indiriyor ve çalıştırıyoruz.

Screen Shot 2017-05-04 at 19.33.00.png

“root is a state of mind” diye boşuna dememişler! Key.txt’yi buluyor ve içini okuyoruz.

Screen Shot 2017-05-04 at 19.34.41

Amacımıza ulaştık!