OPENADMİN ÇÖZÜMÜ [HackTheBox]

Merhaba, Hackthebox’ın 10.10.10.171 adlı ip adresinde önce hangi portların açık olduğunu kontrol edelim.
nmap -sC -sV 10.10.10.171

1_yUOkjIW6KfN-e7e9YOtpzg

80 Portuna gittiğimizde bizi apachenin default page’i karşılıyor.

1_lZ9obpY77zA1ek9dSzZELg

Daha sonra 80 portunda gobuster ile varolan dizinleri buluyoruz.

1_2AFuahvl6xyieoxWPnstjw

Artwork dizinine gittiğimizde bizi statik bir html sayfası karşılıyor.

1_jkYqXtpR3wMlxYP5CP_low

Daha sonra music dizinine gittiğimizde bizi bir sayfa karşılıyor ve hemen login paneli ilgimizi çekiyor.

1_In170wdoMK8cxR9fS2rYqA

Login buttonuna tıkladığımız takdirde bizi ona adli dizine yönlendiriyor ve openadmin adlı bir hizmetin bu sayfada yer aldığını görüyoruz.

1_a9Ad9xff0xU_HWVUHxdyXw

Daha sonra bu product’ın version ile aradığımızda Remote Code Execution zaafiyetinin olduğunu görüyoruz.
https://www.exploit-db.com/exploits/47691

rceopenadmin

Daha sonra bu exploiti çalıştırdığımızda her türlü komutu çalıştırabliliyoruz.

1_0Q-9Axn8zzYElD0sLfju6Q

/etc/passwd 'iyi okuduğumuzda jimmy ve joanna adlı 2 kullanıcının olduğunu görüyoruz.

1_md1CzcxKWeAwXRrarHejxg

Openadminin dosyalarını gezinirken database bilgilerini buluyoruz.

1_NwQTUqr0oBeL1rfGyXllaA

Daha sonra bu şifre ile jimmy ve joanna adlı kullanıcıların ssh ile bağlanmaya çalışıyoruz. jimmy adı kullanıcıda başarılı oluyoruz.

1_KuizPPL5750eWqNeIWiooA

Ssh bağlantısı yaptıktan sonra /var/www/html dizinindeki ona (Openadmin) dizinindeki php dosyalarını inceliyoruz.

1_JNB5rI78QAQ21LKBn2FCJQ

1_bs-KSHYoNLNREtZZJyd2DQ
Main.php’yi incelerken shell_exec ile joanna kullanıcısındaki rsa kodunu okuyor. Bunu curl ederek okumaya çalışacağız.

1_Ktrlfwg7PWF_RtO8aMFigg

Okumaya çalıştığımızda 404 Not Found ile karşılaşıyoruz.

1_3EMvQ7DI1m5zedzMalcP0Q

netstat -tupln komudu ile portları kontrol ediyoruz. Ve curl ile bu portlar üzerinden main.php okumaya çalışıyoruz.

1_QjbE-e2H2MMwOtxZnaR9Yw

Rsa kodunu 52846 portundan okumayı başarıyoruz. Bu rsa kodunu id_rsa.hash adlı dosyaya yazarak john ile wordlist attack yaparak passphrase kodunu kırmaya çalışıyoruz.

1_n2ff5fkNcrfB4RInvF1VFQ

passphrase’in bloodninjas olduğunu görüyoruz. Ve ssh ile joanna kullanıcısına bağlanmaya çalışıyoruz.

1_2bwR4xoMb9y_Q94iIjgZiw

joanna adlı kullanıcıya bağlandıktan sonra user.txt 'yi okuyoruz.

1_YENeZIZKTQNFMD4iaI6c6g

sudo -l komudu ile şifresiz root yetkisinde çalışan program varmı kontrol ediyoruz.

1_I-d3ik6NOi1SAQDMU0_G4g

nano adlı program root yetkisinde çalışıyor. Nano ile root/root.txt’iyi okumayı deniyoruz.

1_QSdEwyCyg-sSW_MBywm9mg

Ctrl + X ile komudu çalıştırıyoruz. Ve karşımızda root flag. :smiley:1_jkJ6mC5v47O7SYrnm4fQbw

5 Beğeni

Selam dostum, çok fazla know how gerektiren bir makine. Ellerine sağlık :slight_smile:

Naçizane önerilerimi sizlerle paylaşmak istiyorum.

gobuster kullanırken parametrelerinide paylaşman faydalı olabilir. Bence gobuster çalıştırmadan önce sayfayı iyi analiz etmek gerekir. Büyük wordlistlerde kısa sürede sonuç almak için bazen spesifik parametlerle bu kapsamı biraz daraltabiliriz. Hem gerçek sistemlerde güvenlik cihazları bağırmasın diye kapsamı daraltmak faydalı olabilir. Senin çıktılarından anladığım kadarıyla 403,301 leride listelemişsin. Bunları neden listelediğini sorabilir miyim? Ya da listelemeli miyiz? listelesek faydalı olacağını düşünüyor musun. 301 lerden ne öğrenebiliriz?

Exploit okuma konusunda yetenekli forum üyeleri bu exploitlerin nasıl çalıştığını paylaşsa faydalı olur diye düşünüyorum. Hem konu altında tartışabileceğimiz alanlar oluşmuş olur.

Htb writeupları paylaşmayı bende seviyorum. Bence bu konuda farklılık olabilmesi için nasıl düşündüğümüzüde yazmalıyız. En değerli kısmı o olur diye düşünüyorum. Ben de bundan sonra paylaştıklarımda nasıl düşündüğümü detaylıca anlatmaya çalışacağım.

2 Beğeni

Merhaba birdahaki yazacağım writeuplarda gobuster’ın parametrelerini paylaşmaya dikkat edeceğim. Size katılıyorum gerçek sistemlerde bu kadar istek yaptığımız takdirde firewall’a takılıyoruz. Birde 403,301 listeletip listeletmemek pek önemli olmuyor bu durumlarda sonuçta bir sözlük var onları tek tek alıyor deniyor kontrol ediyor response kodunu ekrana yazıyor.Kendi wordlistini oluşturmak gerçek sistemlerde daha faydalı. Burda ekrana listeletip listeletmemek çok elzem bir durum değil. Çoğu gerçek makinede yasak bir kelimeyi manuel bile yazsan engelleyen sistemler mevcut.Response kodlarınıda listelemeye gelirsek 301 her zaman işe yaramayabilir. Çünkü bir kimlik doğrulama yapan her site redirect yaparak login sayfasına yönlendiriyor çoğunlukla. 403 ise incelemeye değer bence. Her sistem olmasa bile birkaç bypass yöntemi ile bazı firewalllar bypasslanabiliyor.Birde gobuster ile bir konu hazırlasak yeridir çünkü baya parametreleri var.

1 Beğeni