Merhaba, Hackthebox’ın 10.10.10.171 adlı ip adresinde önce hangi portların açık olduğunu kontrol edelim.
nmap -sC -sV 10.10.10.171
80 Portuna gittiğimizde bizi apachenin default page’i karşılıyor.
Daha sonra 80 portunda gobuster ile varolan dizinleri buluyoruz.
Artwork dizinine gittiğimizde bizi statik bir html sayfası karşılıyor.
Daha sonra music dizinine gittiğimizde bizi bir sayfa karşılıyor ve hemen login paneli ilgimizi çekiyor.
Login buttonuna tıkladığımız takdirde bizi ona adli dizine yönlendiriyor ve openadmin adlı bir hizmetin bu sayfada yer aldığını görüyoruz.
Daha sonra bu product’ın version ile aradığımızda Remote Code Execution zaafiyetinin olduğunu görüyoruz.
www.exploit-db.com
Daha sonra bu exploiti çalıştırdığımızda her türlü komutu çalıştırabliliyoruz.
/etc/passwd 'iyi okuduğumuzda jimmy ve joanna adlı 2 kullanıcının olduğunu görüyoruz.
Openadminin dosyalarını gezinirken database bilgilerini buluyoruz.
Daha sonra bu şifre ile jimmy ve joanna adlı kullanıcıların ssh ile bağlanmaya çalışıyoruz. jimmy adı kullanıcıda başarılı oluyoruz.
Ssh bağlantısı yaptıktan sonra /var/www/html dizinindeki ona (Openadmin) dizinindeki php dosyalarını inceliyoruz.
Main.php’yi incelerken shell_exec ile joanna kullanıcısındaki rsa kodunu okuyor. Bunu curl ederek okumaya çalışacağız.
Okumaya çalıştığımızda 404 Not Found ile karşılaşıyoruz.
netstat -tupln komudu ile portları kontrol ediyoruz. Ve curl ile bu portlar üzerinden main.php okumaya çalışıyoruz.
Rsa kodunu 52846 portundan okumayı başarıyoruz. Bu rsa kodunu id_rsa.hash adlı dosyaya yazarak john ile wordlist attack yaparak passphrase kodunu kırmaya çalışıyoruz.
passphrase’in bloodninjas olduğunu görüyoruz. Ve ssh ile joanna kullanıcısına bağlanmaya çalışıyoruz.
joanna adlı kullanıcıya bağlandıktan sonra user.txt 'yi okuyoruz.
sudo -l komudu ile şifresiz root yetkisinde çalışan program varmı kontrol ediyoruz.
nano adlı program root yetkisinde çalışıyor. Nano ile root/root.txt’iyi okumayı deniyoruz.
Ctrl + X ile komudu çalıştırıyoruz. Ve karşımızda root flag.
nmap -sC -sV 10.10.10.171
![1_yUOkjIW6KfN-e7e9YOtpzg 1_yUOkjIW6KfN-e7e9YOtpzg](https://vvhack.org/uploads/default/original/1X/48201eb5fb8de833bd54beb2bd40dc0b60bbb1a4.png)
80 Portuna gittiğimizde bizi apachenin default page’i karşılıyor.
![1_lZ9obpY77zA1ek9dSzZELg 1_lZ9obpY77zA1ek9dSzZELg](https://vvhack.org/uploads/default/original/1X/1b3b368919bb99fd2eeb3d5486fa0f9a4745be10.png)
Daha sonra 80 portunda gobuster ile varolan dizinleri buluyoruz.
![1_2AFuahvl6xyieoxWPnstjw 1_2AFuahvl6xyieoxWPnstjw](https://vvhack.org/uploads/default/original/1X/ac31fc1688e51d605c841cf8ea3983c2d5c9b544.png)
Artwork dizinine gittiğimizde bizi statik bir html sayfası karşılıyor.
![1_jkYqXtpR3wMlxYP5CP_low 1_jkYqXtpR3wMlxYP5CP_low](https://vvhack.org/uploads/default/original/1X/c467ec2d8ed095990544f5bcdc12aa9e22c5b401.png)
Daha sonra music dizinine gittiğimizde bizi bir sayfa karşılıyor ve hemen login paneli ilgimizi çekiyor.
![1_In170wdoMK8cxR9fS2rYqA 1_In170wdoMK8cxR9fS2rYqA](https://vvhack.org/uploads/default/original/1X/c56f70c7e15b680da3df17be084c3ce52b14b613.png)
Login buttonuna tıkladığımız takdirde bizi ona adli dizine yönlendiriyor ve openadmin adlı bir hizmetin bu sayfada yer aldığını görüyoruz.
![1_a9Ad9xff0xU_HWVUHxdyXw 1_a9Ad9xff0xU_HWVUHxdyXw](https://vvhack.org/uploads/default/original/1X/e725f459edb7e401b6a68b1152a547c16a96b514.png)
Daha sonra bu product’ın version ile aradığımızda Remote Code Execution zaafiyetinin olduğunu görüyoruz.
![www.exploit-db.com](https://www.exploit-db.com/images/spider-orange.png)
OpenNetAdmin 18.1.1 - Remote Code Execution
OpenNetAdmin 18.1.1 - Remote Code Execution.. webapps exploit for PHP platform
![rceopenadmin rceopenadmin](https://vvhack.org/uploads/default/original/1X/53fc5ec564009652917b613d8aaed884fcf39c84.png)
Daha sonra bu exploiti çalıştırdığımızda her türlü komutu çalıştırabliliyoruz.
![1_0Q-9Axn8zzYElD0sLfju6Q 1_0Q-9Axn8zzYElD0sLfju6Q](https://vvhack.org/uploads/default/original/1X/024477cb50faa7df1e514afddeba9f592b247bda.png)
/etc/passwd 'iyi okuduğumuzda jimmy ve joanna adlı 2 kullanıcının olduğunu görüyoruz.
![1_md1CzcxKWeAwXRrarHejxg 1_md1CzcxKWeAwXRrarHejxg](https://vvhack.org/uploads/default/original/1X/86ba8f990f6fd6804fa621b65c48f698d2877660.png)
Openadminin dosyalarını gezinirken database bilgilerini buluyoruz.
![1_NwQTUqr0oBeL1rfGyXllaA 1_NwQTUqr0oBeL1rfGyXllaA](https://vvhack.org/uploads/default/original/1X/0ed7610841c8c2cac164c455926ced1a560695de.png)
Daha sonra bu şifre ile jimmy ve joanna adlı kullanıcıların ssh ile bağlanmaya çalışıyoruz. jimmy adı kullanıcıda başarılı oluyoruz.
![1_KuizPPL5750eWqNeIWiooA 1_KuizPPL5750eWqNeIWiooA](https://vvhack.org/uploads/default/original/1X/f79e1b666e33aacd23b624257bde95070e98dbf8.png)
Ssh bağlantısı yaptıktan sonra /var/www/html dizinindeki ona (Openadmin) dizinindeki php dosyalarını inceliyoruz.
![1_JNB5rI78QAQ21LKBn2FCJQ 1_JNB5rI78QAQ21LKBn2FCJQ](https://vvhack.org/uploads/default/original/1X/6d7d7a0e920fb6dd6ae11cd778113b0ec702362e.png)
![1_bs-KSHYoNLNREtZZJyd2DQ 1_bs-KSHYoNLNREtZZJyd2DQ](https://vvhack.org/uploads/default/original/1X/2bf65822a8096d3ded43174dce56b5aea7e15e5f.png)
Main.php’yi incelerken shell_exec ile joanna kullanıcısındaki rsa kodunu okuyor. Bunu curl ederek okumaya çalışacağız.
![1_Ktrlfwg7PWF_RtO8aMFigg 1_Ktrlfwg7PWF_RtO8aMFigg](https://vvhack.org/uploads/default/original/1X/56826c0af03875fb401579afcac6bc2850642a93.png)
Okumaya çalıştığımızda 404 Not Found ile karşılaşıyoruz.
![1_3EMvQ7DI1m5zedzMalcP0Q 1_3EMvQ7DI1m5zedzMalcP0Q](https://vvhack.org/uploads/default/original/1X/a849fa62329c618083e6612d752b0ce4a64ea173.png)
netstat -tupln komudu ile portları kontrol ediyoruz. Ve curl ile bu portlar üzerinden main.php okumaya çalışıyoruz.
![1_QjbE-e2H2MMwOtxZnaR9Yw 1_QjbE-e2H2MMwOtxZnaR9Yw](https://vvhack.org/uploads/default/original/1X/73a8b8a3f69b0cd92156ad292c00f502be81855a.png)
Rsa kodunu 52846 portundan okumayı başarıyoruz. Bu rsa kodunu id_rsa.hash adlı dosyaya yazarak john ile wordlist attack yaparak passphrase kodunu kırmaya çalışıyoruz.
![1_n2ff5fkNcrfB4RInvF1VFQ 1_n2ff5fkNcrfB4RInvF1VFQ](https://vvhack.org/uploads/default/original/1X/7ee048580b946c7913e9dc44dbec7a6b3db7349d.png)
passphrase’in bloodninjas olduğunu görüyoruz. Ve ssh ile joanna kullanıcısına bağlanmaya çalışıyoruz.
![1_2bwR4xoMb9y_Q94iIjgZiw 1_2bwR4xoMb9y_Q94iIjgZiw](https://vvhack.org/uploads/default/original/1X/7d16fc14c1267f06844391530bd9105d9efc9f21.png)
joanna adlı kullanıcıya bağlandıktan sonra user.txt 'yi okuyoruz.
![1_YENeZIZKTQNFMD4iaI6c6g 1_YENeZIZKTQNFMD4iaI6c6g](https://vvhack.org/uploads/default/original/1X/148cd1509146a7cb917b1547dbeb0013831f6807.png)
sudo -l komudu ile şifresiz root yetkisinde çalışan program varmı kontrol ediyoruz.
![1_I-d3ik6NOi1SAQDMU0_G4g 1_I-d3ik6NOi1SAQDMU0_G4g](https://vvhack.org/uploads/default/original/1X/9b2d3a8e9de85b7dff0aa680f79d8f4f27c04542.png)
nano adlı program root yetkisinde çalışıyor. Nano ile root/root.txt’iyi okumayı deniyoruz.
![1_QSdEwyCyg-sSW_MBywm9mg 1_QSdEwyCyg-sSW_MBywm9mg](https://vvhack.org/uploads/default/original/2X/2/29c14bdfdc442a5577632137a02242b16fcfbeb8.png)
Ctrl + X ile komudu çalıştırıyoruz. Ve karşımızda root flag.
![:smiley: :smiley:](https://vvhack.org/images/emoji/twitter/smiley.png?v=10)
![1_jkJ6mC5v47O7SYrnm4fQbw 1_jkJ6mC5v47O7SYrnm4fQbw](https://vvhack.org/uploads/default/original/2X/e/e33ff33f3ff10995d7c077ba07fe6f567c7688c5.png)