Raskolnikov
Üye
Makine IP: 10.10.10.6
Nmap:
80 üzerinde bir Apache çalıştığını gördük.
Sayfada herhangi bir ipucu bulunmamakta, aramaya devam ediyoruz.
“Gobuster” ile dizin taraması yapıyoruz. (Burada da diğer komutlar gibi parametreler vs. gereksiz detaylar ile yazıyı şişirmek istemiyorum, komutlar ile ilgili detaylar google, man sayfalarında mevcut)
Burada /test , /torrent adlı dizinleri dikkatimizi çekiyor.
/test
PHP info sayfası açık bir şekilde bırakılmış. Sistem hakkında oldukça bilgi mevcut. Araştırmaya devam ediyoruz.
/torrent
Torrent için oluşturulmuş PHP dilinde kodlanmış bir script görüyoruz. Burada dikkatimizi upload bölümü çekiyor. Fakat dosya yüklemek için üye olmak gerekiyor. Üye olup torrent dosyası dışında birşey yüklenmediğini görüyoruz. Bunun yerine gerçekten bir torrent dosyası yükleyerek davranışını inceliyoruz.
Yüklediğimiz torrent için yeni bir panel açıyor. Burada da screenshot bölümünde png uzantılı dosya yükleyebileceğimizi görüyoruz. Şimdide burayı manipüle etmeye çalışacağız.
“msfvenom” aracı ile PHP dilinde reverse shell payloadımızı oluşturuyoruz.
Screenshot bölümüne bu oluşturduğumuz payloadı yükleyeceğiz. Fakat .png uzantılı dosya istediği için bunu Burp ile proxy yapıp değiştirerek atlatacağız.
İsteği yakalayıp filename bölümündeki .png uzantısını silip isteği gönderdiğimizde yüklendiğini dönen cevapta görüyoruz.
Peki bu attığımız php reverse shell nereye yüklendi? Shell alabilmek için tetiklememiz gerekiyor. Bu kez /torrent altında dizin taraması yapıyoruz.
PNG dosyalarının yüklendiği bölümü bulduk.
Tetiklemeden önce msfconsole üzerinden bir multihandler çalıştıralım.
(msfvenom oluştururken seçtiğimiz php payload ile buradaki payloadın aynı olması gerekiyor)
Tetiklediğimizde meterpreter oturumumuz geldi.
Yetki Yükseltme
Dizin taraması yaparken /test dizininde PHP info sayfasının olduğunu görüntülemiştik.
Linux çekirdek sürümünün 2.6.31 olduğunu görüyoruz. Ayrıca komut satırından da bakabiliriz.
2.6.31 sürümü için araştırma yaptığımızda yetki yükseltmek için exploit olduğunu görüyoruz.
Exploiti kendi makinemiz üzerinden hedefe taşıyacağız. Bunun için SimpleHTTPServer kullanıyoruz.
Hedef makinede wget bulunduğu için indirebiliyoruz. /tmp dizini tüm kullanıcılar için yetkili dizin olduğu için işlemlerimizi burada yapıyoruz.
C dilinde yazılmış exploiti gcc kullanarak derliyip çalıştırma yetkisi veriyoruz.
Exploit sistem üzerinde parolası 12345 olan firefart adında root yetkilerine sahip bir kullanıcı oluşturuyor. SSH ile bağlanıyoruz.
Exploit için daha detaylı bilgiye Linux Kernel 2.6.22 < 3.9 - 'Dirty COW' 'PTRACE_POKEDATA' Race Condition Privilege Escalation (/etc/passwd Method) - Linux local Exploit 4 buradan bakabilirsiniz.
Nmap:
80 üzerinde bir Apache çalıştığını gördük.
Sayfada herhangi bir ipucu bulunmamakta, aramaya devam ediyoruz.
“Gobuster” ile dizin taraması yapıyoruz. (Burada da diğer komutlar gibi parametreler vs. gereksiz detaylar ile yazıyı şişirmek istemiyorum, komutlar ile ilgili detaylar google, man sayfalarında mevcut)
Burada /test , /torrent adlı dizinleri dikkatimizi çekiyor.
/test
PHP info sayfası açık bir şekilde bırakılmış. Sistem hakkında oldukça bilgi mevcut. Araştırmaya devam ediyoruz.
/torrent
Torrent için oluşturulmuş PHP dilinde kodlanmış bir script görüyoruz. Burada dikkatimizi upload bölümü çekiyor. Fakat dosya yüklemek için üye olmak gerekiyor. Üye olup torrent dosyası dışında birşey yüklenmediğini görüyoruz. Bunun yerine gerçekten bir torrent dosyası yükleyerek davranışını inceliyoruz.
Yüklediğimiz torrent için yeni bir panel açıyor. Burada da screenshot bölümünde png uzantılı dosya yükleyebileceğimizi görüyoruz. Şimdide burayı manipüle etmeye çalışacağız.
“msfvenom” aracı ile PHP dilinde reverse shell payloadımızı oluşturuyoruz.
Screenshot bölümüne bu oluşturduğumuz payloadı yükleyeceğiz. Fakat .png uzantılı dosya istediği için bunu Burp ile proxy yapıp değiştirerek atlatacağız.
İsteği yakalayıp filename bölümündeki .png uzantısını silip isteği gönderdiğimizde yüklendiğini dönen cevapta görüyoruz.
Peki bu attığımız php reverse shell nereye yüklendi? Shell alabilmek için tetiklememiz gerekiyor. Bu kez /torrent altında dizin taraması yapıyoruz.
PNG dosyalarının yüklendiği bölümü bulduk.
Tetiklemeden önce msfconsole üzerinden bir multihandler çalıştıralım.
(msfvenom oluştururken seçtiğimiz php payload ile buradaki payloadın aynı olması gerekiyor)
Tetiklediğimizde meterpreter oturumumuz geldi.
Yetki Yükseltme
Dizin taraması yaparken /test dizininde PHP info sayfasının olduğunu görüntülemiştik.
Linux çekirdek sürümünün 2.6.31 olduğunu görüyoruz. Ayrıca komut satırından da bakabiliriz.
2.6.31 sürümü için araştırma yaptığımızda yetki yükseltmek için exploit olduğunu görüyoruz.
Exploiti kendi makinemiz üzerinden hedefe taşıyacağız. Bunun için SimpleHTTPServer kullanıyoruz.
Hedef makinede wget bulunduğu için indirebiliyoruz. /tmp dizini tüm kullanıcılar için yetkili dizin olduğu için işlemlerimizi burada yapıyoruz.
C dilinde yazılmış exploiti gcc kullanarak derliyip çalıştırma yetkisi veriyoruz.
Exploit sistem üzerinde parolası 12345 olan firefart adında root yetkilerine sahip bir kullanıcı oluşturuyor. SSH ile bağlanıyoruz.
Exploit için daha detaylı bilgiye Linux Kernel 2.6.22 < 3.9 - 'Dirty COW' 'PTRACE_POKEDATA' Race Condition Privilege Escalation (/etc/passwd Method) - Linux local Exploit 4 buradan bakabilirsiniz.
Moderatör tarafında düzenlendi: