HackTheBox - Access - Writeup

  • Konbuyu başlatan Konbuyu başlatan mao7un
  • Başlangıç tarihi Başlangıç tarihi

mao7un

VM Creator
Moderatör
Katılım
22 Ocak 2024
Mesajlar
26
Tepkime puanı
40
Puanları
13
Merhaba, bugün Access makinesinin çözümünü anlatacağım. İyi okumalar...

Nmap taraması ile başlıyorum.

1.png


FTP, Telnet ve HTTP portlarının açık olduğunu görüyorum. Numaralandırmaya FTP ile başlıyorum.

FTP'ye anonymous olarak giriş yapabildim.

2.png


"dir" komutu ile dosyaları listelemek istiyorum, ancak listeleme yapamıyorum. Benden pasif moda geçmemi istiyor. "passive" yazarak pasif moda geçiyorum ve daha sonra dosyaları listeliyorum.

3.png


Backups klasörünün içerisinde "backup.mdb" adlı bir dosya ve engineer klasörünün içerisinde "Access Control.zip" adlı bir dosya bulunuyor. Bu dosyaları "get" komutu ile lokal makineme indirdikten sonra ilk olarak zip dosyasının şifresini "fcrackzip" ile kırmaya çalışıyorum. Ancak başarısız oluyorum. Bundan sonra mdb dosyasını (Microsoft Access Database) mdb-tools paketi ile içeriğine bakıyorum.

Burada tabloları incelerken bir tablo dikkatimi çekiyor.

4.png


Bir sorgu ile bu tablodaki tüm bilgileri alacağım.

5.png


buradan az önce bulduğum zip dosyasinin şifresini buluyorum.
6.png


Zip dosyasindaki dosyalari bulduğum şifre ile çıkartıyorum.

7.png


Dosyadan çıkarttığım mail dosyasini okuyup security adli kullanıcının şifresini elde ediyorum.

88888888888.png


bu bilgiler ile telnet içerisinde bulunan login paneline giriş yapacağım.


9.png


Artık "security" adlı kullanıcıya ait bir shell'im var.


Privilege Escalation

Bu kısımda, en başta sunucunun Windows 2008 olduğu için direkt olarak bir Meterpreter shell'i alıp Local Exploit Suggester çalıştırmak istedim. Ancak "security" adlı kullanıcının herhangi bir .exe dosyası çalıştırması yasaklanmıştı. Bunun sonucunda, WinPEAS.exe ve Seatbelt.exe gibi otomatik olarak sunucuyu enumerate eden araçları da kullanamadım. Bu yüzden, kendim manuel olarak enumerate ettim. Uzun uzadıya dosyaları taradıktan sonra cmd komutlarımı girdikten sonra garip bir dosya fark ettim.

10.png


Bu dosyanın içeriğini okuduğumda, bana "runas" komutunun "administrator" kullanıcısı tarafından çalıştırıldığını ve bunun için herhangi bir şifre kullanılmadığını, yani "/savecred" parametresi aracılığıyla şifresiz olarak çalıştırıldığını gördüm.

11.png


bunu gordukten sonra sistemde kayitli olan sifreleri gormek icin yani sifresiz komut calistirabilen kullanicilari listelediğimde ne yapmam gerektiğini az çok anlıyorum.

12.png


şimdi bir meterpreter payload'u oluşturup sisteme indireceğim ve bunu administrator kullanicisinin kaydedilmiş şifresi ile çalıştıracağım..

13.png



Multihandler listener'ına baktığımda, stage'in yüklendiğini ve administrator shell'ini aldığımı görüyorum. Bunun üzerine, Meterpreter komutu olan "getsystem" komutunu kullanarak ayrıcalıklarımı SYSTEM ayrıcalığına yükseltiyorum.

Burada Meterpreter shell'ine sahip olduğum için direkt olarak mimikatz'in modülü olan Kiwi'yi import ediyorum. Amacım, administrator kullanıcısının şifresini elde etmek.

14.png


creds_all komutunu kullanarak sistemdeki tum kullanicilarin sifrelerini görüyorum

15.png


Bu şifreyi buradan alıp lokal makinemden tekrar bir Telnet bağlantısı yapıyorum ve administrator olarak giriş yapıyorum.

Son olarak user flag'ini ve root flag'ini alıp makineyi kapatıyorum.

16.png


Buraya kadar okuduğunuz için teşekkür ederim.
 
Geri
Üst