PwnlabMeCTF - Trepidation

  • Konbuyu başlatan Konbuyu başlatan mao7un
  • Başlangıç tarihi Başlangıç tarihi

mao7un

VM Creator
Moderatör
Katılım
22 Ocak 2024
Mesajlar
26
Tepkime puanı
40
Puanları
13
Merhaba, geçtiğimiz ay kendi yaptığım makine olan Trepidation makinesinin çözümünü anlatacağım iyi okumalar.

ilk olarak makinenin ip adresini öğreniyorum

[B]netdiscover -r 192.168.1.0/24[/B]
daha sonra nmap taraması ile hedef hakkında daha detaylı bilgi ediniyorum.

[B]nmap -A -v -p- -T4 192.168.1.52[/B]

1711116589104.png


Port 80 üzerinde HTTP Serveri çalışıyor bunu enumerate edelim.

1711116672789.png


secret.txt adında bir dosya var bunu inceliyorum ve bana server üzerinde unutulmuş bir CherryTree dosyası olduğunu söylüyor cherrytree dosya uzantılarını araştırdığımda ctb adlı bir uzantı olabileceğini düşünüp taramaya devam ediyorum.

1711116856686.png


dosya içerisinde dikkatimi "community strings : thalassophobia" kısmı çekti

1711116953977.png


bunun SNMP ile ilgili olduğunu düşünüp direkt olarak ile UDP taraması yaptım

1711117293852.png


SNMP'nin açık olduğunu görüyorum rapor dosyasında bulduğum comstring adı ile SNMP enumerate ediyorum.


1711118059546.png


buradan bir domain bulduk bunu /etc/hosts içerisine ekliyorum ve siteyi ziyaret ediyorum.

burada beni bir login sayfası karşılıyor

1711118135249.png


Buradaki istenilen şey herhangi bir bruteforce veya default credentials değil burada denememiz gereken şey php 7.4.33 ve önceki sürümlerindeki strcmp() fonksiyonunda bulunan zaafiyetten yararlanmak

1711118909528.png


burada herhangi bir şekilde login olamıyorum

1711118998009.png


kullanılan fonksiyondaki zaafiyeti bu şekilde sömürdükten sonra bir domain daha buluyorum ve bunu da /etc/hosts içerisine ekliyorum.

Siteyi ziyaret ettiğimde herhangi önemli bir şey olmadığını görüyorum bu kısımda DNS portunun açık olduğunu görüyorum ve bu domain üzerinde herhangi bir Zone Transfer olup olmadığını test ediyorum

1711119121511.png


Zone Transfer ile domain üzerindeki bir subdomain'e erişiyorum. Bunu da /etc/hosts içerisine ekliyorum.
Yeni bulduğumuz subdomain'e girip siteyi kurcalıyorum ve site içerisinde LFI buluyorum

1711119251261.png


Herhangi bir şekilde kullanıcıların id_rsa dosyalarını veya önemli bir bilgisine ulaşamadıktan sonra artık burada LFI to RCE yapmak için açık servisler üzerindeki log dosyalarını okumaya çalışıyorum (/var/log/nginx/access.log , /var/log/auth.log) ama herhangi bir yetkim olmadığını görüyorum.

buradan sonra belki bir firewall vardır düşüncesi ile bu firewall'ı atlatmak adına ipv6 ile nmap taraması yapıyorum.

ilk olarak hedef makinenin ipv6 adresini buluyorum.
1711119841450.png


sonrasında nmap taraması yapıyorum

1711119892781.png


burada aslında ftp portunun da açık olduğunu ancak firewall ile filtered durumda olduğunu anlıyorum. Şimdi vsftpd.log kullanarak logları zehirleyebilirim.

1711120252736.png


dedikten sonra artik server üzerinde uzaktan kod yürütebiliriyoruz.

1711120321284.png



www-data to mck


ksh uygulamasını mck kullanıcısının yetkisiyle çalıştırabiliyoruz

1711120594424.png



mck to root

bu kısımda mck kullanıcısı ile yeni bir shell alıyorum (authorized_keys upload edip)

1711121590977.png


fzf adlı uygulamanın dökümantasyonunu okursanız ne yapacağınızı az çok anlayacaksınız..

uygulamayı root yetkisinde çalıştırıyorum ve diğer shell ile bu server üzerinden komut yürüteceğim.

1711121792807.png


server'i kurduğum terminale gelirsem

1711121834086.png


Buraya kadar okuduğunuz için teşekkürler.
 

Ekli dosyalar

  • 1711121564926.png
    1711121564926.png
    54.5 KB · Görüntüleme: 89
Geri
Üst