Selam dostlarım ben My.B, bugün vulnhub'dan bulduğum bir ctf'in privil esc. kısmını çözmek istiyorum. Önce makineleri aktif ediyorum ve ip adresini öğrendikten sonra nmap yardımı ile portları tarıyorum.
Öncelikle "ssh" "http" "4200" lü bir servis açık olduğunu görmekteyim. Bundan sonra 80 portunu araştırmaya karar verdim bunun için önce dirb'ü denesem de sonuç çıkmadı bende daha düzgün bir worldlist ile arama yapmaya karar verdim.
Javascript lere baktığım zaman herhangi bir buldu göremedim lakin burada ilgili ctf'lerin yolunu bana veriyordu. Bende aktif olan bir tanesine tıkladığımda beni 4200. porta yollamıştı. Burada sistem bazında birtakım komutlar yazabiliyordum. Lakin reverse bağlantı için ne netcat oturumu ne socat & php yemiyordu. Bende imkanım varken python versionuna baktım ve shelli böyle çıkarabilirim diye düşünmüştüm.
Bu şekilde sistemin içine girdim lakin bağlantılar bölük pörçük, bende python pty shell almaya karar verdim. Sistem içinde python sürümü 3 olduğu için ilgili sürümü girin windowstaki gibi 1-2 sürümler çalışayabilir. Eğer ki böyle bir seneryoda ilgili reverse payloadı çalışmıyorsa export etmeyi deneyebilirsiniz. "python3 -c 'import pty; pty.spawn("/bin/bash")'"
"User1" olarak içeriye daldım lakin herhangi birşey okuyamıyorum /var & /opt klasörü içerisindeyken "ls -lah" verdiğimde passwd.bak lar beni karşılıyor lakin ilerlemem için bu bilgiler bana fazlası ile manasız gelmeye başladı. Sonra /home klasörüne geldim ortalık ana baba yeri gibi user1....user68 e kadar var bu ilerlemem için çok zordu. Ardından ".bashrc_history" yi okumak istedim. Bu adam sürekli paket yöneticisini kullanmaya çabalamış. Bunu cepte tutarken /tmp klasörüne execute etme yetimin olduğunu gördüm ama buradan çalışmadım. Sonra userim ile ilgili eler var diye sudo -l komutu vermek istedim ve ;
bashrc loglarından dolayı beni şaşırtmadığını fark ettim. Local exploitleri & brute atmanın faydasız olduğunu burada anladım. Belkide find ile permlere bakmak da mantıklıydı ama herşey gözümüzün önünde. Peki ne yapacaktım ? "apt-get" için GTFObin'se bakacağım.
Çalışan seçenekleri gözlemyebilirsiniz, sistem içinde paket yöneticisinden bana update & install yapmaya izin vermiyor. Bende ilk seçeneği kullanmayı denedim. Ve sonuç ;
Artık hassas klasör ve dosyalara erişebilmekte hatta ssh için priv key oluşturup üstüne ssh konfigürasyonundan password key "yes" olan kısmı no yapıp root olarak girişi aktifleştiriyor ve bu şekilde sistemde kendime ait bir backdoor bırakabiliyorum. Beni dinlediğiniz için minnetarım
saygılarımla...
