Selamlar, bugün ctf çözeceğiz. Açtığımız 2 adet sanal makinede ctf çözeceğiz. Makineleri başlatalım. Gerekli ip adresini alıyorum ve ilk olarak ip adresine bağlı port bilgilerini tarıyorum.
(nmap port tarama için kullanılır.) Kullandığım parametrelein birkaçının açıklaması ise -Pn : dns res. -A : agresif -sV : servis versyonu -v : işlem süresince bulduklarını aktar -T4 : (time default 3 gelir lokalde tarama yaptığım ve waff bulunmadığı için 4 verdim.)
Şuana kadar yalnızca ssh & http portunun açık olduğunu gördüm. Bu evrede web servisini araştırmak ile başlayacağım. Neden ssh servisi ile taramadın diyorsan, sebebi ; elimde herhangi bir user bilgisi yok, buna bağlı olarak şifre veya .pub yok. Eğer ki ssh servisine brute denersem abest kalacaktır. En mantıklı seçim web enum. Bunun için dirb ile ilgili web servisinin dizinlerini bir tarayalım.
Direkt olarak kullandığı hazır scripti bize sundu. “WordPress” lakin işlemimiz burda bitmiyor. Dirb'ün alttaki tarama sonuçlarına göre wp-content de “user” ve “notes” diye bir alan buluyorum. Buraya girdiğim zaman user ve pass gibi ufak tefek işler aktardı. Büyük ihtimalle bruting işlemi yapacağız.
Bu 2 farklı dosyayı user ve pass olarak kaydettim. Biraz daha dirb'de dolaştığımda robots.txt de bir yanıt buldum. Dissallow da bir .jpeg ilgimi çekiyor. Normalde tıklayınca (GET METHOD) herhangi bir bulgu vermiyor curl ile çektiğimizde (POST) ise bize yolu anlatmış.
Artık hem web servisinde bulunan wordpress’e hemde ssh’a aynı uygulamayı (brute) yapma vakti gelmiş. Öncelikle burp suiti açtık ardından web sunucusu için “/wp-admin/” e geliyorum. Sonra user ve pass bilgimi sallıyorum hali hazırda proxy açık halde iken requesti yakalıyorum ve doğrudan inturdar’a aktarıyorum. (NOT: wordpress kullanan sistemlerde user’a bruting yapmak yerine yazılan yazıların yazarını bularak admin name alabilirsiniz. Ben “admin” , “administrator” denemeye gerek kalmadan “kira” verip random şifre salladığımda şifreniz hatalı yanıtını verdi. Bruting’de işleri kolaylaştırır.
Evet muhteşemdir ki aldığım hataları’da ctf yazarken ekliyorum. Maalesef ki şifreler web servisi için değil. İşin komik tarafı web servisinde gezinirken yazılan bir kelime ile şifreyi bulmak uğraştığın zamana koymuyor değil “my fav line is iamjustic3” wordpress user: kira pass: iamjustic3 (wordpress'de admin name bulmak için yazar isimlerine bakın)
Hadi hep birlikte metasploitle wordpress’te reverse shell alalım. Öncelikle msfconsole’u çalıştırıyorum. Ardından “exploit/unix/webapp/wp_admin_shell_upload” denen shell methodunu deniyoruz. İstenen bilgiler için “info” diyebilirsiniz.
İlgili parametrelerimizi dolduralım. Ben wordpress’e shell atarak ilerlemeyeceğim lakin göstermek amaçlı bir girişi gösterelim. İsterseniz tema yükleme ayarlarından shellinizi .zip olarak veya upload için .php .php3 .php4 .php5 .php7 .phtml gibi yollar tercih edebilir. Hatta burp ile mime type'ı x-app dan image olarak değiştirebilirsiniz.
Buraya kadar tamam, dediğim gibi reverse shell’den değil ssh servisinden devam etmek istiyorum. Lakin unutmadan user ve pass dosyamız vardı sanırım birde ssh servisi için deneyelim. Ben hydra ile cracking işlemi yapacağım.
“[22][ssh] host: 192.168.1.106 login: l password: death4me”
giriş için ise ssh “
[email protected]” yazıyorum. Enter attığımda şifre istiyor oraya “death4me” deyip içeriye giriyorum. Kısıtlı kullanıcım için kernel bilgimin 4.19 olduğunu görüyorum.
Biraz içeride dolanırken sistemdeki userları görmek için direk /home klasörüne girdim, ve “l” “kira” adında 2 adet kullanıcı var tabi ki kira’ya erişemedik. Lakin “l” userimin içerisinde “user.txt” yi bulup cat ile okuyorum. Yine kriptolu bir veri karşılıyor.
--------------------------------------------------------------------------------------------------- MAALESEF Kİ YAZI SATIRIM DOLDU KONUN'UN ALTINDAN MESAJ OLARAK DEVAM EDECEĞİM. ------------------------------------------------------------------
