HackTheBox – Poison Çözümü (Write-Up)

Merhabalar Arkadaşlar.,

   Bu yazımızda da HackTheBox’ta bulunan retired makinelerden Poison’un çözümünü anlatacağım.

Öncelikle her makine çözümünün başında olduğu gibi bir nmap port taraması yapıyorum.

Taramada gördüğümüz üzere 22(ssh),80(http) portları açık.Senaryo belli gibi HTTP portu üzerinden yapacağımız enumeration ile ssh’a bağlanıp shell alacağız.

Hemen HTTP portunda neler varmış.

Bizim için buraya girebileceğimiz bir php uzantılı dosyalar verilmiş.Tek tek hepsine baktığımızda listfiles.php dosyasında pwdbackup.txt dosyasının olduğunu görüyoruz.

Geri dönüp aynı kısma bu dosyanın ismini yazdığımızda ise karşımıza bir hash geliyor.

Karşımıza gelen bu hash’in 13 kere üst üste base64 ile encode edilmiş olduğunu görüyoruz.Hemen bir base64 scripti yazabiliriz.Veyahutta internetten base64 encoder/decoder sayfasına girerekte çevirebiliriz.

 

Evet karşımıza ” Charix!2#4%6&8(0 ” böyle bir veri geldi.Aklımıza ssh portunun açık olduğu geliyor ve hemen ssh portuna bağlanmaya çalışıyoruz.

SSH portuna girerken veride gördüğümüz charix ismini user olarak yazdığımız da doğru çıktı fakat bizden parola istedi büyük ihtimalle base64 ile encode edilen verinin parola olduğunu düşünerek girdiğimizde bağlanmış oluyoruz.Hemen shell’imizi etkileşimli bir şekilde kullanmak için python scriptimizi kullanıyoruz.(Buradaki yazımızda da bu konu hakkında bahsetmiştik.)

Ve daha sonradan dosyaları listelediğimizde user.txt’yi alıyoruz. 🙂

Şimdi sıra root olmakta.

Dosyaların arasında bulunan secret.zip dikkatimizi çekiyor.Fakat unzip komutuyla açmaya çalıştığımızda olmuyor.Aklımıza scp ile kendimi makinemize çekip açmak geliyor.

Dosyayı başarılı bir şekilde aldığımızda.Bizden zipi açmak için parola istiyor.Parola için base64 ile encodelanmış veriyi girdiğimizde kabul ediyor ve ana dizine secret adında bir dosya atıyor.Dosyayı açtığımızda şifrelenmiş bir dosya olduğunu görüyoruz.Hash’i araştırdığımızda vncpwd ile çözebileceğimizi anlıyoruz.

Hemen Github’tan çekiyoruz.İçerisinde bir c dosyası olduğunu görüyoruz ve bu c dosyasının derlerlenirkende yanında bulunan d3des.c ye ihtiyacımız olduğunu anlyoruz ve uyguluyoruz.Tamamdır programl çalışıyor programı başlatıp yanına secret adlı dosyamızı eklediğimizde hash’miz kırılıyor.

Daha sonradan makinemize geri dönüp bir kaç enumeration yapıyoruz.LinEnum.sh ile bakabilirsiniz sizde.Gözümüze takılan kısım ise netstat kısmı oluyor.

Burada gördüğümüz portlar üzerinden port forwarding yaparak,hashimizden elde ettiğimiz bilgiye göre vncviewer’a bağlanabiliriz.

Burada port yönlendirmemizi yapıyoruz.

Ve vncviewer komutu ile portumuza istek atıyoruz.Bizden parola istiyor.Parola yerine aldığımız hash’i giriyoruz veee bağlanıyoruzzz 😀

 

Eveet root olduğumuza göre artık makinede istediğimizi yapabiliriz.

Yazımı okuduğunuz için teşekkür ederim.:)

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir