HacktheBox – Sunday Çözümü (Write Up)

Merhaba Arkadaşlar;

Bugün Hackthebox platformundan Sunday adlı makinenin çözümünü inceliyeceğiz.Her zaman ki gibi işe önce port taraması ile başlayalım.

Nmap taramamızda sadece 2 port olduğunu görüyoruz.Ayrıca nmap in -sC komutunu kullandığımız için nmapin içinde dahil olan scriptler sayesinde port 79(finger service) bize sammy ve sunny adlı iki kullanıcının olduğunu söylüyor.Fakat ben daha fazla açık port olma ihtimaline karşın”nmap -p- -v -sV 10.10.10.76″ komutu ile daha kapsamlı bir tarama yaptım.Fazla uzun sürdü ama 79 ve 111 portları dışında 22022,35342,56272 portlarının da açık olduğunu gördüm.Bu portlarda neler çalışıyor bir göz atalım.

22022 portunda ssh çalıştığını görüyoruz.Diğer portlar da normalde açık fakat serverdan kaynaklı bir sıkıntı olduğu için onlar closed gözüküyor.Ssh portu açık olduğuna göre ssh ile bağlanmayı deneyebiliriz.

Birkaç parola denemesinden sonra tahmin yoluyla parolanın sunday olduğunu buldum.Eğer siz tahmin ederek bulmak istemiyorsanız brute force toolları(örneğin hydra) kullanarak erişmeye çalışabilirsiniz.Her zaman ki gibi user olduktan sonra ilk yazacağımız komutlardan birini “sudo -l” komutunu giriyoruz.

“sudo -l” komutu ile root dizininde troll adlı bir dosyayı çalıştırabiliyoruz.Çalıştırdığımızda ise resimde gördüğünüz gibi bir dönüş alıyoruz.Yani şuanlık burdan bir şey çıkmaz gibi görünüyor.O zaman biraz enumeration yapalım.

Birkaç dosyaya baktım fakat ilgi çekici bir şey bulamadım.Daha sonra /backup dizinine baktığımızda shadow dosyasının yedeğini görüyoruz.İçine baktığımızda ise sammy adlı kullanıcının kriptolanmış şifresini görüyoruz.Hashi kırdığımız zaman (Ben john the ripper kullandım.) parolanın “cooldude!” olduğunu buldum.O halde sammy kullanıcısına giriş yapalım.

Evet gördüğünüz gibi başarılı bir şekilde sammy kullanıcısına giriş yaptık.Yine “sudo -l” komutu ile super user olarak parola istemeden neler yapabileceğine baktığımızda wget i çalıştırabildiğimizi görüyoruz.Wget ile herhangi bir serverdan dosya çekebileceğimiz gibi herhangi bir servera dosya da atabiliriz.O halde eğer biz root dizininde çalışan troll adlı dosyanın içine shell alabileceğimiz bir komut yazarsak ve bu dosyayı çalıştırırsak bize root kullanıcısına ait bir shell vermesi gerekir.Bu mantıktan hareketle kendi bilgisayarımda troll adlı bir dosya oluşturdum ve içine gerekli olan kodu yazdım.Ardından bir python httpserver açıp bu dosyayı wget yordamıyla /root/troll adlı dosya yerine kaydetmeye çalışalım.

Bu işlemleri tamamladık.Wget komutu ile dosyayı root dizinindeki troll adlı dosya ile değiştirdim.Daha sonra sunny kullanıcısına geçip “sudo /root/troll” komutunu çalıştırdım fakat hiçbir şey olmadı.Birkaç kere denedim fakat başarılı olamadım.Lakin daha sonra dosyanın bir iki saniye içinde resetlenebileceğini düşündüm o yüzden işlemimi resimde görüldüğü gibi yaptım.

Bu işlemi çok hızlı bir şekilde yaptığımızda gördüğünüz gibi root oluyoruz arkadaşlar.Umarım faydalı bir yazı olmuştur.Herkese başarılar…

2 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir