Vulnhub – LazySysAdmin Makine Çözümü (Write-Up)

Merhabalar Arkadaşlar,

    Öncelikle size birazcık Vulnhub sitesinden bahsetmek istiyorum. Vulnhub’da adından anlaşacağı üzere zafiyetli olan makineler sisteme yükleniyor. Dereceleri yazılıyor ve bizim gibi kendini geliştirmek isteyenler için indirip sızma testi denemeleri yapmamızı sağlıyor.

  Bende bu yazımızda LazySysAdmin makinesinin çözümü anlatacağım.Fakat burada ne kadar ben çözsem de öncelikle sizin makine üzerinde baya bir deneme yapmanız gerekmektedir.Daha sonradan bu eğer ki zorlandığınız kısım var ise buradan ufak ufak ipucular alarak yine kendiniz sızmaya çalışırsanız sizin açınızdan daha faydalı olur.

  Makinemizin kurulumunu anlatmayacağım.Çünkü basit bir şekilde ova dosyasını indiriyoruz ve onu vmware veya virtualbox gibi sanal makine çalıştıran programlarımıza yüklediğimiz zaman zaten çalışıyor.Bazen makineler arası iletişim sorunu oluyor.Bunun çözümü ise her iki makineyi de (Sızacağınız makine ve Atak yapacağınız makine) ağ ayarlarından NAT yaparsanız düzelecektir.

LazySysAdmin makinesi indirmek için buraya tıklayabilirsiniz.

 Evet artık başlamamızın zamanı geldi bence.Öncelikle makinemizin IP adresini öğrenmek için netdiscover komutunu kullanıyoruz.Netdiscover ağımızda bulunan bütün hostları karşımıza getirir.

Evet ağımıza düşmüş demekki iletişime geçebiliyoruz.Bu yüzden hemen bir nmap taraması yapıyorum.

Nmap taramamızın sonucunda 22(SSH),80(HTTP),139,445(SMB),3306(MYSQL),6667(IRC) portları açık.HTTP servisimizin açık olduğunu görünce ve ayrıca robots.txt’nin içinde de bazı bilgilerin olduğunu görünce belki bişeyler çıkar diye 80 portuna web tarayıcımızdan giriyoruz.

Karşımıza böyle bir ekran geldi.Burada çok bir işlem yapamıyoruz.Sayfa kaynağında da bir şey bulamadığımız için robots.txt kısmına geçiyoruz.

Robots.txt kısmında 4 tane dizinin açık olduğunu gösteriyor.İçlerine girdiğimizde yine işimize yarayacak pek bir şey bulamıyoruz.

Ben garanti olsun diye birde dirb ile dizin taraması yapıyorum.

Baya bir dizin çıktı hatta devam ediyordu.Benim dikkatimi wordpress giriş sayfası ve phpmyadmin çekti.Fakat giriş bilgileri elimizde olmadığı için bir şey yapamadık.Default user,pass’leri de denedik tabiki ama buradan bize ekmek çıkmayacaktı belliydi.Gidişatımızı değiştirmemiz lazımdı.O yüzden http portundan vazgeçtik.

Diğer bir açık olan 139 ve 445 portlarında SMB server çalışıyordu.Bu yüzden burdan bir enum yaparsak belki bişeyler çıkar diyerek giriyoruz.

Enum4linux toolu ile enumeration yapıyoruz.Enum4linux windows ve samba sistemlerinde enumeration yapmak için kullanılan bir tooldur.

 

Burada sistemdeki shared dosyalarını bulduk işimize yarayabilir. 

 

Bu iki yer ise ise 2 tane user bilgisi bulduk.Gayet yararlı bir enumeration gerçekleştirdiğimizi düşünüyorum.

Daha sonradan share bilgilerinden yola çıkarak aklımıza smbmap ile acaba bu shared dosyalarından bağlanabileceğimiz bir yol varmıdır diye bakalım.

Evet bu dosyalar arasından share$ dosyasının read only olduğunu gördüğümüze göre smbclient ile bağlanabiliriz.

Smbclient ile bağlandığımız zaman dosyaları listelediğimizde bazı dosyalar ve dizinler karşımıza çıkıyor.Tek tek baktığımızda deets.txt dosyasının içinde bir password bilgisi alıyoruz.

Evet password’da bulduğumuza göre.Elimizde 2 tane username bilgiside vardı.Acaba bunları nerede kullanabiliriz?

Phpmyadmin ve WordPress giriş sayfalarına erişebildiğimiz aklımıza geliyor.Fakat deneme yaptığımızda giriş yapamıyoruz.Daha sonradan ssh portunun açık olduğunu bildiğimiz için ssh portu üzerinden giriş yapmayı deniyoruz.

Username olarak togie’yi seçtiğimiz zaman ve parolayıda 12345 yazınca sisteme giriyoruz.Fakat girdiğimiz sistem rbash olarak karşımıza çıktığımızdan dolayı hiçbir işlem yapamıyoruz.

Bu yüzden her zaman kullandığımız python scriptimizi yazıyoruz ve bash’e geçiş yapıyoruz.

Sistemde ilginç bir şekilde sudo su yaptıktan sonra parola kısmına yine bulduğumuz parolayı girince root oluyoruz.Root olmayı bu kadar basit bir şekilde olacağını tahmin etmemiştim.Hatta bunu denememiştim.Linux kernel’de exploit bulmuştum oradan yürüyecektim ki bunu görünce şaşırdım.Ama sizde kendiniz ayrıca exploiti deneyerekte root olabilirsiniz.

Root olduktan sonra da /root dizininde proof.txt’yi buluyoruz.Veee flagimizi de aldığımıza göre bu makinemizin de sonuna geldik.

Yazımı okuduğunuz için teşekkür ederim.Umarım sizin için faydalı olmuştur.Hatalarım varsa yorumda belirtebilirsiniz.:)

 

 

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir