KB VULN-1 Makine Çözümü

Bu yazımda kernelblog ekibinin hazırlamış olduğu vuln1 makinesinin çözümünü göstereceğim. Öncelikle makinenin adresini merak edenler için vulnhub linkini bırakarak başlayayım.

https://www.vulnhub.com/entry/kb-vuln-1,540/

Öncelikle makineyi ilgili adresten indirip köprü bağdaştırıcısı ayarlarını yapmamız gerekiyor. Tüm işlemler tamamsa çözüme geçebiliriz.

Bilgi Toplama

İlk işimiz makinenin ip adresini bulmak olmalı. Şu anda makine ile sanal olarak aynı ağda gözüktüğümüzden nmap ile ip bloğu taraması yaparak olası ip adreslerini toplamamız gerekmekte.

Kali üzerinden ifconfig yazdığımda bana 10.0.2.15 ip adresini atadığını görüyorum. Bu demek oluyor ki ip bloğumuz 10.0.2.1/24. Şimdi bu ip bloğuna nmap taraması gerçekleştiriyorum.

İlgili tarama işleminin ardından aktif 4 adet ip adresi listeleniyor. Bunlar ise sırasıyla şöyle: 10.0.2.1, 10.0.2.2, 10.0.2.3, 10.0.2.15 . Şimdi 2.1 ip adresi virtualbox sanal ağ yöneticisine ait o yüzden onu devre dışı bırakıyorum. 2.15 ise az önce ifconfig üzerinde gördüğümüz üzere bizim ip adresimiz bu yüzden bu da devre dışı kalıyor. Geriye sadece 2.2 ve 2.3 ip adresleri kalıyor. Bunlara ise sırasıyla nmap port taraması gerçekleştirdiğimde aradığım makinenin 2.3 olduğuna emin oluyorum.

Sayfada azıcık gezindiğinizde butonların tıklanamadığını, formların çalışmadığını fark ediyorsunuz. Haliyle sayfanın kaynak kodlarını incelediğimde ufak bir ipucu ile karşılaştım.

Kullanıcı adının sysadmin olduğu yorum satırı içerisinde belirtilmişti. Bunu not alıp yolumuza devam ediyoruz.

İlk aklıma gelen işlem bir admin paneli veya giriş formu bulmak oldu ancak dirbuster ve robots.txt dosyaları sonuç vermeyince bundan vazgeçtim. Sonrasında sunucuda bulunan servisleri herhangi bir zafiyet var mı diye araştırdım ancak bu araştırmalarım da bir sonuç vermedi.

80 portundan daha fazla veri elde edemeyeceğimi ve servis sürümlerinde bilindik bir zafiyet olmadığını farkedince 21 FTP ve 22 SSH portlarına bruteforce saldırısı yapmak aklıma geldi.

Saldırı

SSH portuna brute force gerçekleştirebilmek için kali içerisinde hazır gelen hydra aracını kullanmaya karar verdim. Wordlist olarak ise rockyou.txt kullandım.

hydra -l sysadmin -P /usr/share/wordlist/rockyou.txt -t 4 ssh

SSH brute force saldırısının sonucunda ssh parolasına ulaşmayı başarıyorum (password1). Bağlantı sonrasında user.txt’yi okuyarak flagi elde ediyorum.

Yetki Yükseltme

/tmp, /var/www gibi bir kaç klasörü gezdikten sonra home klasörü içerindeki ftp klasörü dikkatimi çekti. Bu klasörün içerisinde .bash_history isminde gizli bir dosya bulunmakta. Bash dili ile yazılmış bu dosyanın içeriğinde ise /etc/update-motd.d/00-header adındaki bir dosyanın nano ile açıldığı gözüküyor.

İlgili dosyayı nano ile düzenlemeye aldığımda echo ile bir yazı yazdırıldığını ve bu yazının ssh bağlantısı sağlandığında en üstte yazan yazı olduğunu farkettim.

Hemen bir alt satıra whoami yazıp ssh ile tekrar bağlantı isteği gönderdiğimde welcome yazısının altında root yazmaktaydı.

Artık yapılması gereken şey ise whoami yerine /root klasörünün içeriğini okumaktı. ls -la /root yazarak devam ettim.

flag.txt yi root klasörünün altında görünce son olarak cat /root/flag.txt yazarak flag dosyasının içeriğini okumuş oluyorum.

Makine Hakkında

Makineyi uzun zamandır çözmek istememe karşın yeni çözme fırsatı yakaladım. Yeni başlayanların kolayca çözebileceği güzel bir makine olmuş. Emeği geçenlerin ellerine sağlık. En kısa sürede serinin diğer makinesi olan KB VULN-2 makinesinin de çözümünü yapmayı düşünüyorum.

Leave a Reply