KB VULN-2 Makine Çözümü

Bu yazıda Kernelblog ekibinin hazırlamış olduğu KB VULN-2 makinesinin çözümünü yapacağım. Serinin ilk makinesini çözdüğüm yazıya aşağıdaki bağlantıdan ulaşabilirsiniz.

Bilgi Toplama

İlk olarak nmap ile başlıyorum. Sunucuya nmap çektiğimde beni SSH, FTP, HTTP ve SMB karşılıyor.

İlk olarak her zaman ki gibi web sunucusuna göz atmak için ip adresini tarayıcıma yazdığımda apache varsayılan sayfası ile karşılaştım. Burada dirbuster ile ufak bir dizin taraması işleminden sonra /wordpress diye bir klasör olduğunu farktettim.

İlk aklıma gelen şey wordpress sürümünün exploit içerebileceğiydi. Ancak bu konudaki araştırmalarım boşa çıktı. Sonra kullanıcı adının admin olmasından dolayı aklıma bruteforce saldırısı yapmak geldi. Rockyou ile uzun süren bir brute işlemi de beni hiçbir sonuca ulaştıramadı.

Web kısmını askıya alıp nmap tarama sonuçlarına geri döndüm. Biraz araştırma yaptığımda SMB protokolünün dosya paylaşımı protokolü olduğunu gördüm. Boş bir dosya yöneticisi açıp smb://10.0.2.5 yazmak ve Anonim olarak bağlantı kurmak içerideki backup.zip dosyasını görüntüleyebilmemi sağladı.

Backup.zip dosyasının içerisinde wordpress şifresini buldum. Daha sonra ise kullanıcı adı admin şifre MachineBoy141 olarak wordpress’e başarıyla giriş sağladım.

Saldırı

WordPress paneline erişip tema düzenleyicisinin açık olduğunu görünce internetten bulduğum alelade bir PHP Shell scriptini oradan sisteme yükledim. İçeriye girdiğimde read_ME.txt dosyasının içerisinde user.txt dosyasının kbadmin kullanıcısında olduğunu gördüm. Şanslıydım ki www-data kullanıcısının kbadmin dosyalarını görüntülemeye yetkisi varmış. kbadmin home klasöründen kullanıcı bayrağını elde ettim.

User: 03bf4d20dac5644c75e69e40bad48db0

Şimdi gelelim asıl soruna yetki yükseltme işlemini rahat bir şekilde gerçekleştirebilmem için php shell yerine güzel bir terminal ekranına ihtiyacım var. İlk aklıma gelen şey olan kbadmin kullanıcısının şifresinin wordpress admin şifresi ile aynı olmasıydı. Gerçektende işe yaradı ve user shell elde edebildim.

Yetki Yükseltme

İçeride docker kullan şeklinde bir yazı gördüm. Docker sistemini biraz araştırınca non-root user olayını öğrendim. Yapmam gereken tek şey terminale aşağıdaki komutu yazmak oldu.

sudo -l cat /root/flag.txt
Root: dc387b4cf1a4143f562dd1bdb3790ff1

Böylece root flagini başarıyla elde etmiş oldum.

Makine Hakkında

İlk makine gibi gayet hoş bir makine olmuş. Özellikle Docker non-root işlemini ilk kez bu makinede deneyimlemiş oldum. Serinin diğer makinelerini de çözmeyi planlıyorum.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.