Merhabalar !

Bu yazıda Robin Dimyanoğlu tarafından CanYouPwnMe adına geliştirilip VulnHub‘da yayınlanmış olan 6days lab isimli zafiyetli sanal makinenin tam çözümünü inceleyeceğiz. Makineyi şuradan indirebilirsiniz.

NMAP TARAMASI SONUCU

Tarama sonucundan yola çıkarak, internet sitesini kontrol ettim. Beni aşağıda ki sayfa karşıladı;

Sayfada post isteği gönderebileceğim bir buton vardı. Daha önce “billub0x” sanal makinesinde kapıldığım gaflete kapılıp çılgınlar gibi sql payload’ı denemeden önce, burpsuite ile gönderdiğim isteklere bir göz atmaya karar verdim.

Sayfayı yenilediğim anda sitede ki resmi görüntülemek için bir GET isteği gönderildiğini fark ettim. Fakat bu istek sadece bir kaç saniye boyunca görünüyordu. Sitede ki post isteği kısmını es geçerek, burdan başlamamın daha mantıklı olacağına karar verdim. Birkaç sql payloadı denedim ama sonuç alamadım ve bir lfi payload’ı denediğimde;

Bingo ! Içeriyi bir süre kurcaladıktan sonra, işime yarayabilecek bir config.php dosyası buldum.

Bir sql injection çıkmasını beklemiyordum fakat, bana dönen bilgiyi incelediğimde bir database ismi ve localhost bilgisi vardı. Bu bilgiden ve ilk nmap taramasında ki 8080 portundan yola çıkarak, proxy üzerinden sql payloadları denemeye başladım.

Uzun bir süre ne denersem deneyeyim Malicious request blocked! sonucu aldıktan sonra, son çare olarak double-url encode tekniği ile payload denediğimde;

Bu sefer dönen sonuç farklıydı.

SSH portunun açık olmasından yola çıkarak, bu databaseden bir username password bilgi elde etmem gerektiği açıkça ortadaydı. Bende double-url encode tekniğini kullanarak kendime bu bilgiyi çekmek için bir payload oluşturdum;

andrea user’ı ile ssh bağlantısı yaptığımda ise bana çok kısıtlı bir shell verdi.

Kısıtlardan kurtulmak için, pentestlerin favori tek satır komutlarından biri olan nc -e /bin/bash komutuyla kendime yeni bir shell elde ettim.

Elde ettiğim yeni shellde uname komutunu çalıştırdığımda;

Öğrendiğim kernel bilgisi sonun yaklaştığının habercisiydi. Googleda kerneli arattığımda, bir adet hak yükseltme exploiti buldum.

Exploiti hedef sisteme atıp çalıştırdıktan sonra root yetkilerine yükseldim ve kök dizinde ki flag’ı çalıştırdım.


Engin Demirbilek