- 26 Ara 2015
- 51
- 0
https://www.vulnhub.com/entry/hackademic-rtb1,17/
Bu uygulamada sql injection ve web shell örnekleri incelenmiştir. Wordpress üzerinde tarama yapılarak ilerlendikten sonra sql injection ile yetkili wordpress kullanıcısının bilgileri veri tabanından çekilerek login işleminden sonra nasıl web shell alınacağının uygulaması yapılmıştır. Son adımda root hakları elde edilmiştir.
İlk adımda IP adresi tespiti yapılarak port tarama işlemi gerçekleştirilmiştir.
Çıktıdan da görülüceği üzere hedef işletim sistemi üzerinde SSH ve HTTP portları açıktır.
Nikto ile hızlı bir tarama aşağıdaki gibi yapılmıştır.
Nikto ile çok kayda değer bilgiler elde edilememiştir.
Web sitesi görüntülenerek girdi noktalarına bakılmıştır.Sayfanın kaynağı incelendiğinde hedefte wordpress kullanıldığı görülmüştür.
Wpscan aracı ile yapılan tarama sonucunda aşağıdaki açıklıklar tespit edilmiştir.
Aynı zamanda dizin keşfi yapılarak login sayfası belirlenmiştir.
Yukarıdaki analizden de görüleceği üzere hedef üzerinde potansiyel sql injection açıklığı vardır.
Siteyi biraz daha dolaşarak hedefe gönderilen postların olduğu sayfa görüntülendiğinde, GET parametresi ile girdi alan cat parametresi bulunmuştur.
Girdi noktasına uygulanan " ' " ile sql injection açıklık kontrolü yapılmıştır.Aşağıda da görüleceği üzere sayfa sql injection açıklığı barındırmaktadır.
Bu noktadan sonra manuel olarak aşağıdaki sorgularla sql injection yapılmıştır.
Aynı işlem sqlmap aracıyla otomatik olarak aşağıdaki gibi yapılmıştır.
İstek kaydedilerek sqlmap aracına verilmiştir.
Aşağıdaki parametreler kullanılarak wp_user adlı tablo verileri çekilerek şifre özetleri kırılmıştır.
Veri tabanından elde edilen bilgiler ile GeorgeMiiler kullanıcısı ve q1w2e3 şifresi ile panalden giriş yapılmıştır.Giriş yapıldıktan sonra Presentation, theme editor sekmelerinden 404.php sayfası web shell kodlarıyla değiştirilmiştir.
php-reversehell.php içerisindeki kodlar 404.php ile değiştirilir.
Sayfa görüntülendiğinde nc ile açılan handler noktasından shell bağlantısı alınmıştır.
Lokalde yetki yükseltmek için uygun exploit araması yapıldığında rds exploitunun bu sistem için uygun olduğu görülmüştür.
Uygun exploit indirilerek hedefe HTTP ile transfer edilmiştir.
Linux kutuda yetki yükseltilerek root hakları elde edilmiş shell bağlantısı alınmıştır.
Bu uygulamada sql injection ve web shell örnekleri incelenmiştir. Wordpress üzerinde tarama yapılarak ilerlendikten sonra sql injection ile yetkili wordpress kullanıcısının bilgileri veri tabanından çekilerek login işleminden sonra nasıl web shell alınacağının uygulaması yapılmıştır. Son adımda root hakları elde edilmiştir.
İlk adımda IP adresi tespiti yapılarak port tarama işlemi gerçekleştirilmiştir.
Kod:
nmap -A -T5 -n 10.0.2.4
Çıktıdan da görülüceği üzere hedef işletim sistemi üzerinde SSH ve HTTP portları açıktır.
Nikto ile hızlı bir tarama aşağıdaki gibi yapılmıştır.
Kod:
nikto -h http://10.0.2.4
Nikto ile çok kayda değer bilgiler elde edilememiştir.
Web sitesi görüntülenerek girdi noktalarına bakılmıştır.Sayfanın kaynağı incelendiğinde hedefte wordpress kullanıldığı görülmüştür.
Wpscan aracı ile yapılan tarama sonucunda aşağıdaki açıklıklar tespit edilmiştir.
Kod:
wpscan --url http://10.0.2.4/Hackademic_RTB1/ --enumerate u
Aynı zamanda dizin keşfi yapılarak login sayfası belirlenmiştir.
Yukarıdaki analizden de görüleceği üzere hedef üzerinde potansiyel sql injection açıklığı vardır.
Siteyi biraz daha dolaşarak hedefe gönderilen postların olduğu sayfa görüntülendiğinde, GET parametresi ile girdi alan cat parametresi bulunmuştur.
Girdi noktasına uygulanan " ' " ile sql injection açıklık kontrolü yapılmıştır.Aşağıda da görüleceği üzere sayfa sql injection açıklığı barındırmaktadır.
Bu noktadan sonra manuel olarak aşağıdaki sorgularla sql injection yapılmıştır.
Kod:
http://10.0.2.4/Hackademic_RTB1/?cat=1
Kod:
http://10.0.2.4/Hackademic_RTB1/?cat=1'
Kod:
http://10.0.2.4/Hackademic_RTB1/?cat=1 order by 1
Kod:
http://10.0.2.4/Hackademic_RTB1/?cat=1 order by 2
Kod:
http://10.0.2.4/Hackademic_RTB1/?cat=1 order by 3
Kod:
http://10.0.2.4/Hackademic_RTB1/?cat=1 order by 4
Kod:
http://10.0.2.4/Hackademic_RTB1/?cat=1 order by 5
Kod:
http://10.0.2.4/Hackademic_RTB1/?cat=1 order by 6
Aynı işlem sqlmap aracıyla otomatik olarak aşağıdaki gibi yapılmıştır.
İstek kaydedilerek sqlmap aracına verilmiştir.
sqlmap -r/root/Desktop/injection.pcapng -p cat --dbms mysql --current-db
Aşağıdaki parametreler kullanılarak wp_user adlı tablo verileri çekilerek şifre özetleri kırılmıştır.
Veri tabanından elde edilen bilgiler ile GeorgeMiiler kullanıcısı ve q1w2e3 şifresi ile panalden giriş yapılmıştır.Giriş yapıldıktan sonra Presentation, theme editor sekmelerinden 404.php sayfası web shell kodlarıyla değiştirilmiştir.
php-reversehell.php içerisindeki kodlar 404.php ile değiştirilir.
Sayfa görüntülendiğinde nc ile açılan handler noktasından shell bağlantısı alınmıştır.
Kod:
http://10.0.2.4/Hackademic_RTB1/wp-content/themes/starburst/404.php
Lokalde yetki yükseltmek için uygun exploit araması yapıldığında rds exploitunun bu sistem için uygun olduğu görülmüştür.
Uygun exploit indirilerek hedefe HTTP ile transfer edilmiştir.
Linux kutuda yetki yükseltilerek root hakları elde edilmiş shell bağlantısı alınmıştır.
Moderatör tarafında düzenlendi: