Tekrardan herkese merhaba. ­čÖé S─▒zm─▒┼č oldu─čumuz ilk pentest laboratuvar─▒ndan sonra olduk├ža g├╝zel mesajlar ald─▒m ve bu i┼če devam etmek istedim. Bu sefer serimize di─čerine g├Âre biraz daha zor olan pentest laboratuvar─▒m─▒z “Mr.Robot” ile devam etmek istiyorum.

Bu laboratuvar─▒m─▒zda 3 tane keyimiz mevcut. Bu ├╝├ž keyimiz farkl─▒ level sistemleriyle saklanm─▒┼č bir durumda. ─░lk keyimiz easy/basit seviyesinde, ikinci keyimiz ise ortalama alt─▒ ve ├╝├ž├╝nc├╝ keyimiz intermediate/orta seviyede.

Di─čer konumda, burada kulland─▒─č─▒m─▒z ├žo─ču arac─▒ a├ž─▒klad─▒─č─▒mdan dolay─▒ ├žo─ču zaman h─▒zl─▒ bir ┼čekilde ├╝zerinden ge├žece─čim. E─čer takip etmekte zorlanan arkada┼člar olursa bir ├Ânceki PentestLab1ÔÇÖe d├Ânmeleri yeterlidir.

Hadi hep birlikte, tek tek bu keylerimizi bulmaya ba┼člayal─▒m. ­čÖé

├ľncelikle sunucumuzu kurmam─▒zla beraber MR.ROBOT bize g├╝zelce bir selam veriyor. Fakat bir ├Ânceki sunucumuz gibi kendi ip adresini bize sunmad─▒─č─▒ndan dolay─▒ “netdiscover” arkada┼č─▒m─▒z─▒ yeni bir terminal a├žarak ├ža─č─▒r─▒yoruz.

IP bilgilerimizi almam─▒zla beraber hemen zaman kaybetmeden port tarama i┼člemine ge├želim. ­čÖé


Portlar─▒m─▒z─▒ taratt─▒k ve 80 Portumuzun a├ž─▒k oldu─čunu farkettik, o zaman bir web sunucusu mevcut !

Sunucu ipmize web taray─▒c─▒m─▒zla girmemizle beraber ├Ân├╝m├╝ze g├╝zel bir a├ž─▒l─▒┼č ekran─▒ geliyor. Sunucu sahibimizin yapt─▒─č─▒ seneryo ├╝zerinde birazc─▒k zaman kaybedip, ipucu aramaya koyuluyoruz. Hemen sayfan─▒n kaynak kodlar─▒n─▒ g├Âr├╝nt├╝lememiz laz─▒m.

Bu i┼člemle elimize bir ┼čey ge├žmiyor. Lakin, bizde ├žare t├╝kenmez. Hemen can dostumuz “dirb”i g├Âreve ├ža─č─▒r─▒yoruz. Biran ├Ânce sayfan─▒n g├╝n├╝n├╝ g├Âstersin !

Gerekli sayfa taramas─▒ndan sonra i┼čimize yarayacak ipu├žlar─▒ g├Âz├╝m├╝ze ├žarp─▒yor. /0/ klas├Âr├╝ ve robot.txt

├ľncelikle neymi┼č bu robot.txt. Bir g├Âz atal─▒m.

─░lk keyimizi bulmaya ba┼čard─▒k fakat di─čeride ne?

Hemen sunucumuzdan gelen veri transferini kabul edip, dosyam─▒z─▒ indiriyoruz. Fakat bu i┼člem s├╝rerken ┼×u /0/ klas├Âr├╝de neymi┼č hemen ona bakal─▒m.

Anla┼č─▒lan o ki bir wordpressimiz mevcut. Ama bizdede “wpscan” var. Bir ├Ânceki sunucumuzda yapt─▒─č─▒m─▒z i┼člemlerin ayn─▒s─▒n─▒ uygulamaya koyulal─▒m.

“wpscan –url http://192.168.1.36/0 –enumerate u”

GOTCHA !

Art─▒k elimizde wordpress sunucumuzdan s─▒z─▒lan usernameler mevcut. Peki biz bunlarla ne yapaca─č─▒z? Elde ┼čifre yok, bir bilgide yok. O zaman bir ┼čeyleri atlam─▒┼č─▒z, ama ne? Hemen bir ka├ž ad─▒m ├Ânce indirmi┼č oldu─čumuz dosyan─▒n ne oldu─čuna bakal─▒m !

A├ž─▒k├žas─▒ ilk ba┼čta bu dosyay─▒ a├žt─▒─č─▒mda korkmu┼čtum ├ž├╝nk├╝ hi├ž yerinde durmayan bir sayfa imleci mevcuttu. Fakat akl─▒ma ne geldi? San─▒r─▒m bu bir wordlist ! Peki.. Bunu nas─▒l kullanaca─č─▒z? Wpscan ile kolayca bruteforce uygulayabiliriz.

“wpscan –url http://192.168.1.36 –wordlist (word_listimizin_adresi) –username elliot

858.161 s├Âzc├╝k?! ├ľncelikle itiraf etmeliyim biraz beklemi┼čtim. Belki sunucu sahibimiz sabr─▒m─▒z─▒ test ediyordur, bir hile yapm─▒┼čt─▒r falan diye. Lakin ilk 5 dakika ge├žti gelen giden yok. Sonra oldu o 10 dakika. Dedim buraya kadarm─▒┼č, bu i┼čte bir i┼č var. Ama ne? Wordlistimizi hemen incelemeye ba┼člad─▒m. Bir ipucu mu saklan─▒yor? Ne oluyor i├žeride. Bakt─▒k├ža bakas─▒m geliyor ├ž├╝nk├╝ arada b├Âyle gizli mesajlarda var. Dizi karakterlerinin isimleri vesaire. D├╝┼č├╝n├╝yorum kara kara. Sonra farkettim ki ben burada ge├žen “jennifer” ismini bu wordliste daha ├Ânce g├Ârm├╝┼čt├╝m. Peki, bu bir rastlant─▒ olabilir mi? Denemekten zarar gelmez diyerek hemen i┼če koyuldum.

sort word_listimiz > yeni_word_listimiz

Sort komutumuz ismindende anla┼čabildi─či gibi wordlistimizin i├žerisinde ge├žen kelimeleri, say─▒lar─▒ alfabetik s─▒raya koyar. Hemen ne olmu┼č, ne bitmi┼č bir g├Âz atal─▒m.

San─▒r─▒m biri bizimle bir oyun oynuyor. ┼×imdi e─čri oturup do─čru konu┼čal─▒m. E─čer bu wordlistin i├žinde bu kadar tekrar eden harf/say─▒ varsa ka├ž tanesi benzersiz? Uniq ! Gel buraya karde┼čim, ┼čunlar─▒ bir hizaya sok !

uniq yeni_word_listimiz > yeninin_yenisi_word_listimiz

Uniq komutumuz wordlistimizde bulunan tekrar eden say─▒ ve s├Âzc├╝klerimizi tek par├ža haline getirir. Yani t├╝m klonlanm─▒┼č say─▒ ve s├Âzc├╝klerimiz art─▒k yerini orjinallerine b─▒rakm─▒┼čt─▒r.

Art─▒k t├╝m bu sorunlar─▒ ├ž├Âzd├╝─č├╝m├╝ze g├Âre i┼če koyulman─▒n zaman─▒ geldi. Tekrardan bruteforce uygulama zaman─▒ !

T├╝m tekrar eden say─▒lar─▒ ve s├Âzc├╝kleri wordlistimizden ├ž─▒kard─▒─č─▒m─▒zda elimizde sadece 11 bini ge├žik s├Âzc├╝k kal─▒yor. 800 binden geriye nereden baksan.. ─░yi, iyi.

├çok ge├žmedende ┼čifremize sonunda kavu┼čuyoruz. Zaman kaybetmeden hemen wordpress adresimiz olan http://192.168.1.36/0/ÔÇÖa ge├ži┼č yapal─▒m.

Howdy, Elliot ?

Bir ├Ânceki sunucumuzda, reverse_shell olu┼čtururken bunu mfsconsole yard─▒m─▒yla sa─člam─▒┼čt─▒k. Bu seferde msfvenom ├╝zerinden girelim bu i┼če.

Msfvenom ├╝zerinden reverse_shellimizin yap─▒m─▒na hemen ba┼člayal─▒m.

Terminalden Msfvenomu ├ža─č─▒rmam─▒zla beraber yan─▒na girdi─čimiz “-P” parametresi bulunan bir payload─▒ yaratmak istedi─čimizi g├Âsterir. Daha sonrada tabii payloadumuzun ne oldu─čunu giriyoruz. LHOST ve LPORT bildi─činiz ├╝zere payloadumuzun bize eri┼čmek i├žin kullanaca─č─▒ parametrelerdir. MsfconsoleÔÇÖda bunu “set LHOST LPORT” ┼čeklinde yaparken Msfvenomda her┼čeye i┼čin ba┼č─▒nda karar veriyoruz. Daha sonradan yok ben ├Âyle istemedim yok yani !

“-f” parametresi dosyam─▒z─▒n format─▒n─▒ belirtece─čimizi g├Âsterir.

Son olarakda “-o” parametreside output yani dosyam─▒z─▒n ├ž─▒k─▒┼č yolunu ve ismini belirtmemize yarar.

─░┼čte tamda istedi─čim yerdesin.

Peki biz bununla ne yapaca─č─▒z? Elimizde sadece reverse payload─▒m─▒z mevcut. Fakat ├Ânceki konumuzda uygulad─▒─č─▒m─▒zdan bir fark─▒ var. Art─▒k o bizimle beraber. Yani kan─▒yla can─▒yla klas├Âr├╝m├╝zde. Onu de─či┼čtirebiliyoruz, onu g├Ârebiliyoruz. E─čer durum b├Âyleyse bu dosyam─▒z─▒n kaynak kodlar─▒nada ula┼čabiliriz, ├Âyle de─čil mi? Bunuda basit bir ┼čekilde “Gedit sizma.php” diyerek yapabiliriz..

┼×imdi bu bizim ne i┼čimize yarayacak? E─čer sayfam─▒z─▒n admin paneline yetkimiz varsa bu dosyay─▒ upload edebilir, onu ├žal─▒┼čt─▒rabiliriz ├Âyle de─čil mi?

Dosyam─▒z─▒n kaynak kodlar─▒n─▒ hemen “404.php” sayfas─▒n─▒n kodlar─▒yla de─či┼čtiriyoruz. Bunuda Appearance > Editor k─▒sm─▒ndan yap─▒yoruz.

Peki s─▒rada ne var?

Hemen Mfsconsole yard─▒m─▒yla multi/handlerÔÇÖ─▒m─▒z─▒ g├Âreve ├ža─č─▒r─▒yoruz.

Gerekli parametrelerin giri┼čini yap─▒yoruz ve exploit ediyoruz !

┼×imdi geldi sayfam─▒z─▒ ├žal─▒┼čt─▒rmaya, yani vir├╝s├╝m├╝z├╝ demek istemi┼čtim. >)

Bakal─▒m, o─člumuz bizi duyabiliyor mu?

Sisteme giri┼č yapmam─▒zla beraber ├žok ge├žmeden dosyalar─▒m─▒z─▒ taramaya ge├žiyoruz.

G├Âz├╝m├╝ze ├žarpan ilk ┼čey ad─▒ndanda anla┼čaca─č─▒ gibi bir txt dosyas─▒ oluyor.

Cat komutuyla beraber i├žerisinde saklanm─▒┼č gizli mesaja bir selam verdikten sonra aramaya devam ediyoruz.

Dosyalar─▒m─▒z─▒ tararken ├žok ge├žmeden ikinci keyimize kavu┼čuyoruz.

LsÔÇÖnin yan─▒nda kulland─▒─č─▒m─▒z “-la” parametresi gizli dosyalar─▒ dahi g├Ârmek istedi─čimizi belirtir.

Fakat bir sorun var ki “cat” ile dosyam─▒za eri┼čmeye sa─čland─▒─č─▒m─▒zda bir hata mesaj─▒ ald─▒k. Bu neden kaynakl─▒ olabilir? Bunu ├Â─črenmemizin tek bir yolu var. Hemen linux terminalimize ge├ži┼č yapal─▒m ve sorunun kayna─č─▒n─▒ ├Â─črenelim.

Ve beklenen sonu├ž. Yetkimiz k─▒s─▒tlanm─▒┼č. Peki ┼čimdi ne yapaca─č─▒z derken, alt─▒nda saklanan “password.raw-md5” isimli dosyam─▒za ula┼č─▒yoruz. Burada ismindende anla┼čaca─č─▒ gibi md5 ┼čeklinde ┼čifrelenmi┼č bir mesaj─▒m─▒z var. Peki bunu nas─▒l a├žaca─č─▒z?

Olduk├ža se├žene─čimiz mevcut. ─░sterseniz hi├ž u─čra┼čmadan internette md5 format─▒nda ┼čifrelenmi┼č yaz─▒lar─▒ a├žan siteleri kullanabilirsiniz. Yada di─čer yol, benim gibi try hard seviyorsan─▒z, u─čra┼čmay─▒ seviyorsan─▒z terminalden kendinizde ├ž├Âz├╝m├╝n├╝ yapabilirsiniz.

“findmyhash” bu i┼č kullanaca─č─▒m─▒z programlardan biridir.. Yan─▒nda belirtti─čimiz “MD5” ise format─▒m─▒z. En sondaki “-h” parametreside sadece tek bir ┼čifrelenmi┼č mesaj k─▒raca─č─▒m─▒z─▒ belirtir.

Ve ├žok ge├žmeden ┼čifremize ula┼č─▒yoruz.

Peki bu ┼čifremizle ne yapaca─č─▒z? Onu daha bilmiyoruz. Sanki ┼čifremizi buldu─čumuz text dosyam─▒zda ┼čifrelenmemi┼č bir s├Âzc├╝k daha vard─▒. “Robot” Bu bir username olmas─▒n?

─░lk kulland─▒─č─▒m─▒z “Su” farkl─▒ bir kullan─▒c─▒ya ge├ži┼č yapmak istedi─čimizi belirtir.

Fakat bir hatayla kar┼č─▒la┼čt─▒k, bize bu i┼člem i├žin yanl─▒┼č terminalde oldu─čumuzu s├Âyl├╝yor. ┼×imdi ne yapaca─č─▒z?

├ľncelikle neredeyse hemen hemen her PentestLabÔÇÖ─▒nda bu i┼člem ger├žekle┼čilir. Bu sorulur ve cevaplan─▒r. Kesinlikle de─či┼čmez. Burada birazc─▒k hile yapmam─▒z gerekecek anla┼č─▒lan.

Nedir bu hile? Sunucunun terminaline ge├žmemiz laz─▒m. Bunuda ancak pythonun deste─čiyle yapabiliriz. Hemen bir sat─▒rdan olu┼čan, python k├╝t├╝phanemizden gelen metodlardan birini uyguluyoruz. Sunucumuzun terminaline ge├ži┼č iste─činde bulunuyoruz. Tabii sormadan >)

Art─▒k ge├žti─čimize g├Âre, kullan─▒c─▒m─▒z─▒ rahatl─▒kla de─či┼čtirebiliriz. Elimizde olan MD5 format─▒nda k─▒r─▒lm─▒┼č olan ┼čifremizi yaz─▒p, kullan─▒c─▒m─▒za giri┼č yap─▒yoruz.

Ve art─▒k ikinci keyimize ula┼čt─▒k ! Buraya kadar ├žok zor de─čildi asl─▒nda ├Âyle de─čil mi?

Fakat di─čer key nerede? Acaba root alt─▒nda m─▒ saklan─▒yor?

Fakat root olmad─▒─č─▒m─▒z i├žin tekrardan eri┼čim iste─čimiz reddedildi. Ee, ne yani bu yetkiyle sadece keyimize ula┼čmak i├žin mi eri┼čtik? Bir anlam─▒ olmal─▒. Hemen bu yetkimizle beraber eri┼čebilece─čimiz dosyalar─▒ taramaya ba┼čl─▒yoruz.

” find ” arama i┼člemi ba┼člatmaya,

” -perm ” Parametresi kulland─▒─č─▒m─▒z userÔÇÖ─▒n eri┼čebilece─či dosyalar─▒ s─▒ralamam─▒za yarar.

Gel zaman git zaman, sonunda listeledi─čimiz filelar─▒n, folderlar─▒n aras─▒ndan bir bilgi dikkatimi ├žekmi┼čti. “usr/local/bin/nmap” . Nmap normal ┼čartlarda listeleme i┼člemi yapt─▒─č─▒m─▒zda yani kar┼č─▒m─▒za ├ž─▒kamayacak bir dosya. Onu oraya birinin yerle┼čtirmi┼č olmas─▒ laz─▒m ki neden?

Hemen bir versiyon tarama i┼člemi ger├žekle┼čtirelim, bakal─▒m bir ┼čey yakalayacak m─▒y─▒z?

“-V” Parametresi bir dosyan─▒nda versiyonunu ├Â─črenmek istedi─čimizde yard─▒m─▒m─▒za ko┼čar.

Peki ┼čimdi ne yapaca─č─▒z?

Hat─▒rlar─▒mda burada ortalama 1 saat ac─▒ ├žekmi┼čtim. Ne yani elimizde bir nmap ve birde onun versiyon bilgisi var. Google amcam─▒za soral─▒m bu nmapin di─čerlerinden farkl─▒ neymi┼č. Bu s├╝r├╝m ne getirmi┼č bize?

Uzunca bir s├╝re googleÔÇÖda arama yapt─▒ktan sonra ├Â─črenmi┼čtim ki, bu versiyonumuzla birlikte gelen yeniliklerden biride bu dosyaya ula┼čabilen kullan─▒c─▒lara “Root” yetkisinin verilebilece─či. Ne kadar ilgin├ž de─čil mi? Arkada┼čta bizi u─čra┼čt─▒rmak i├žin elinden geleni yapm─▒┼č.

├ľ─črendi─čim bilgilere g├Âre “–interactive” komutuyla eri┼čim sa─člayabiliyormu┼čuz. Hadi deneyelim.

Ben art─▒k “Root”um ! Ben art─▒k alfay─▒m !

Ama hala ├╝├ž├╝nc├╝ keyimize ula┼čamad─▒k. Daha folderlar, filelar aras─▒nda tur atmadan hemen bunu k─▒sa yoldan yapal─▒m.

Find imdad─▒m─▒za ko┼čuyor ve istedi─čimiz dosyay─▒ kolayca bulabiliyoruz. Keylerin isimleri s├╝rekli bir seri halinde oldu─ču i├žin ” key-1-of-3.txt – key-2-of-3-.txt ” gibi, tahmin y├╝r├╝terek kolayca bulmay─▒ ba┼čard─▒k. Aksi taktirde tekrardan zaman kaybetmemiz gerekecekti.

Ve art─▒k son keyimizede ula┼čmay─▒ ba┼čard─▒k !