Hackthebox Nest Makinesi Çözümü

Hackthebox Nest Makinesi Çözümü

Merhabalar arkadaşlar, bugün , dün akşam emekliye ayrılan Nest makinesinini çözümünü anlatmaya çalışacağım.Temel seviye 30 puan bir windows makinesidir.Nmap ile başlayalım.

sudo nmap -sS -sC -sV 10.10.10.178

Sistemde görüldüğü üzere sadece 445 portu açık.Detaylı bir port araştırması yapmadan direkt olarak 445 numaralı port yöneldim.Bizde smb portuna yönelerek enumerate işlemlerine başlayalım.Smbclient kullanarak paylaşılan smb alanlarını görüntüleyebiliriz.

smbclient -L 10.10.10.178

Burada Data isimli paylaşım alanı dikkatimizi çekti.Aslında bu makinenin can sıkıcı olmasının nedeni sizi uğraştırması ve sürekli olarak araştırma yapmak zorunda kalmanızdır.

smbclient \\\\10.10.10.178\\Data
cd Shared\Templates\HR
mget *

Data alanında araştırma yaparken Welcome Email.txt isminde bir dosya bulduk.Bulduğumuz dosyayı mget ile kendi makinemize indirip incelediğimiz zaman TempUser isimli kullanıcıya ve bu kullanıcıya şifreyi elde ettik.

User Enumeration

TempUser kullanıcısı bizim secure$ paylaşım alanına girmemizi sağlıyor.Aynı zamanda Data alanında misafir olarak ulaşamadığımız kısımlara da ulaşmamızı sağlıyor.Örneğin IT kısmına

smbclient \\\\10.10.10.178\\Data -U TempUser

Şimdi araştırma yapıyorum.Misafir olarak erişemediğim için IT dizinine odaklanmış şekilde.Ru_config.xml isminde şifreye ulaştık.C.smith isimli kullanıcıya ait.

mget *

Config dosyasını inceleyelim.


Dosyaya baktığımız zaman C.smith kullanıcısı ve şifresini gördük.Bu şifreyi decrypt secure$ dizinide biraz araştırma yapmamız gerekiyor. Buradaki dosyaları smbget ile indiriyorum.

smget -rR smb://10.10.10.178/Secure$/IT/Carl -U TempUser

İndirdiğimiz dosyalardan Utils.vb isimli dosya şifre çözüyor.Online bir site kullanıyoruz.Buradan ulaşabilirsiniz.Sadeced şifre kısmına C.smith şifresini yazarak çözebiliriz.


Kullanıcı adı:C.Smith

Parola: xRxRxPANCAK3SxRxRx

Şimdi user.txt‘yi okuyabiliriz.


Privigele Escalation

Şimdi sırada root olmak var.User.txt‘yi okuduğumuz kısımda HQK Reporting isimli kısıma bakıyoruz.Karşımıza 2 dosya ve bir dizin çıktı.


HQK_Config_Backup.xml isimli dosyayı incelediğimiz zaman 4386 isimli porttan bahsediyor.Debug Mode Password.txt‘yi indiremiyince allinfo komutumuzla inceliyoruz.

allinfo "Debug Mode Password.txt"

Altname ve stream isimlerini verdi.Şimdir more komutunu kullanarak inceleyelim.

more DEBUGM~1.TXT:Password:$DATA

Karşımıza WBQ201953D8w şeklinde şifre geldi.Bunu ve port numarasını kullanarak telnet ile sisteme bağlanıyoruz.


Zaten telnet servisi bizi yönlendiriyor.LDAP dizininde ldap.conf isminde bir konfigürasyon dosyası çıktı karşımıza

Birde exe dosyası.Bu exe dosyası daha önce C.smith kullanıcısının dosyalarında da görmüştüm.


Şimdi exe dosyasını inceleyelim.ILSpy ile inceleyelim


C.smith kullanıcısının şifresini çözmek için kullandığımız parametrelerin admin için doğru parametreleri bize vermişler.Bizde bu parametreleri kullanarak C.smith kullanıcı için kullandığımız kodları kullanarak admin şifresini elde etmeyi deniyoruz.Sonuç başarılı.


Şimdi şifreyi kullanarak sisteme girip root olabiliriz.

Okuduğunuz için teşekkür ederim.Başka yazılarda görüşmek üzere.

Related Posts

Facebook Comments