KB-Vuln Writeup

KB-Vuln Writeup

Merhaba. Bu yazıda KernelBlog ekibinin hazırlamış olduğu KB-VULN zafiyetli makinesinin çözümünü anlatacağım. Daha çok uzatmadan çözüme geçiyorum.

Zaafiyetli makine VirtualBox için üretilmiş. Bu yüzden VirtualBox üzerinde çalıştırıyorum. Makinenin IP adresi 192.168.1.115

Keşife önce nmap taraması yaparak başlıyorum. 

nmap -sV -sC -p- -v 192.168.1.115

Tarama sonucunda açık portlar

21 FTP(Anonymous FTP login allowed)

22 SSH

80 Apache httpd 

Ftp üzerinden Anonymous girişin serbest olduğunu gördükten sonra ilk durak olarak ftp hizmetini seçtim. Girdiğimde gizli bir “.bash_history” dosyası ile karşılaştım.

Dosya içerisinde “00-header” dosyasının düzenlenmiş olması dikkatimi çekti ama yeterli bir bilgi olmadığından yoluma devam ettim. Ftp hizmetinden alabileceklerim şimdilik bu kadar. 

Sırada Apache hizmeti var. Bu hizmette “oneschool” adında bir web sitesi barınıyor. Web sitesini incelerken alışkanlıktan dolayı kaynak kodlarına baktım. Sayfada aşağı inerken bir yorum satırı ile karşılaştım. Satırda “ <!-- Username : sysadmin --> “ yazıyordu. 

Aklıma direkt bruteforce yapabileceğim geldi. Hemen ssh hizmetine bruceforce saldırısı düzenledim. Çok geçmeden ekranda şifrenin bulunduğuna dair bir uyarı ile karşılaştım.

Ssh üzerinden sysadmin hesabına giriş yaptım. Ekranda hoşgeldiniz metni karşılıyordu.

Yoluma devam ettim ve user flag’ı aldım. Ardından yetki yükseltme için araştırmalara başladım. Mevcut işletim sistemi sürümü için bilinen bir exploit bulamadım. Ardından ftp hizmetinde düzenleme kaydı bulunan “00-header” dosyası aklıma geldi. Dosyayı açtığımda sunucu açılışındaki “WELCOME TO KB-SERVER” yazısının yazılması için gerekli kod mevcuttu. Yazacağım bir kodun çalışıp çalışmayacağını denemek için hemen alt satıra “id” yazdım. Ssh bağlantısını kesip tekrardan bağlandığımda gördüğüm manzara düşündüğümü destekler durumdaydı.

00-header” dosyasını tekrardan düzenleyerek shadow dosyasını okuyabileceğim duruma getirdim. Tekrardan ssh bağlantısı yaptığımda karşılama metni olarak shadow dosyasının içeriğinin olduğunu gördüm. Gerçekten de güzel bir karşılama 🙂

Şifreyi Çözmek İçin John Gerekti

Root kullanıcısının bilgilerini kendi bilgisayarıma kaydedip şifreyi john aracı ile çözdüm. Root kullanıcımızın şifresi “password2”.

Daha sonrasında halihazırda açık olan ssh oturumunda “su” komutunu kullanarak root oldum ve flag metnini bu şekilde okudum.

User Flag - 48a365b4ce1e322a55ae9017f3daf0c0
Root Flag - 1eedddf9fff436e6648b5e51cb0d2ec7

Bu yazımda KB-VULN zafiyetli makinesi için anlatacaklarım bu kadar. Okuduğunuz için teşekkür ederim.

Related Posts

Leave a Reply