#typhoon — LotusCMS ile ilerleme #2

#typhoon — LotusCMS ile ilerleme
merhabalar ben numan türle, bu yazıda sizlerle birlikte prismacsi typhoon makinesini kurulu olan LotusCMS scripti üzerinden çözümlemeye çalışacağız.
makinenin ip adresini nmap ile ip aralığını sorgulayarak bulabiliriz.
nmap 192.168.1.1–50
hızlı tarama sonucu ;

80 portundan devam ediyoruz.

ilk girdiğimizde sayfa kaynağını inceleyip site hakkında bilgi toplayabiliriz ana sayfada bizi TYPHOON v1 hoş geldiniz sayfası bekliyor. dirbuster programımızı çalıştıralım.

dirbuster : çalışan bir web serviste var olan dosya/klasörleri önceden belirlenmiş beli listeleri web sitelerinde kaba kuvvet saldırıları ile gelen http status koduna göre var olup olmadığını bildiren java tabanlı program.

dirbuster sonucunda cms isimli bir klasör görüyoruz doğrudan ip/cms/ olarak erişim sağlıyoruz.

tarayıcıdan girdiğimizde bizi bekleyen arayüz.

LotusCMS isimli bir yazılım kullanmakta power by LotusCMS, linkle tıklayıp php scripti indirelim ve scriptimizi analiz edelim.

scripti biliyoruz ama birden fazla sürümü mevcut hangi sürüm ile uğraşmam gerektiğini öğrenmek için sayfa kaynağından bir şey bulamayınca doğrudan scripti analiz etmemiz gerekiyor burada gözümüze çarpan nokta “ style/comps/admin/img/version.png “ version bilgisini yazıldığı bir resim mevcut.

http://192.168.1.41/cms/style/comps/admin/img/version.png

artık hangi sürümü indirmem gerektiğini de buldum.

çözüm 1 — bulduğum bulgular ;

scripti indirdiğimizde install.php dosyası olduğunu görmekteyiz hemen hedefimizde ip/cms/install.php yazarak girelim bir ihtimal silmeyi unutmuş olabilir ;

http://192.168.1.41/cms/install.php

not : makineyi yeniden oluşturdum ip adresi bu yüzden farklı 2 görselde.

bütün bilgileri admin yazarak işleme devam ediyoruz

kayıt ettikten sonra bizden install.php’yi silmek için izin istiyor — kurulum sırasında install.php’yi silmezseniz veya unutursanız bu tarz problemler ile karşı karşıya kalabilirsiniz.

şimdi giriş yapmak için login geliyoruz

belirlediğimiz kullanıcı adı ve şifre ile giriş yapıyoruz.

artık admin paneldeyiz.

bu aşamada modullere gelerek dosya yönetimi gibi veya tema düzenleme alanları gibi bölümler var ise buradan php kodu yedirmeyi deniyeceğiz.

moduller arasında filemanager var çok iyi buradan ilerleyebiliriz.

upload alanıda bulduk php ile reverse shell almak için php-reverse-shell.php adresinde paylaşılmış olan php dosyasını indirerek gerekli alanları dolduruyoruz.

dosyamızı upload edelim.

forbiden ile karşılaştık sebebini bulmak için indirdiğimiz scriptin data klasörünü açalım mühtemelen .htaccess ile bu dizine erişimi engellemiş.

sadece data klasörüne yüklenmiş yani biz files klasörüne allow from all olarak bir .htaccess gönderirsek bunu bypass etmiş oluruz.

hemen gönderelim.

süper işlem başarılı artık reverse shell aldık şimdiki hedefimiz yetki yükseltme.

bunun için dosya aratalım bakalım neler bulacağız.

find / -perm -4000 -type f 2>/dev/null

listedeki dosyaların yetkileri var

örnek :

vim.basic yetkisi olduğu için doğrudan girip shell’i çağırmak gerekiyor.

:set shell=/bin/sh

:shell