[TR] TryHackMe: LazyAdmin Makine Çözümü

Merhabalar bu yazımızda TryHackMe’de bulunan LazyAdmin makınesini çözeceğiz.

1.)Bilgi toplama:

ilk olarak Nmap taraması ile başlıyoruz

nmap -sV -sC -p- <IP>

Sadece web ve ssh servisleri açık. Daha fazla bilgi edinmek için web sitesini ziyaret ediyoruz.

Önümüze “ Apache2 Ubuntu Default Page” sayfası çıkıyor. Bu önümüzde de yazdığı gibi /var/www/html/index.X sayfası ayarlanmadığı anlamına geliyor. Fakat farklı bir şeyler olmadığı anlamına gelmiyor. Bu yüzden GoBuster ile dizin keşifi yapıyoruz.

önümüze farklı olarak “/content” dizini çıkıyor o yüzden incelemeye buradan başlıyoruz. Önümüze kullanılan CMS’in uyarı sayfası çıkıyor ve sitenin hazırlanma aşamasında olduğunu ve sonrasında ziyaret edebileceğimizi ifade ediyor.

CMS üzerinde araştırma yaparken /content/ dizini üzerinde de dizin keşifi yapıyoruz.

karşımıza farklı olarak /as ve /inc dizini çıkıyor. Buralar üzerinden araştırmamıza devam ediyoruz.

/as dizininde giriş paneli mevcut

/inc dizininde /mysql_backup/ dizini ve orada da bir sql dosyası mevcut.

Bu sql dosyasını incelemeye başladığımızda karşımıza kullanıcı adı ve parolanın hash değeri çıkıyor.

Bu hash değerini kırmak için crackstation üzerinde şansımızı denediğimizde parola karşımıza çıkıyor.

Kullanıcı adı ve parolasını elde ettik bu bilgiler ile /as dizini altındaki giriş paneli üzerinde şansımızı deniyoruz.

manager:Password123

Admin paneli üzerinden giriş yaptıktan sonra paneli kurcalamaya başlıyoruz. Media Center kısımında sunucuya php dosyaları yükleyip shell almak istiyoruz fakat php dosyaları yüklenmiyor bunun üzerine farklı uzantılar ile yüklemeyi denediğimizde “.php5” uzantısı ile biten dosyaların yüklenebileceğini fark ediyoruz. Yüklediğimiz dosyaların GoBuster çıktımızda da olan /attachment/ dizini altına eklendiğini görüyoruz.

ve shell aldık. Şimdi sıra user flag’ini almakta.

cat /home/itguy/user.txt ile user flag’ıni alıyoruz

Şimdi sıra sistemde yetkimizi yükseltmek ve root flag’ini almak.

/home/itguy/ dizinini incelediğimizde “backup.pl” dosyasının root yekileri ile çalıştığını ve bizimde itguy olarak bu dosyayı çalıştırabildiğimizi görüyoruz. Dosyayı incelediğimizde belirtilen ip ve port’a bağlantı isteği yollayan bir bash scripti görüyoruz.

bu dosyayı parolasız olarak aşağıdaki biçimde çalıştırabildiğimizi görüyoruz. Bunu “sudo -l“komutu ile yapıyoruz

/usr/bin/perl /home/itguy/backup.pl

Bizde bu dosyanın içeriğini değiştirip kendi bilgilerimizi yazacağız ve farklı bir terminalde gelen isteği dinleyeceğiz.

Dosyayı ayarladığımıza göre netcat ile dinlemeye başlıyor ve yukarıda bahsettiğimiz gibi dosyayı çalıştırıyoruz.

İşte root yetkilerini elde ettik şimdi

cat /root/root.txt komutu ile flagi alabiliriz Tebrikler!!!!