VulnHub β SkyTower CTF Walkthrough
Vulnhub ΓΌzerinde eΔlenilebilmek iΓ§in zafiyetlerle hazΔ±rlanmΔ±Ε bir Γ§ok makine imajΔ± bulunmakta. Bunlardan birisi SkyTower. SkyTower Γ§ok zor bi CTF deΔil. Ama ortalama olarak kΔ±sa sΓΌrede keyifle çâzΓΌlebilecek bir makine. AΕama aΕama çâzΓΌmΓΌ inceleyip /root/flag.txt dosyamΔ±za ulaΕalΔ±m.
1-) Sanal ortamda makinenin IPβsini bulmak iΓ§in netdiscover kullanΔ±yoruz.
$ netdiscover -r 10.0.2.0/24
2-) Hangi portlarΔ±n aΓ§Δ±k olduΔu ve nasΔ±l yΓΌrΓΌyeceΔimize karar vermek iΓ§in küçük bir nmap taramasΔ± yapΔ±yoruz. SonuΓ§ olarak SSH aΓ§Δ±k ancak filtered, ancak bir de 3128.port ΓΌzerinde proxy var. Yani temel olarak SSH eriΕimi iΓ§in proxy kullanmamΔ±z gerekecek. Bir de 80 portundan yapΔ±lan bir web yayΔ±nΔ± var. Γncelikle web ΓΌzerinden gideceΔiz. ΓΓΌnkΓΌ SSH iΓ§in elimizde herhangi bir parola yok.
3-) 10.0.2.5 IPβsinin 80 portunda Εekildeki gibi bir login ekranΔ± geliyor. Haliyle login ekranΔ± gΓΆrΓΌldΓΌΔΓΌ an tΔ±rnak (β) atmak alΔ±ΕkanlΔ±k.
4-) Login ekranΔ±nda atΔ±lan tΔ±rnak (β) sayesinde mysql error alΔ±nΔ±yor. Evet, biraz hΔ±zlΔ± oldu.
5-) Buradaki SQLi ΓΌzerinden yΓΌrΓΌyeceΔiz. β or 1=1 payloadβΔ±nΔ± yazdΔ±ΔΔ±mΔ±zda deΔiΕen bir Εey olmuyor ancak proxy de βorβ kelimesi ΓΌzerinde filtre uygulandΔ±ΔΔ±nΔ± gΓΆrΓΌyoruz. Bunun ΓΌzerine farklΔ± payloadlar denemeliyiz.
6-) or kelimesinin filtrelenmesi sebebiyle oorr tarzΔ±nda basit yaklaΕΔ±mlar deniyoruz. BaΕarΔ±lΔ± olan payload aΕaΔΔ±daki gibi: β oorr 1 > 0 #β
7-) SQLi ile john adlΔ± kullanΔ±cΔ±ya ve parolasΔ±na ulaΕmΔ±Ε olduk.
8- ) ArtΔ±k elimizde bir kullanΔ±cΔ± ve parolasΔ± olduΔuna gΓΆre SSH ile giriΕ yapmayΔ± deneyebiliriz. Ancak gΓΆrΓΌldΓΌΔΓΌ ΓΌzere proxy ihtiyacΔ±mΔ±z var.
9-) Kali ΓΌzerinde proxytunnel kullandΔ±k. Proxy iΓ§in baΕka herhangi bir araΓ§ kullanabilirsiniz. 2222.porta aΓ§tΔ±ΔΔ±mΔ±z proxy sayesinde artΔ±k SSH ile baΔalanabiliyoruz. Ancak hala yeterli yetkimiz yok!
10-) /etc/passwd dosyasΔ±nΔ±n iΓ§eriΔini gΓΆrΓΌntΓΌlediΔimizde sistemde 2 kullanΔ±cΔ±nΔ±n daha olduΔunu gΓΆrΓΌyoruz. sara & william!
11-) Sistemde bir login ekranΔ± olduΔuna gΓΆre kodlar iΓ§erisinde database connection kodlarΔ± arasΔ±nda db iΓ§in kullanΔ±cΔ± adΔ± ve parola bulabiliriz. login.php iΓ§erisinde localhost ΓΌzerindeki mysql database kullanΔ±cΔ± adΔ±nΔ±n βrootβ parolanΔ±n da βSkyTechβ olduΔunu gΓΆrΓΌyoruz.
12-) KullanΔ±cΔ± adΔ± β parolasΔ± ile mysqlβe baΔlanΔ±yoruz. SonrasΔ±nda database ve tablo iΓ§eriklerine bakarken login tablosu gΓΆze Γ§arpΔ±yor.
13-) login tablosu iΓ§erisinde diΔer kullanΔ±cΔ±larΔ±n parolalarΔ± da var.
14-) Γncesinde SSH ΓΌzerinde john kullanΔ±cΔ±sΔ± ile baΔlanΔ±rken yaptΔ±ΔΔ±mΔ±z proxytunnelβΔ± sara ile baΔlanΔ±rken 3333.port ΓΌzerinde aΓ§Δ±p aynΔ± Εekilde baΔlanΔ±yoruz.
15-) Okumaya yetkimizin olduΔu ve olmadΔ±ΔΔ± dizin/dosyalara bakΔ±yoruz.
16-) accounts dizinini gΓΆrΓΌntΓΌleme yetkimiz var. O halde basit bir kandΔ±rmaca ile herhangi bir yetki yΓΌkseltme yΓΆntemi denmeden ΓΆnce /root/flag.txt dosyasΔ±nΔ± okutmaya Γ§alΔ±ΕΔ±yoruz. Ve iΕe yarΔ±yor. Tabii Vututututututu benim sevinme Εeklim. 
root parolasΔ±nΔ±n βtheskytowerβ olduΔunu ΓΆΔreniyoruz.
17-) Mission complete.
-EOF-
07 Haziran 2016
Last updated
Was this helpful?