VulnHub – SkyTower CTF Walkthrough

Vulnhub üzerinde eğlenilebilmek için zafiyetlerle hazırlanmış bir çok makine imajı bulunmakta. Bunlardan birisi SkyTower. SkyTower çok zor bi CTF değil. Ama ortalama olarak kısa sürede keyifle çâzülebilecek bir makine. Aşama aşama çâzümü inceleyip /root/flag.txt dosyamıza ulaşalım.

1-) Sanal ortamda makinenin IP’sini bulmak iΓ§in netdiscover kullanΔ±yoruz.

$ netdiscover -r 10.0.2.0/24

2-) Hangi portlarΔ±n aΓ§Δ±k olduğu ve nasΔ±l yΓΌrΓΌyeceğimize karar vermek iΓ§in kΓΌΓ§ΓΌk bir nmap taramasΔ± yapΔ±yoruz. SonuΓ§ olarak SSH aΓ§Δ±k ancak filtered, ancak bir de 3128.port ΓΌzerinde proxy var. Yani temel olarak SSH erişimi iΓ§in proxy kullanmamΔ±z gerekecek. Bir de 80 portundan yapΔ±lan bir web yayΔ±nΔ± var. Γ–ncelikle web ΓΌzerinden gideceğiz. ÇünkΓΌ SSH iΓ§in elimizde herhangi bir parola yok.

3-) 10.0.2.5 IP’sinin 80 portunda şekildeki gibi bir login ekranΔ± geliyor. Haliyle login ekranΔ± gΓΆrΓΌldüğü an tΔ±rnak (β€˜) atmak alışkanlΔ±k.

4-) Login ekranΔ±nda atΔ±lan tΔ±rnak (β€˜) sayesinde mysql error alΔ±nΔ±yor. Evet, biraz hΔ±zlΔ± oldu.

5-) Buradaki SQLi ΓΌzerinden yΓΌrΓΌyeceğiz. β€˜ or 1=1 payload’ınΔ± yazdığımΔ±zda değişen bir şey olmuyor ancak proxy de β€˜or’ kelimesi ΓΌzerinde filtre uygulandığınΔ± gΓΆrΓΌyoruz. Bunun ΓΌzerine farklΔ± payloadlar denemeliyiz.

6-) or kelimesinin filtrelenmesi sebebiyle oorr tarzΔ±nda basit yaklaşımlar deniyoruz. BaşarΔ±lΔ± olan payload aşağıdaki gibi: β€˜ oorr 1 > 0 #’

7-) SQLi ile john adlı kullanıcıya ve parolasına ulaşmış olduk.

8- ) Artık elimizde bir kullanıcı ve parolası olduğuna gâre SSH ile giriş yapmayı deneyebiliriz. Ancak gârüldüğü üzere proxy ihtiyacımız var.

9-) Kali üzerinde proxytunnel kullandık. Proxy için başka herhangi bir araç kullanabilirsiniz. 2222.porta açtığımız proxy sayesinde artık SSH ile bağalanabiliyoruz. Ancak hala yeterli yetkimiz yok!

10-) /etc/passwd dosyasının içeriğini gârüntülediğimizde sistemde 2 kullanıcının daha olduğunu gârüyoruz. sara & william!

11-) Sistemde bir login ekranΔ± olduğuna gΓΆre kodlar iΓ§erisinde database connection kodlarΔ± arasΔ±nda db iΓ§in kullanΔ±cΔ± adΔ± ve parola bulabiliriz. login.php iΓ§erisinde localhost ΓΌzerindeki mysql database kullanΔ±cΔ± adΔ±nΔ±n β€˜root’ parolanΔ±n da β€˜SkyTech’ olduğunu gΓΆrΓΌyoruz.

12-) KullanΔ±cΔ± adΔ± – parolasΔ± ile mysql’e bağlanΔ±yoruz. SonrasΔ±nda database ve tablo iΓ§eriklerine bakarken login tablosu gΓΆze Γ§arpΔ±yor.

13-) login tablosu içerisinde diğer kullanıcıların parolaları da var.

14-) Γ–ncesinde SSH ΓΌzerinde john kullanΔ±cΔ±sΔ± ile bağlanΔ±rken yaptığımΔ±z proxytunnel’ı sara ile bağlanΔ±rken 3333.port ΓΌzerinde aΓ§Δ±p aynΔ± şekilde bağlanΔ±yoruz.

15-) Okumaya yetkimizin olduğu ve olmadığı dizin/dosyalara bakıyoruz.

16-) accounts dizinini gΓΆrΓΌntΓΌleme yetkimiz var. O halde basit bir kandΔ±rmaca ile herhangi bir yetki yΓΌkseltme yΓΆntemi denmeden ΓΆnce /root/flag.txt dosyasΔ±nΔ± okutmaya Γ§alışıyoruz. Ve işe yarΔ±yor. Tabii Vututututututu benim sevinme şeklim. πŸ™‚ root parolasΔ±nΔ±n β€˜theskytower’ olduğunu âğreniyoruz.

17-) Mission complete.

-EOF-

07 Haziran 2016

Last updated

Was this helpful?