Merhaba arkadaşım.Görüşmeyeli uzun süre oldu :D

neyse yazımıza geçelim.

uzun bir süredir blog’a yazı yazmıyorum buda iyi bir dönüş postu olur umarım.

MR Robot vulnhub’unu indirmek isteyenler https://www.vulnhub.com/entry/mr-robot-1,151/ buradan indirebilir.

Çözümüne geçelim öncelikle vulnhub’umuzu indirip kurduk.kurduktan sonra küçük bir arp-scan yapıp vulnhub’un ip’sini bulalım.

arp-scan -l

Vulnhub’un local ip’sini bulduk : 192.168.0.101

sonra vazgeçilmezimiz olan nmap’imiz ile bir tarayalım.



Çıkan portlara baktım 443 portundan birşey çıkmadı 80 zaten sitenin default yayın port’u nmapten birşey çıkartamadık.

Siteye NİKTO ile bir dizin taraması yaptım sonucunda robots.txt’Ye ulaştım ve vulnhub’un wordpress kullandığını öğrendim duraklamadan direk robots.txt’yi açtım ve içinden 1. flagimiz ve bir wordlist dosyası çıktı.


.

1. flagimizi buldukta wordlist dosyası ne ayak diye bir geçiyor içimizden.
   
   Neyse diyip yolumuza devam edelim ne demiştik.
   
   Vulnhub wordpress kullanıyor duraklamadan direk sitenin kenarına /wp-login.php’mizi yazdık zaten nikto ile yaptığımız taramada url çıkmıştı.
   
   wordlist’imizde hazır vulnhub bağıra bağıra brute force deneyeceksin diyor ama sorun şu ki
   wordpress default userleri kabul etmiyor : admin,mrrobot vs.. gibi.
   
   Bu aşamadan sonra wpscan’ımıza sarıldık ve userimizi bulmaya çalıştık :
   wpscan –url http://192.168.0.101 –enumerate u
   
   
   
   
   ama nafile buradanda birşey çıkmadı.
   
   Ama sorun yok elimizde zaten bir wordlist var onu username yerine deniyip buldum elliot çıktı userimiz geriye password kaldı wordlistimizi password yerine verelim wpscan ile ve bize kalan şeyde beklemek olsun.
   
   wpscan –url 192.168.0.101 –wordlist fsocity.dic –username elliot
   
   
   
   ve 2 saat sonunda şifremiz : ER28-0652 çıktı

hemen wp-login.php’mize giriş yapalım.
elliot & ER28-0652 ile.



Girdik’ten sonra Appearance kısmından 404.php dosyasını editleyelim.

Ben php reverse shell kullanıyorum burda.

Buradan indirip kendi ip’niz ve portunuza göre editleyebilirsiniz siz : http://pentestmonkey.net/tools/web-shells/php-reverse-shell

http://192.168.0.101/404.php urlimize girdikten sonra bir backconnect alıyoruz.



artık bizim yapmamız gereken diğer keyleri aramak.

1. keyimizide bulduk zaten backconnectimiz bizi / dizininde başlattı oradan home’a girerek sonra userimizin dizinine girerek diğer keyimizide bulmuş olduk.
   
   Ama bir sorunumuz var key’e erişimimiz yok ve keyimizin altındada bir user ve şifrelenmiş bir MD5 dosyası var.
   
   
   
   muhtemelen root kullanıcısı : robot ve şifrelenmiş MD5 ise robot userinin şifresi.
   
   Online MD5 decrypter’ler aracılığıyla şifreyi kırdım.
   
   
   
   Şifremiz : abcdefghijklmnopqrstuvwxyz çıktı. Hemen robot kullanıcısına deneyelim şifreyi.
   
   python ile /bin/bash’e spawn olduk : python -c ‘import pty;pty.spawn(“/bin/bash”)’
   
   su robot diyip şifreyi verdik.
   
   
   
   Ve okuyamadığımız flagimizi robot kullanıcısı sayesinde okuduk.
   
   
   
   
2. Flagimiz : 822c73956184f694993bede3eb39f959 çıktı.
   
   Şimdi geldik son flagi bulmaya.
   
   Root olmadığım için diğer flagi bulamadım uzun bir süre.
   
   Robot yetkisi ilede flage ulaşabilirmiyiz diye bir permission taraması yaptım 6000’e.
   
   
   
   sistem üzerinde nmap kullanıldığını gördüm ve hemen sürümüne daldım çünkü bilinen bazı sürümlerde privilege escalation ortaya çıkıyordu.
   
   
   
   nmap versiyonumuz 3.81 çıktı ve hemen google’ye sarıldım ve nmap te default root yetkisi veren bir parametreile karşılaştım.
   
   –interactive bu komut ile hemen sisteme bir flag taraması yaptırdım.
   
   Farkettiyseniz her flagte

key-1-of-3.txt key-2-of-3.txt

diye gidiyor her flag değerinde 3 ile karşılaştırılan farklı oluyor

son flagımızda 3. flagımız olduğuna göre ve root yetkisinide elimizde tuttuğumuza göre.

sistemde / dizinine geçip : find / -name “key-3-of3.txt”

komutu ile son flagimizi arayalım.



ve son flagimizide böylelikle buluyoruz. : 04787ddef27c3dee1ee161b21670b4e4

bir dahaki yazımda görüşürüz :)