
Mr.Robot CTF
Giriş
Merhabalar sayın hacker arkadaşım. Bu benim siteme yüklediğim ilk ctf olucak.Şimdi ctf e geçelim.
Not:
Eğer sen de bu CTF'i çözmek istersen, buraya tıklayabilirsin.
Keşif
Öncelikle hedef ip ye nmap atarak keşife başlıyoruz.

Görüldüğü üzere 3 port açık
Eğerki daha detaylı bir sonuç istersen nmap -sV -sC <TARGET_IP> -A -O -v -T5 -p- Benim burada düşüncem şuan makineye dair elimde yeterli bir bilgi olmadığı için ben web sitesinden bir şeyler bulmaya çalışırım.O yüzden şuanlık ssh portunu bir kenarda tutuyorum ve web kısmına yöneliyorum.
Şöyle bir bilgilendirme yapayım web sitesine girdiğimde önemli birşey görmediğimi hatırlayarak oraya dair bir resim koymadım.Devamında bu sitenin subdomainleri var mı kontrol etmek amacıyla gobuster ı çalıştırıyorum.

Gobuster sonuçları
Burada dikkatimizi WP yani Word Press çekmeli.WordPress te bir login alabilirz yada brute-force denemesi yapabiliriz.Üstüne üstlük ctf lerde özellikle ipucu veren txt dosyalarından olan robots.txt dosyasını görüyorum.

Fotoğrafta 3 anahtarın ilki var.
target ip/key-1-of-3.txt yazarak key 1 e ulaşabilirsin!
Saldırı
Ve ek olarak içinde çok sayıda içerik bulunduran fsocity.dic dosyası var.Bunu brute-force için kullanabiliriz anvak önce benim tavsiyem (dosyayı açıp baktığımızda tekrar eden çok fazla miktarada kelime var bunları azaltabiliriz) dosya içeriğini sadeleştirmektir.
sort fsocity.dic | uniq > temizlenmis_dosya.txt gibi bir komutla bunu yapabilirsin.Bende yeni öğrendim gayet işe yarıyor.şimdi hydra ile bir deneyelim.Hydra uzun sürüyor.Ben direk sonuca geçicem.(Burda tam yazdım sonuç geldi.)

Evet hydra başarılı olarak buldu burada.
şuan elimizde bir elliot var ve şifre ER28-0652 var.Burada şöyle bir şey geldi aklıma.Bu şifreleri koyan adam ssh için de elliot ve ER28-0652 bilgilerini kullanmış olabilir mi ?(Her zaman olucak diye bişr şey yok ancak bunu tasarlayan insan şans eseri öyle koymuş olabilir.

Görüldüğü üzere ssh ta öyle bir durum söz konusu değil.
O zaman gözümüzü wp dashboarda çeviriyoruz.Ve ne görelim elliot admin ! Yani eğer word presste bir input file bulabilirsek araya reverse shell kodu sokabiliriz.Arayıp taradığımız da tam da bahsettiğim gibi apperance sekmesindeki editör kısmına geldiğimizde update file kısmı var.Buradada 404.php yi kullanarak reverse shell elde edebiliriz.
Reverse shelli almadan önce -nc lvnp 4444 komutunu yazarak 4444 portunu dinlemeye almayı unutmayalım.
Kodu burada paylaşıyorum mrrobot shell dosyası
Unutmadan söyleyeyim ,hedef_ip/404.php olarak tarayıcıda çalıştırman lazım önce .Ve devamında...

İlk shellimizi aldık hayırlı olsun
whoami şeklinde sorgu attığımda daemon olduğumu görüyorum.Çok yüksek ihitmalle yetkili bir kullanıcı değil.Araştırmalarıma göre sistem servis bakımları için açılmış özel ve düşük yetkili bir kullanıcıymış.
Burada küçük bir dipnot düşmek istiyorum.Burada hazırlarken iki farklı reverse shell kodu kullandım ve ikisininde işlevleri farklı oldu sizde yeri geldiğinde böyle yapmak zorunda kalabilirsiniz.
bundan sonra elde ettiğimiz reverse shell ile iki tane kullanıcı karşımıza çıkıcak.robot ve ubuntu.İçinde hem ham password saklı hem 3 keyin 2.si.Bu sayede 2.flagimizide ulaşmış olduk.

Şimdi bu raw passwordu md5 ile çözücez.
Sonuç -> abcdefghijklmnopqrstuvwxyz bunu kullanarak robot kullanıcısına giriş yapıcaz.(Ben şahsen terminal kullanım kolaylığı açısından ssh ile girmeyi tercih ederim.)
su robot yaz ve yukarıda bulduğumuz şifreyi gir.Robot kullancısını elde ettiğinden emin olmak için whoami komutunu kullan ve robot yazdığından emin ol.
Artık son key kaldı odayı tamamalamak için.Burada ben Try Hack Me nin ipucunu kullanarak nmap ipucunu gördüm.Ancak biz daha önce nmap sorgusu yaptık daha ne olabilir ki ?.
Burada şöyle bir durum var.İpucundaki nmap aslında bir sorgu atmamız için değil nmap in kendı zaafiyetini sömürmektir.Bu makinede nmap versiyonu 3.81(2005 zamanları) ve burada nmap komutunu kullanarak root yetkisi kazanabiliyosun.

Bu durum 6.0 versiyonundan sonra kaldırılmış ancak bu makinede 3.81 versiyonu var.
Ardından !sh komutunu yazarak root komutlarını kullanabilir hale geliyoruz.
En sonunda da /root klasöründe key-3-of-3.txt dosyasını bulup odamızı bitirmiş oluyoruz.
Güzel bir odaydı bence ve bana çok şey öğretti.Umarım sizede bir şey katabilmişimdir.Sağlıcakla kalın :)