Bu yazımda Tryhackme’ de bulunan H4CKED odasını çözeceğiz. Bu odayı çözerken Wireshark kullanacağız. Wireshark, Mac ve Linux sistemleri için ağ trafiğini gerçek zamanlı olarak analiz eden ücretsiz açık kaynaklı paket dinleyicisidir. Bize verilen .pcap dosyasını ilk olarak Wireshark’ta açalım. Daha sonra bize verilen soruları .pcap dosyasını inceleyerek bulalım.
İçindekiler Tablosu
GÖREV 1:
1.Soru:
Saldırgan belirli bir hizmette oturum açmaya çalışıyor. Bu hangi hizmet?
Bu soruda oturum açtığı port numarasına bakarak hangi hizmet olduğunu bulabiliriz.
Hedef portun 21 olduğunu görüyoruz. File Transfer Protocol (FTP) protokolü ile uzak bir bilgisayardan dosya indirmemizi sağlayan gönderme alma yoluna 21 portu denilmektedir.
Cevap: FTP
2.Soru:
Van Hauser’in bir dizi hizmeti kaba kuvvetle zorlamak için kullanılabilecek çok popüler bir aracı var. Bu aracın adı nedir?
Google arama çubuğuna Van Hauser Brute Force yazınca cevabın Hydra olduğunu görüyoruz.
Cevap: Hydra
3.Soru:
Saldırgan belirli bir kullanıcı adıyla oturum açmaya çalışıyor. Kullanıcı adı nedir?
Cevap: jenny
4.Soru:
Kullanıcının şifresi nedir?
Wireshark ’ta yakalanan paketler ile ilgili filtreleme seçeneklerinin bulunduğu kısımda, FTP sunucusuna “jenny” kullanıcı adı ve “password123” şifresi ile erişim sağlandığını tespit ediyoruz.
Cevap: password123
5.Soru:
Saldırgan oturum açtıktan sonra mevcut FTP çalışma dizini nedir?
Wireshark ‘ta 395 numaralı paketin TCP akışına bakıyoruz. Yukarıda ekran çıktısını incelediğimizde saldırganın “pwd” komutunu çalıştırdığı görüyoruz ve komut çıktısını incelediğimizde “/var/www/html” dizininin varsayılan FTP dizini olduğunu anlıyoruz.
Cevap: /var/www/html
6.Soru:
Saldırgan bir arka kapı yükledi. Arka kapının dosya adı nedir?
Yine TCP akışına baktığımızda saldırganın başarılı bir şekilde FTP bağlantısı kurduktan sonra sisteme “Shell.php” isimli php reverse shell dosyasını yüklediği tespit edilmiştir.
Cevap: shell.php
7.Soru:
Arka kapı, yüklenen dosyanın içinde bulunduğu için belirli bir URL’den indirilebilir. Tam URL nedir?
Wireshark’ta 431 numaralı paketin (Protokül: FTP- DATA) TCP akışına incelediğimizde, shell.php dosyasının içeriğini görüntülüyoruz ve konu php reverse Shell dosyasını http://pentestmonkey.net/tools/php-reverse-shell adresinden de indirebileceğimizi görmekteyiz.
Cevap: http://pentestmonkey.net/tools/php-reverse-shell
8.Soru:
Saldırgan ters mermi aldıktan sonra hangi komutu manuel olarak yürüttü?
Cevap: whoami
9.Soru:
Bilgisayarın ana bilgisayar adı nedir?
Wireshark’ta 457 numaralı paket üzerinde yaptığımız incelemeler sonucunda, kurban bilgisayarın adını “wir3” olarak tespit ediyoruz. Ayrıca aynı paket üzerinde yaptığımız incelemelerde saldırganın ilk olarak “whoami” komutunu çalıştırdığını görmekteyiz.
Cevap: wir3
10.Soru:
Saldırgan yeni bir TTY kabuğu oluşturmak için hangi komutu yürüttü?
Wireshark’ta 480 numaralı paketi incelediğimizde saldırganın pyhon3 –c ‘import pty; pty.spawn(“/bin/bash”)’ komutunu çalıştırarak yeni bir kabuk oluşturduğu gördük.
Cevap: python3 -c ‘import pty; pty.spawn(“/bin/bash”)’
11.Soru:
Kök kabuk kazanmak için hangi komut yürütüldü?
Aynı paket (480 numaralı) üzerinde yaptığımız incelemelerde saldırganın sudo su komutunu çalıştırarak kök kabuğunu elde ettiği gördük.
Cevap: sudo su
12.Soru:
Saldırgan GitHub’dan bir şey indirdi. GitHub projesinin adı nedir?
Saldırgan “git clone” komutunu kullanarak Github’ta bulunan bir repository’i bilgisayarına kopyalamış. Burda Github projesinin adını Reptile olarak görüyoruz.
Cevap: Reptile
13. Soru:
Proje, sisteme gizli bir arka kapı kurmak için kullanılabilir. Tespit edilmesi çok zor olabilir. Bu tür bir arka kapıya ne denir?
Cevap: Rootkit, bilgisayarın işletim sistemi çekirdeğine sızarak kötü niyetli kişilere bilgisayarınızı uzaktan kontrol etmeye ve tam yetki sağlamaya yarayan bir tür zararlı yazılımlardır.
GÖREV 2:
Bu Task’ta makine çözümü yapıyoruz.
1.Adım:
FTP hizmetinde Hydra’yı kullandık. Hydra ve rockyou wordlistini kullanarak FTP servisine brute force saldırısı yapmayı deniyoruz. Yaptığımız saldırı sonuç veriyor ve şifrenin “987654321” olduğunu tespit ediyoruz.
hydra -l jenny -P ‘/root/Desktop/rockyou.txt’ ftp:// [IP_ADRESS] ya da :
hydra -l jenny -P /usr/share/wordlists/rockyou.txt [IP_ADDRESS] ftp
2.Adım:
Jenny kullanıcı adı ve 987654321 şifresini kullanarak FTP servisine bağlanıyoruz. FTP servisinde dosyaları incelediğimizde saldırganın yüklemiş olduğu “shell.php” dosyasını görüyoruz. Bu dosyayı ters kabuk almak için ‘get’ komutu ile indirerek içeriğini kendi local IP ve Port adresimiz ile değiştiriyoruz.
Değiştirdiğimiz shell2.php dosyasını ‘put‘ komutunu kullanarak FTP servisine yüklüyoruz.
Bu sayede FTP’de bulunan shell dosyasını ters kabuk alabilecek biçimde güncellemiş olduk.
3.Adım:
Saldırgan makinenizde belirlenen bağlantı noktasında bir dinleyici oluşturduk ve ben port olarak 61 yazdım. Hedeflenen web sunucusundaki .php dosyasını ziyaret ederek web kabuğunu yürüttük ve shell almış olduk.
4.Adım:
Saldırganın izlediği yolu izleyerek root olmaya çalışıyoruz ve ilk olarak aşağıdaki komutu çalıştırarak kabuk değiştiriyoruz.
python3 -c ‘import pty; pty.spawn(“/bin/bash”)’
Daha sonra jenny kullancısının yetkilerini ‘su jenny’ komutunu çalıştırarak aldıktan sonra, sudo su komutunu çalıştırarak root olma yetkilerini alıyoruz. /root/Reptile dizisinden ilerleyerek flag.txt dosyasını okuyoruz ve bayrağı bulmuş oluyoruz.
Cevap: ebcefd66ca4b559d17b440b6e67fd0fd
Bu yazımızda H4cked odasının çözümünü gerçekleştirmiş olduk. Bir sonraki makine çözümü için takipte kalın 🙂
Daha önce yazdığım write up yazısına buradan ulaşabilirsiniz.
Leave a Comment