Şüphesiz ki sizi biraz korku ve açlık, ayrıca mallardan, canlardan ve ürünlerden azatma fakirlik ile imtihan edeceğiz. Sabredenlere müjdele...
Bakara 177
| Makine Adı | Seviye | OS | Logo |
|---|---|---|---|
| Stocker - HTB | Kolay | Linux |
Walkthrough
nmap taramasının çıktısı aşağıda verilmiştir. Bu çıktıya baktığımızda aslında içeride bir yerlerden kesinlikle bir ssh credenial'ı çıkacak gibi geliyor ama tabikide alışkanlıklar ön yargı oluşturmamalıdır.

stocker.htb ifadesini ip adresi ile birlikte /etc/hosts'a ekledim. Daha sonrasında ffuf ile dosya dizin keşfine başladım. Son zamanlarda bir tarikat hareketimidir nedir anlamadım ama çözdüğüm bütün makinelerde subdomain tespit ettiriyor. ffuf ile klasör dosya aramamdan birşey elde edemedim ancak subdomain araması yaparken dev isimli bir subdomain keşfettim.
ffuf -u http://stocker.htb/ -w /usr/share/wordlists/dirb/big.txt -H 'HOST: FUZZ.stocker.htb' -t 50 -fs 178

hosts dosyamı tekrardan güncelledim. Bu sayfaya gittiğimde bir login sayfası ile denk geldim. sqlmap ile denemeler yaptım ancak olmadı daha sonrasında nosql ile denemeler yapmak istedim. içeriği ilk olarak json formatına dönüştürüp çalışıp çalışmadığını kontrol ettim, çalışıyordu.


nosql injection payloadımız aşağıdadır.

Bu noktadan sonra sayfaya giriş yapabildim. Aşağıdaki sayfa ile karşılaştım.

Sayfada inceleme yaptıktan sonra bir pdf dosyası yaratıcısı ile karşılaştım. Burada ilk seferlerde SSTI denemeleri yaptım ancak başarılı olamadım. Daha sonrasında Server Side XSS isimli bir şey duydum ve onun üzerinden ilerledim. Bir önceki yazımda Server Side XSS nedir anlattım bundan dolayı burada sadece payloadları vereceğim.

Soldaki ekranda burp var ve veriyi gönderdiğimizde bir id generate ediyor bu aslında pdf'in id si oluyor. Amacım burada pdf generate edilirken içerisnde html etiketleri sıkıştırıp sunucu tarafından çalışan javascript kodları ile hedef makine üzerinde kod çalıştırma.

Evet ilk denemem başarılı oldu. Bunun üzerine içeriden veri çıkartmayı denedim. bu noktada payloadığımı düzenlerken chat gpt'den yardım aldım.




Kodlara bakarken mongodb parolasını elde ettim.
// TODO: Configure loading from dotenv for production
const dbURI = "mongodb://dev:IHeardPassphrasesArePrettySecure@localhost/dev?authSource=admin&w=1";
nmap çıktısında ssh vardı. etc/passwd dosyasına bakarak kullanıcıları tespit ettim.

Aslında bundan sonrası kolay oldu çünkü direjt olarak shell geldi.

linpeas gibi araçları içine atıp inceleme yaptım ancak aslında çok daha kolay bir yöntem varmış, sudo -l'yi kontrol ettiğimde root burdayım diye bağırıyordu.

Hemen /tmp'in altında chatgpt yardımı ile bir shell scripti yazdım.


Script'im ilk olarak ls yapıp daha sonrasında id komutunu çalıştırıyordu. Değiştirip root klasörü altındaki flagi okudum.
İlk Yorumu Siz Yapın