Kevgir : 1 Web Uygulama Çözümleri

Kevgir, canyoupwn.me ekibi tarafından eğitim amacıyla hazırlanmış bir ortamdır.Bu ortamda birçok zafiyet barındıran  web uygulamalar da mevcuttur.

Bu yazıda Tomcat, Joomla ve Jenkins üzerindeki istismarlardan bahsedeceğiz.

İndirme Linkleri :

https://canyoupwn.me/kevgir-vulnerable-vm/

https://www.vulnhub.com/entry/kevgir-1,137/

Kevgir login;

username : user | password : resu

Tespit ve Tarama

Öncelikle bulunduğumuz ağda bir keşif yaparak Kevgir’in IP adresini bulmaya çalışıyoruz. Bunun için de öncelikle netdiscover aracını kullandık.

1

Kevgir’in IP’sini öğrendikten sonra üzerindeki açık portlarda çalışan servisleri öğrenmek için nmap taraması gerçekleştiriyoruz.

2

3

Tarama sonucunda açık olan portları ve çalışan servisleri öğrenmiş olduk.  8080, 8081 ve 9000 nolu portlarda HTTP üzerinde koşulan servislerin var olduğunu görüyoruz. Şimdi de sırasıyla bu web uygulamalara tarayıcı üzerinden erişerek neler yapabileceğimizi görelim.

Tomcat

Apache Tomcat, Java Servlet ve Java Server Pages (.JSP) teknolojileri için geliştirilen açık kaynak kodlu Apache‘nin bir alt projesi olan bir uygulama sunucusudur.  Apache Tomcat, default olarak TCP 8080 portunu kullanmaktadır.

Tarayıcıdan 192.168.1.26:8080 eriştiğimizde ve manager_webapp e tıkladığımızda aşağıdaki authentication ekranı karşımıza çıkmaktadır.

5

Gördüğümüz authentication mekanizmasındaki username ve password’ü Nikto ile bulmaya çalışacağız. Nikto, web server üzerinde bulunan güvenlik açığı tarama uygulamasıdır.

kevgir1

ID ‘tomcat’ ve PW ‘tomcat’ kısmında username ve password’u görebiliyoruz. Bu bilgiler ile giriş yapıyoruz ve Tomcat Web Uygulama Manager sayfasına erişim sağlıyoruz.

6

Manager ekranında herhangi bir dosyanın deploy edilebildiğini fark ediyoruz ve sisteme reverse bağlantı sağlayacağımız, bize shell açmaya, komut çalıştırmaya yarayacak olan war uzantılı bir backdoor oluşturuyoruz.

9.PNG

Oluşturduğumuz war uzantılı dosyayı deploy ettik. Ve curl ile jsp dosyasına url üzerinden erişerek shell almaya çalışıyoruz. Ve Bingo!

78

Joomla!

Joomla!, PHP ve MySQL ile MVC olarak geliştrilimiş açık kaynaklı bir içerik yönetim sistemidir. Joomla’ya özel bir zafiyet tarama aracı olan joomscan kullanarak sayfayı taramaya başlıyoruz.

12

10

http://192.168.1.26:8081/administrator sayfasına gidiyoruz ve ufak bir deneme ile admin/admin username/password çiftini deniyoruz ve sonuç;13

14

Sonrasında ise Extensions-Templete Manager kısmına geliyoruz ve “beez” templete ini açıyoruz.

15

Edit HTML ile istismar etmemizi sağlayacak reverse shell kodlarını HTML kodları ile değiştiriyoruz.

16

17

En son olarak curl ile php sayfası çağrılıyor ve ilgili shell açılıyor.

20.PNG

15 numarada ise ilgili url’e gidildiğinde Token kısmı görülüyor. Token kısmına ‘ koyarak Password Reset işlemi yapılabileceğinden bahsediliyor. Biz de bunu deniyoruz.

11

21.PNG

22

23.PNG

Ve admin password’ü değişmiş oldu. Eski admin password’ü ile giriş yapmayı denediğimizde kabul edilmediğini gördük.

24.PNG

Jenkins

Jenkins java ile yazılmış bir otomasyon sunucusudur. 9000 portu ile tarayıcıdan erişerek login sayfasına girilir. Ardından metasploit ile auxiliary/scanner/http/jenkins_login kullanılarak admin kullanıcısının şifresi elde edilmeye çalışılır.

2627

25

Giriş yaptıktan sonra Manage Jenkins diyerek Script Console una erişiyoruz.

28.PNG

Metasploit de jenkins ile ilgili exploitleri search ederken gözümüze exploit/multi/http/jenkins_script_console takılıyor. Gerekli ayarlamaları yaptıktan sonra;

29.PNG

ve son olarak exploit işlemi gerçekleştirerek shellimizi elde ediyoruz.

30.PNG

Bir sonraki yazımızda diğer zafiyetlerin exploit edilmesi ile devam edeceğiz.

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s