Hack The Box: Valentine

Bugün sizlere Hack The Box’ta çözdüğüm Valentine makinesiyle ilgili deneyimlerimi paylaşmak istiyorum. Bu makine, HTB’nin en eski makinelerinden biri ve “Easy” kategorisinde geçmesine rağmen oldukça öğretici, özellikle de Heartbleed gibi tarihe geçmiş bir zafiyetle tanışmak isteyenler için

1. Sunucuda kaç adet TCP portu açıktır?”

rustscan ile taradığımda 3 port açık görünüyor .

rustscan -a valentine.htb

cevap : 3

2. “Nmap’in hedef üzerinde ‘vuln’ kategorisindeki zafiyet keşif scriptlerini çalıştırması için hangi bayrak (flag) kullanılır?”

küçük bir google araştırmasından sonra cevabı buluyorum

cevap : --script vuln

3. “Port 443 üzerindeki servisin savunmasız olduğu bir information disclosure vulnerability için 2014 yılına ait CVE ID nedir?”

443 portundaki servis, meşhur Heartbleed açığından etkileniyor. Bu açığın 2014’te verilen CVE numarası ise CVE-2014–0160.

cevap: CVE-2014–0160

4.”HeartBleed (CVE-2014–0160) kullanılarak hangi parola sızdırılabilir?”

exploiti kullandım ve gelen çıktıda base64 ile kodlanmış bir text buldum texti base64 ile decode ettiğimde ise

parolayı buldum heartbleedbelievethehype

cevap:heartbleedbelievethehype

5 . note.txt dosyası da dahil olmak üzere iki ilginç dosya içeren web sitesindeki bir klasörün relative path’i nedir?

dirsearch ile dizin taraması yapalım

dev decode encode sayfaları var hepsini ziyaret ettiğimde note.txt yi dev altında olduğunu gördüm

cevap :/dev

notes.txt içinde yapılacaklar listesi buldum

Yapılacaklar:

Kahve.

Araştırma.

Yayına geçmeden önce decoder/encoder’ı düzelt.

Encoding/decoding işleminin yalnızca client-side’da yapıldığından emin ol.

Bunların hiçbiri tamamlanmadan decoder/encoder’ı kullanma.

Not almak için daha iyi bir yol bul.

6 Web sitesinde bulunan RSA anahtarının dosya adı nedir?

hype_key dosyası içinde binary şifrelenmiş bir metin buldum

hexadecimal olarak şifrelenmiş cyberchef ile kolay bir şekilde çözdüm

cevap hype_key

7. Hype kullanıcısının home dizininde bulunan flağı gönderin.

id.rsa ve şifreyi kullanarak ssh a giriş yaptım .

direk id.rsa yı kullanarak giriş yapmaya çalıştığımda hata aldım

küçük bir araştırma sonucunda Bu hata, SSH anahtarın rsa formatında ama sunucu artık ssh-rsa algoritmasını kabul etmediği için oluşuyor. Yeni SSH sürümlerinde (8.8 ve sonrası) ssh-rsa varsayılan olarak devre dışı. Bu yüzden özel bir ayarla rsa’yı manuel olarak etkinleştirmek gerektiğini anladım.

ssh -i id.rsa -o PubkeyAcceptedKeyTypes=+ssh-rsa -o HostKeyAlgorithms=+ssh-rsa hype@10.10.10.79

bu şekilde giriş yapabildim

ls ile dizinde bulunanlara baktığımda user.txt dosyasını bulabildim ve user flağına ulaştık

8.hype kullanıcısının daha önce çalıştırdığı terminal multiplexing software’ın adı nedir?

history komutu ile geçmişte çalıştırdığı komutları görebiliyoruz

tmux aracını çalıştırmış burda cevabımız tmux

cevap:tmux

9.tmux oturumu tarafından kullanılan socket dosyasının tam yolu nedir?

tmux -S /.devs/dev_sess

Buradan socket dosyasının tam yolunun /.devs/dev_sess olduğunu anladım. Yani tmux oturumu bu socket üzerinden çalıştırılmış.

cevap: /.devs/dev_sess

10. Bu tmux oturumu hangi kullanıcı olarak çalışıyor?

ls -l dosya yolu ile dosyanın sahibini görebildik “root”dosyanın sahibi olan kullanıcıdır. Bu kullanıcı, tmux oturumunu başlatmıştır.

cevap root

11. Root kullanıcısının ana dizininde bulunan flag’i gönder.

tmux -S /.devs/dev_sess komutu ile root oturumuna bağlanabildik tmux ile bir session açtık

Buradaki -S parametresi, tmux oturumunun varsayılan soket dosyası yerine özel bir yol üzerinden çalıştığını gösteriyor. Yani bu oturum, /.devs/dev_sess isimli socket dosyasına bağlı olarak çalışıyor.

Bu oturuma bağlanmayı denediğimde herhangi bir şifre sormadan doğrudan içeri girdim ve terminal prompt’unda şunu gördüm

Bu da demek oluyor ki: Bağlandığım tmux oturumu root kullanıcısına ait. Böylece sistemde root yetkisi kazanmış oldum herhangi bir exploit çalıştırmadan, doğrudan aktif root shell’e erişmiş oldum.

cevap 7b260f7ef24a1862d4a8c684ae84b012

Sonuç olarak, bu CTF senaryosunda hem hype kullanıcısına eriştik, hem de tmux oturumundan faydalanarak root yetkisi kazandık. Tüm adımları tamamlayarak root flag’ini başarıyla ele geçirmiş olduk.