Bu yazımda sizlere TryHackMe Platformunda bulunan Blue windows işletim sistemli zafiyetli makinemizi çözeceğim. Tek yapacağımız işlem port tarayıp Msfconsole ile arama yapıp ilk olarak bağlantı kuracağız daha sonrasında Administrator olarak kapanış yapacağız.
.

nmap taramasını nmap -A –script vuln 10.10.50.117 şeklinde yaptığımızda bize savunmasız olduğu SMBv1 servers(ms17-010) olarak bize veriyor. Portlara baktığımızda http vb. bir yer olmadığından direk  savunmasız gördüğümüz yerden yakalayıp bağlantı kurmaya çalışmamız gerekmektedir. Msfconsole gidelim…

Msfconsole gittiğimizde bulduğumuz  ms17-010 zafiyetini aratıp nasıl girebiliriz exploit var mı diye bakıyoruz olmasaydı ne yapabilirdik. Tarayıcımızdan arayıp farklı bağlantı kurabileceğimiz exploitler var mı ona bakabilirdik, ama bizim işimize yarayacak 6 exploit bulduk ben bunlardan ilkini kullanacağım çünkü diğerlerinin sonuna bakarsak işletim sistemlerine göre ayarlanmış olduğunu fark edebiliriz. Use 0 diyerek exploitimin içerisine giriyorum.

Exploit ayarlamalarımızda gereken ilk önce Tryhackme de verilen payloadımızı değiştiriyoruz. Daha sonra RHOSTS ve LHOST ayarladıktan sonra run diyerek exploite yanıt gelmesini bekliyoruz.

Exploit açıklarından yararlanarak sisteme girmiş bulunmaktayız fakat burda Administrator olmadığımızdan sadece yapabildiklerimiz flagları bulmak oluyor ben onları ise Administrator olduktan sonra bulmak daha mantıklı geliyor. CTRL-Z yaparak  arka tarafta dinlemede bekletiyoruz.

Gene bu açıkta kullanılacak bilgiyi shell_to_meterpreter ile aratarak buluyoruz. İlk dinlemede kullanmamız gereken set payload windows/x64/shell/reverse_tcp  dinlemeye alınarak nasıl msfconsole ile privilege escalation diye araştırmalara yaptığımdan use post/multi/manage/shell_to_meterpreter karşıma geldi .

use post/multi/manage/shell_to_meterpreter post metot şeklimizi ayarlamamız gerekmektedir. Bizden istenilen arka tarafta ilk exploit ile girdiğimiz dinlemenin hangi numarada olduğunu yani SESSION kısmını tamamlamamızı  daha sonra LHOST kendi IP adresimizi yazarak ilerliyoruz.

İşlemler gerçekleştikten sonra sessions diyerek oturumlarımızda 2.sessions bilgi kısmında yazılan yerde AUTHORITY/SYSTEM olarak çıktığını görebiliriz. Artık makinemize girerek istenilen bilgileri bulmak kalıyor.

Migrate -N ile kendimizi saklamamız gerekmektedir bende istenilen saklamayı spoolsv.exe yazıcıların içerisine kendimi saklayarak tamamlıyorum.

Hashdump içerisinden kullanıcının şifresini bulmamızı istiyor. Ama baktığımızda Kullanıcı adı, Bağıl tanımlayıcı, LM hash algoristması, NT karması olarak adlandırılan yapılar bulunmakta. Kullanıcı adı ve NT karmasını vererek john çalıştırmaya karar verdim.

NT formatında çalıştırdığımda bana Jon kullanıcısının şifresini buluyor ve istenilen işlemleri yapmış oluyorum.

Son olarak bizden istenilen üç ayrı flag bulunmakta görüldüğü gibi;

 c:\flag1.txt

c:\Windows\System32\configflag2.txt

c:\Users\Jon\Documents\flag3.txt 

olarak görünmektedir. Sizde Çözdüğünüz vakit cevapları görebileceksiniz 🙂 Diğer CTF’te görüşmek üzere vakit ayırdığınız için teşekkür ederim.