Linux

Bir Linux host'a ilk shell düştükten sonra yetki yükseltme için izlenecek sistematik enumeration metodolojisi: önce manuel quick-wins (id, sudo -l, SUID, writable dirs), sonra otomatik araçlar (linpeas, LinEnum) ve süreç gözlemi (pspy). OSCP için linpeas çıktısının nasıl okunacağı ve neyin önce toplanacağı.

OS komut enjeksiyonu ayraçları (; | && $() ``), kör (blind) ve OOB tespit (sleep/DNS/HTTP), ve Server-Side Template Injection: Jinja2/Twig/Freemarker polyglot tespiti ile RCE payload'ları.

PHP include akislarinda dosya okuma (base64 filtreleri, /etc/passwd), php://input ve data:// ile RCE, /var/log/auth.log + Apache access.log log poisoning, /proc/self/environ ve RFI ile kod calistirma.

SQLi tespiti, kolon sayısı bulma (ORDER BY/UNION), UNION-based veri çekme, error-based extractValue, boolean ve time-based blind, MySQL INTO OUTFILE ile webshell yazma, ve sınavda kısıtlı olan sqlmap kullanımı.

Dosya yükleme filtrelerini atlatma: uzantı varyantları (.phtml/.php5), çift uzantı, magic byte (GIF89a) ekleme, Content-Type manipülasyonu, null byte, ve .htaccess ile zararsız uzantıyı PHP olarak yürütme.

RCE elde edilen bir Linux hedeften, mevcut yorumlayıcılara (bash, python, perl, php, ruby) ve netcat/socat/openssl gibi araçlara göre seçilebilecek reverse ve bind shell payload arsenali. Tüm payloadlar {{LHOST}} {{LPORT}} kullanır.

netcat ile yakalanan kaba (dumb) shell'i tam interaktif TTY'ye yükseltme: python pty.spawn, ardından stty raw -echo + fg, script /dev/null, socat tam-TTY ve TERM/satır boyutu ayarları. Tab-completion, Ctrl-C, vi/nano ve sudo için zorunludur.

Versiyon tespitinden public exploit'e giden klasik OSCP servis istismarı iş akışı: searchsploit ile eşleştirme, Tomcat manager WAR deploy, Jenkins script console, Shellshock (CVE-2014-6271), Drupalgeddon2, Apache Struts2 OGNL, Samba usermap_script ve ProFTPD mod_copy. Tespit + manuel exploit pointer'ları, Metasploit gerektiren yerlerde restricted.

GTFOBins'i bir referans katalog olarak nasıl kullanacağın: bir binary'yi (find, tar, vim, python...) SUID, sudo, capabilities veya kısıtlı kabuk (rbash) bağlamlarına göre sorgulayıp doğru breakout primitifini (Shell/Command/SUID/Sudo/Capabilities/File read-write) seçme metodolojisi ve OSCP'de en sık çıkan örnekler.

Dosya capability'lerini getcap ile keşfet ve istismar et: cap_setuid+ep ile python/perl üzerinden root shell, cap_dac_read_search ile /etc/shadow okuma, cap_dac_override ile dosya overwrite.

root tarafindan calistirilan cron job'lari kesfedip; yazilabilir script, gus PATH, gus wildcard veya yakalanan gecici dosyalar uzerinden root'a yetki yukseltme. Gizli/zamanli job'lari pspy ile tespit etme.

Kullanıcı docker veya lxd/lxc grubundaysa, ya da yazılabilir bir /var/run/docker.sock varsa, host filesystem'ini bir konteynere mount ederek veya privileged konteyner çalıştırarak root'a yükselirsin.

Kernel sürümünü ve dağıtımı tespit et, linux-exploit-suggester / searchsploit ile eşleşen public exploit'leri bul, hedefte derleyip çalıştır. OSCP'de son çare olarak kullan — kernel exploit'leri kararsızdır ve sınavda dikkatli kullanılmalıdır.

Dört yaygın yerel root CVE'sinin tespiti ve istismarı: PwnKit (CVE-2021-4034, pkexec), Dirty Pipe (CVE-2022-0847, kernel 5.8+), Baron Samedit (CVE-2021-3156, sudo heap), DirtyCow (CVE-2016-5195, eski kernel). Her biri için sürüm tespiti + public PoC akışı.

Sudoers 'env_keep' ile LD_PRELOAD/LD_LIBRARY_PATH ortam degiskenlerini koruyorsa veya bir komutta SETENV etiketi varsa; saldirgan kotu niyetli bir .so kutuphanesi derleyip sudo ile bir komut calistirirken yukleterek root yetkisiyle kod calistirir.

NFS export'u no_root_squash ile paylaşılmışsa, saldırgan kendi makinesinde (root iken) paylaşımı mount edip içine SUID root bir binary bırakır; hedefte düşük yetkili kullanıcı bu binary'i çalıştırarak root olur. root_squash aktifse bu vektör çalışmaz — alternatifler ve tespit yöntemleri.

Root tarafindan calistirilan bir SUID binary veya sudo betigi, bir komutu mutlak yol yerine goreli isimle (orn. 'cat', 'service') cagiriyorsa; saldirgan kontrol ettigi bir dizini PATH'in basina ekleyip ayni isimde sahte bir binary birakarak root yetkisiyle kod calistirir.

SSH tabanlı privesc/lateral vektörleri: dünyaya okunabilir private key'lerin kırılması/kullanılması, yazılabilir authorized_keys'e kendi key'ini ekleme, ele geçirilen SSH agent socket'inin hijack edilmesi ve known_hosts harvesting ile sonraki hedeflerin keşfi. SSH config'lerden gömülü key ve IdentityFile yollarının toplanması.

sudo -l ile çalıştırabileceğin komutları say; NOPASSWD/ALL girdileri, GTFOBins sudo breakout'ları, env_keep ile LD_PRELOAD/LD_LIBRARY_PATH enjeksiyonu, sudo token çalma ve Baron Samedit (CVE-2021-3156) / Runas ALL bypass (CVE-2019-14287) gibi bilinen sudo zafiyetleri ile root'a yüksel.

SUID/SGID bit'i set edilmiş binary'leri bul ve istismar et: GTFOBins ile setuid abuse, eksik kütüphane için shared-object injection, ve custom binary'lerde PATH/komut hijacking yoluyla root kazanımı.

Yazilabilir .service / .timer unit dosyalari, sudo ile root calistirilabilen systemctl, ve PATH/relative-path zafiyetleri uzerinden root'a yetki yukseltme. systemd timer'lari ile cron'a alternatif kalici/zamanli root yurutme.

Root tarafından çalışan ve wildcard (*) içeren tar/rsync/chown/chmod komutlarına dosya adı yoluyla argüman enjekte et: tar --checkpoint-action ile komut çalıştır, rsync -e ile shell, --reference ile sahip/izin manipülasyonu.

Yazılabilir /etc/passwd'a openssl passwd hash'i ile UID 0 kullanıcı ekleyerek root ol; yazılabilir /etc/shadow'da root parolasını yeni hash ile değiştirerek doğrudan oturum aç.

Hedefe enumeration scriptleri (linpeas) ve exploit araçları taşıma, hedeften loot/dosya çıkarma yöntemleri: python3 -m http.server, wget/curl, nc, scp, base64 kopyala-yapıştır ve /dev/tcp ile dosya çekme. Tümü {{LHOST}} {{LPORT}} {{RHOST}} kullanır.