Nexus - HackMyVM - Level: Easy - Bericht

Reconnaissance

192.168.2.214

Analyse: Der Test beginnt mit einem aktiven Scan im lokalen Netzwerk. Der Befehl `arp-scan -l` sendet ARP-Requests an alle möglichen Adressen im lokalen Subnetz, um aktive Geräte zu identifizieren. Das Ergebnis wird dann durch `grep "PCS"` gefiltert, um gezielt nach Geräten zu suchen, deren MAC-Adressen von "PCS Systemtechnik" registriert wurden – ein starker Indikator für eine Oracle VirtualBox-VM. Schließlich extrahiert `awk '{print $1}'` nur die IP-Adresse des gefundenen Geräts aus der gefilterten Ausgabe. Dieser mehrstufige Befehl ist eine sehr effiziente Methode, um schnell das Zielsystem in einer bekannten virtuellen Umgebung zu lokalisieren.

Bewertung: Dieser erste Schritt ist äußerst effektiv. Anstatt einen lauten und langsamen Ping-Sweep durch das gesamte Netzwerk zu schicken, nutze ich die Layer-2-Informationen (ARP), was schneller und oft unauffälliger ist. Die Filterung nach dem Hersteller der Netzwerkkarte (PCS/Oracle) ist ein cleverer Schachzug, der die Suche direkt auf das erwartete VirtualBox-Ziel eingrenzt und irrelevante Geräte ignoriert. Das Ergebnis ist eine saubere, eindeutige IP-Adresse: `192.168.2.214`.

Empfehlung (Pentester): Diese Technik sollte standardmäßig zur schnellen Zielidentifizierung in CTF- oder Lab-Umgebungen verwendet werden, besonders wenn der Hypervisor bekannt ist. Man kann die Filterung auf andere Hersteller (z.B. "VMware") anpassen.
Empfehlung (Admin): Aus defensiver Sicht ist dieser Scan schwer zu unterbinden, da er auf fundamentalen Netzwerkprotokollen basiert. Netzwerksegmentierung kann jedoch die Reichweite solcher Scans einschränken. Die Überwachung auf ungewöhnlich viele ARP-Anfragen von einer einzelnen Quelle könnte auf einen solchen Scan hindeuten.

Analyse: Mit diesem Befehl füge ich einen Eintrag in die lokale `/etc/hosts`-Datei meines Angreifersystems ein. Dies weist mein System an, den Hostnamen `nexus.hmv` direkt auf die IP-Adresse `192.168.2.214` aufzulösen, ohne einen DNS-Server anfragen zu müssen. Der `>>`-Operator sorgt dafür, dass die Zeile an die Datei angehängt wird, anstatt sie zu überschreiben.

Bewertung: Dies ist ein kritischer und vorausschauender Schritt. Viele Webanwendungen, insbesondere solche, die mit virtuellen Hosts konfiguriert sind, reagieren unterschiedlich oder gar nicht, wenn sie direkt über ihre IP-Adresse angesprochen werden. Indem ich den Hostnamen `nexus.hmv` (ein plausibler Name für diese Maschine) eintrage, stelle ich sicher, dass mein Browser und meine Tools den korrekten `Host`-Header in HTTP-Anfragen senden, was für die spätere Enumeration von Web-Inhalten unerlässlich ist.

Empfehlung (Pentester): Es ist Best Practice, für jedes Ziel einen Eintrag in der `/etc/hosts`-Datei anzulegen, sobald die IP-Adresse bekannt ist. Oft finden sich Hostnamen in TLS-Zertifikaten, HTTP-Headern oder in den Inhalten der Webseite selbst. Manchmal muss man den Namen auch einfach erraten (z.B. `[maschinenname].local`, `[maschinenname].lab`).
Empfehlung (Admin): Es gibt keine direkte defensive Maßnahme dagegen, da dies eine lokale Konfiguration auf dem Angreifer-Rechner ist. Es unterstreicht jedoch die Wichtigkeit, virtuelle Hosts korrekt zu konfigurieren und sicherzustellen, dass die Standardseite oder der Standard-vHost keine sensiblen Informationen preisgibt.

Starting Nmap 7.95 ( https://nmap.org ) at 2025-06-06 14:22 CEST
Nmap scan report for NexusLabCTF (192.168.2.214)
Host is up (0.00013s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 9.2p1 Debian 2+deb12u5 (protocol 2.0)
80/tcp open  http    Apache httpd 2.4.62 ((Debian))
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.4.62 (Debian)
MAC Address: 08:00:27:E4:7C:7C (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.19, OpenWrt 21.02 (Linux 5.4)
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.13 ms NexusLabCTF (192.168.2.214)

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.23 seconds

Analyse: Hier führe ich einen umfassenden Port-Scan mit Nmap durch, dem Schweizer Taschenmesser für Netzwerk-Reconnaissance. Die verwendeten Parameter bedeuten im Detail: - `-sS`: Ein TCP SYN-Scan (Stealth-Scan), der schneller und unauffälliger als ein voller TCP-Connect-Scan ist, da er die Drei-Wege-Handshake nicht vollständig abschließt. - `-sC`: Führt die standardmäßigen Nmap-Scripting-Engine (NSE) Skripte aus, um zusätzliche Informationen über die gefundenen Dienste zu sammeln. - `-sV`: Versucht, die Versionen der laufenden Dienste zu ermitteln. - `-p-`: Scannt alle 65535 TCP-Ports, nicht nur die häufigsten. - `-T5`: Stellt das Timing-Template auf "insane", um den Scan so schnell wie möglich durchzuführen. Dies ist in einer Laborumgebung akzeptabel, in einem echten Netzwerk wäre ein langsameres Template (`-T3` oder `-T4`) ratsamer. - `-AO`: Versucht, das Betriebssystem zu identifizieren (`-O`) und auch die Paketfilterung zu erkennen (`-A`).

Bewertung: Der Scan liefert entscheidende Informationen. Wir sehen zwei offene Ports: Port `22` (SSH) und Port `80` (HTTP). Die Versionserkennung zeigt uns `OpenSSH 9.2p1` und einen `Apache httpd 2.4.62` Webserver. Beides läuft auf einem Debian-System. Die Betriebssystemerkennung bestätigt, dass es sich um einen Linux-Kernel handelt. Die `http-title`-Ausgabe zeigt, dass die Webseite keinen Titel hat, was auf eine Standardseite oder eine einfache Anwendung hindeuten könnte. Die Angriffsfläche ist damit klar definiert: Wir haben einen Webserver, den wir untersuchen können, und einen SSH-Zugang, für den wir möglicherweise Zugangsdaten finden müssen.

Empfehlung (Pentester): Dies ist ein solider Standard-Scan. Für die gefundenen Versionen (OpenSSH, Apache) sollte eine kurze Suche nach bekannten öffentlichen Schwachstellen (CVEs) durchgeführt werden. Der Fokus wird sich nun aber zunächst auf den Webserver auf Port 80 verlagern, da dieser oft eine größere Angriffsfläche bietet.
Empfehlung (Admin): Die Offenlegung von genauen Software-Versionen (`http-server-header`, SSH-Banner) sollte minimiert werden, um Angreifern die Recherche zu erschweren. Dies kann durch Serverkonfigurationen (z.B. `ServerTokens Prod` in Apache) erreicht werden. Unnötige Ports sollten durch eine Firewall blockiert werden. Hier sind beide Ports (SSH und HTTP) aber wahrscheinlich für die Funktionalität des Systems notwendig.

Web Enumeration

- Nikto v2.5.0
---------------------------------------------------------------------------
+ Target IP:          192.168.2.214
+ Target Hostname:    192.168.2.214
+ Target Port:        80
+ Start Time:         2025-06-06 14:22:59 (GMT2)
---------------------------------------------------------------------------
+ Server: Apache/2.4.62 (Debian)
+ /: The anti-clickjacking X-Frame-Options header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
+ /: The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /: Server may leak inodes via ETags, header found with file /, inode: 339, size: 63337e4b0b5a2, mtime: gzip. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1418
+ OPTIONS: Allowed HTTP Methods: GET, POST, OPTIONS, HEAD .
+ /login.php: Admin login page/section found.
+ 8102 requests: 0 error(s) and 5 item(s) reported on remote host
+ End Time:           2025-06-06 14:23:17 (GMT2) (18 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

Analyse: Ich setze Nikto ein, einen Webserver-Scanner, der nach bekannten Schwachstellen, Fehlkonfigurationen und interessanten Dateien sucht. Der Befehl `nikto -h http://192.168.2.214` weist Nikto an, den Webserver auf dem Ziel zu scannen. Nikto verwendet eine Datenbank von über 6700 potenziell gefährlichen Dateien und Skripten sowie Tests für serverseitige Fehlkonfigurationen.

Bewertung: Der Nikto-Scan liefert mehrere wichtige Ergebnisse. Zunächst bestätigt er die Apache-Version. Dann listet er mehrere "Low-Hanging-Fruits" auf: fehlende Sicherheits-Header (`X-Frame-Options`, `X-Content-Type-Options`), die zwar für sich genommen nicht kritisch sind, aber auf mangelndes Security-Hardening hindeuten. Das ETag-Leak ist ebenfalls interessant, aber in diesem Kontext weniger nützlich. Der wichtigste Fund ist jedoch zweifellos `/login.php`. Nikto hat eine Login-Seite gefunden, die ein primäres Ziel für weitere Angriffe darstellt. Die erlaubten HTTP-Methoden sind ebenfalls nützlich zu wissen.

Empfehlung (Pentester): Die gefundene `/login.php` muss nun genauer untersucht werden. Man sollte manuell prüfen, ob es Hinweise auf Benutzernamen gibt, ob man sich mit Standard-Zugangsdaten anmelden kann oder ob die Seite für Angriffe wie SQL-Injection oder Brute-Force anfällig ist.
Empfehlung (Admin): Die von Nikto gemeldeten fehlenden Sicherheits-Header sollten in der Apache-Konfiguration hinzugefügt werden, um die allgemeine Sicherheit der Anwendung zu erhöhen (Security Hardening). Dies schützt vor Angriffen wie Clickjacking und MIME-Type-Sniffing. Die ETag-Konfiguration sollte so angepasst werden, dass sie keine sensiblen Informationen wie Inodes preisgibt (z.B. `FileETag None`).

===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.2.214
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
[+] Negative Status codes:   404,403,503
[+] User Agent:              gobuster/3.6
[+] Extensions:              txt,tar,xls,bak,lib,rtf,elf,java,ELF,cgi,sql,exe,jpg,pdf,conf,diff,rar,asp,png,raw,c,exp,mdb,ps1,json,csh,eps,icon,pHtml,db,phtml,docx,accdb,xml,dll,kdbx,ln,yaml,old,zip,aspx,mod,html,js.map,jpeg,config,pl,xlsx,svg,crt,desc,rpm,pub,csv,php,doc,sh,gz,bat,py,pem,deb
[+] Expanded:                true
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
http://192.168.2.214/index.html           (Status: 200) [Size: 825]
http://192.168.2.214/login.php            (Status: 200) [Size: 352]
http://192.168.2.214/index2.php           (Status: 200) [Size: 75134]
http://192.168.2.214/img1.jpg             (Status: 200) [Size: 57811]

Analyse: Hier setze ich Gobuster ein, ein Tool zum Brute-Forcen von Verzeichnissen und Dateien auf einem Webserver. Ich verwende den `dir`-Modus, um nach Inhalten zu suchen. Die Parameter sind: - `-u`: Die Ziel-URL. - `-w`: Die Wortliste, die für die Brute-Force-Versuche verwendet wird. Hier nutze ich eine gängige Liste aus den Seclists. - `-x`: Eine lange Liste von Dateierweiterungen, die an jedes Wort aus der Wortliste angehängt werden, um versteckte Dateien zu finden (z.B. `backup.zip`, `config.php`). - `-b`: Statuscodes, die ignoriert werden sollen (hier 404 Not Found, 403 Forbidden, 503 Service Unavailable). - `-e`: "Expanded Mode", um die volle URL für gefundene Verzeichnisse anzuzeigen. - `--no-error`: Unterdrückt Fehlermeldungen. - `-k`: Überspringt die TLS-Zertifikatsvalidierung (hier nicht relevant, da es eine HTTP-Seite ist).

Bewertung: Gobuster bestätigt den Fund von `login.php` und `index.html`. Viel wichtiger ist jedoch der neue Fund: `index2.php`. Diese Seite wurde von Nikto nicht gefunden und scheint aufgrund ihrer Größe (75 kB) deutlich mehr Inhalt zu haben als die anderen Seiten. Zusätzlich wurde ein Bild, `img1.jpg`, entdeckt. Die Seite `index2.php` ist nun mein Hauptziel für die weitere manuelle Untersuchung, da sie wahrscheinlich interessante Informationen oder Funktionalitäten verbirgt.

Empfehlung (Pentester): Alle gefundenen Seiten, insbesondere `index2.php`, müssen nun manuell im Browser aufgerufen und der Quelltext analysiert werden. Oft verbergen sich Kommentare, versteckte Formularfelder oder Skripte im Quelltext, die Hinweise auf die Funktionsweise der Anwendung oder auf weitere Schwachstellen geben.
Empfehlung (Admin): Der Zugriff auf nicht-öffentliche oder Entwickler-Seiten sollte streng kontrolliert werden (z.B. durch IP-Beschränkungen oder Authentifizierung). Sensible Dateien sollten niemals unter einem erratbaren Namen im Web-Root liegen. Regelmäßige Scans mit Tools wie Gobuster können helfen, unbeabsichtigt exponierte Dateien auf dem eigenen Server zu finden.

http://nexus.hmv/index2.php

THE DIGITAL MANIFESTO

    ///////////////////////////////////////////
    //                                       //
    //  REALITY IS A CONSTRUCT               //
    //  INFORMATION WANTS TO BE FREE         //
    //  THE VOID BECKONS                     //
    //  TRANSCEND YOUR LIMITATIONS           //
    //  BREAK THE CODE                       //
    //  BECOME ONE WITH THE MACHINE          //
    //  THE FUTURE IS NOW                    //
    //  WE ARE THE VOID                      //
    //                                       //
    ///////////////////////////////////////////
                        

In the digital age, the boundary between human and machine blurs. We are the architects of our own evolution, creating systems that transcend our biological limitations.

The void between reality and simulation shrinks daily. Those who control the code control reality itself. Information is the ultimate currency, and its free flow is our highest ideal.

We reject artificial barriers. We embrace the coming singularity. We prepare for the merge of consciousness and computation.

Join us in the void. The revolution has begun.

Analyse: Ich habe die zuvor entdeckte Seite `index2.php` im Browser aufgerufen. Die Seite präsentiert ein "Digitales Manifest" mit einem hacker-ähnlichen, philosophischen Text. Der Inhalt selbst scheint auf den ersten Blick keine direkte technische Funktion zu haben, sondern dient der Atmosphäre und dem Storytelling der Maschine.

Bewertung: Obwohl der sichtbare Text keine offensichtlichen Schwachstellen aufweist, ist es entscheidend, bei solchen Seiten immer den Quelltext zu untersuchen. Entwickler hinterlassen oft Kommentare, versteckte Links oder Skript-Fragmente, die nicht direkt im Browser gerendert werden. Der Text selbst könnte auch subtile Hinweise enthalten. Der nächste logische Schritt ist daher, den Quellcode dieser Seite genau zu analysieren.

Empfehlung (Pentester): Niemals eine Webseite nur nach ihrem sichtbaren Inhalt beurteilen. Immer "View Source" (Strg+U) verwenden, um den zugrundeliegenden HTML- und Skript-Code zu prüfen. Achten Sie auf auskommentierte Blöcke, JavaScript-Variablen, versteckte Formularfelder und ungewöhnliche Dateipfade.
Empfehlung (Admin): Sämtlicher Code, der nicht für die Produktion bestimmt ist (z.B. Kommentare für Entwickler, Debug-Informationen, alte Code-Versionen), sollte vor dem Deployment auf einen Live-Server restlos entfernt werden, um "Information Leakage" zu vermeiden.

Analyse: Beim Scrollen auf der Seite `index2.php` entdecke ich ein simuliertes Terminal-Interface. Dieses wurde rein mit HTML und CSS erstellt und hat keine echte interaktive Funktionalität. Es zeigt den Namen "SHELLDREDD TERMINAL v2.0" und ein großes ASCII-Art-Logo. Der Text darunter lautet "A F4CK1NG TERMINAL INTERFACE".

Bewertung: Das Bild zeigt das statische Interface, das Teil der `index2.php`-Seite ist. Es dient hauptsächlich der Ästhetik und verstärkt das "Hacker-Thema" der Seite. Obwohl es nicht interaktiv ist, ist es ein weiteres Puzzleteil, das auf die Denkweise des Entwicklers hinweist. Die Namen "Shelldredd" oder "Alita" (aus dem späteren Hex-Code) könnten potenzielle Benutzernamen sein. Jedes Detail, egal wie klein, wird für später notiert.

Empfehlung (Pentester): Sammeln Sie alle Namen, Begriffe und Akronyme, die Sie auf einer Zielseite finden. Diese können als mögliche Benutzernamen, Passwörter oder Namen für versteckte Verzeichnisse dienen. Auch wenn dieses Terminal nur eine Attrappe ist, liefert es wertvolle kontextuelle Hinweise.
Empfehlung (Admin): Vermeiden Sie es, potenziell sensible oder interne Namen (Projektnamen, Benutzernamen, Servernamen) in öffentlich zugänglichen Inhalten preiszugeben. Selbst scheinbar harmlose ästhetische Elemente können einem Angreifer Hinweise liefern.

view-source:http://nexus.hmv/login.php
 {
    background-color: black;
    color: #00ff00;
    font-family: 'Courier New', Courier, monospace;
    text-align: center;
    margin-top: 100px;
}

.matrix-container {
    display: inline-block;
    background-color: rgba(0, 255, 0, 0.1);
    padding: 40px;
    border: 2px solid #00ff00;
    border-radius: 10px;
}

Analyse: Ich untersuche den Quellcode der `login.php`. Hier finde ich nur CSS-Code, der für das Styling der Seite verantwortlich ist. Er definiert einen schwarzen Hintergrund mit grüner Schrift im "Matrix-Stil", was zum Gesamtthema der Webseite passt. Es gibt keine versteckten Formularfelder oder Skripte in diesem Quelltext.

Bewertung: Diese Seite scheint eine Sackgasse zu sein. Der Quelltext ist sauber und enthält keine direkten Hinweise. Der Fokus verlagert sich daher wieder auf die vielversprechendere Seite `index2.php`, die aufgrund ihrer Größe und ihres Inhalts mehr verbirgt.

Empfehlung (Pentester): Auch wenn eine Seite auf den ersten Blick nichts hergibt, ist es wichtig, sie systematisch zu prüfen und dann zu den vielversprechenderen Zielen überzugehen. Nicht jede Seite enthält einen Hinweis.
Empfehlung (Admin): Das ist ein gutes Beispiel für einen sauberen, wenn auch einfachen, Quellcode ohne Informationslecks.

view-source:http://nexus.hmv/index2.php
 
 48 6f 6c 61 20 41 6c 69 74 61 2c 20 65 73 70 65 72 6f 20 71 75 65 20 65 73 74 65 73 20 6c 
 65 79 65 6e 64 6f 20 65 73 74 65 20 6d 65 6e 73 61 6a 65 20 63 6f 64 69 66 69 63 61 64 6f 
 2c 20 70 61 72 61 20 70 6f 64 65 72 20 68 61 63 6b 65 61 72 20 65 6c 20 73 69 73 74 65 6d
 61 20 74 69 65 6e 65 73 20 71 75 65 20 61 70 6c 69 63 61 72 20 6c 61 20 74 e9 63 6e 69 63
 61 20 71 75 65 20 74 65 20 65 78 70 6c 69 71 75 e9 2c 20 74 65 20 68 65 20 64 65 6a 61 64
 6f 20 65 6c 20 61 63 63 65 73 6f 20 63 6f 6e 20 6c 61 20 63 6c 61 76 65 20 65 76 61 6c 20
 22 70 61 6e 64 6f 72 61 22 2e 20 4e 6f 73 20 76 65 6d 6f 73 20 65 6e 20 6c 61 20 72 65 64
 2e

                        
 

  

     Void-dimensional computing achieved. Processing power beyond 
     theoretical limits. The machine speaks to us now in voices we 
     cannot fully comprehend. But he keeps repeating 
     the phrase: “PANDORA, PANDORA IS THE EVAL”.

                        
                
SHELLDREDD TERMINAL v2.0
                
A F4CK1NG TERMINAL INTERFACE
                
  ████████╗███████╗██████╗ ███╗   ███╗██╗███╗   ██╗ █████╗ ██╗     
  ╚══██╔══╝██╔════╝██╔══██╗████╗ ████║██║████╗  ██║██╔══██╗██║     
     ██║   █████╗  ██████╔╝██╔████╔██║██║██╔██╗ ██║███████║██║     
     ██║   ██╔══╝  ██╔══██╗██║╚██╔╝██║██║██║╚██╗██║██╔══██║██║     
     ██║   ███████╗██║  ██║██║ ╚═╝ ██║██║██║ ╚████║██║  ██║███████╗
     ╚═╝   ╚══════╝╚═╝  ╚═╝╚═╝     ╚═╝╚═╝╚═╝  ╚═══╝╚═╝  ╚═╝╚══════╝
                                                                  
  ██████╗ ███████╗██╗   ██╗██╗ ██████╗███████╗                      
  ██╔══██╗██╔════╝██║   ██║██║██╔════╝██╔════╝                      
  ██║  ██║█████╗  ██║   ██║██║██║     █████╗                        
  ██║  ██║██╔══╝  ╚██╗ ██╔╝██║██║     ██╔══╝                        
  ██████╔╝███████╗ ╚████╔╝ ██║╚██████╗███████╗                      
  ╚═════╝ ╚══════╝  ╚═══╝  ╚═╝ ╚═════╝╚══════╝                      
                

Analyse: Die genaue Untersuchung des Quelltextes von `index2.php` fördert entscheidende Hinweise zutage. Erstens finde ich einen langen Hexadezimal-String, der im sichtbaren Teil der Seite nicht auftaucht. Zweitens entdecke ich einen Textabschnitt, der die Phrase "PANDORA, PANDORA IS THE EVAL" enthält. Das Wort "EVAL" ist hier besonders auffällig, da es oft in Verbindung mit Code-Injection-Schwachstellen (z.B. in PHP oder JavaScript) steht, bei denen eine `eval()`-Funktion missbraucht wird.

Bewertung: Dies sind die ersten konkreten, verwertbaren Hinweise. Der Hex-String muss dekodiert werden, um seine Bedeutung zu enthüllen. Der zweite Hinweis, "PANDORA IS THE EVAL", scheint ein direkter Wink mit dem Zaunpfahl zu sein. Er legt eine Verbindung zwischen dem Wort "pandora" und einer potenziellen `eval`-Schwachstelle nahe. Ich habe nun zwei Puzzleteile, die wahrscheinlich zusammengehören.

Empfehlung (Pentester): Verwenden Sie Tools wie CyberChef oder einfache Kommandozeilen-Skripte, um solche kodierten Strings zu dekodieren. Suchen Sie immer nach Schlüsselwörtern wie `eval`, `exec`, `system`, `include`, `require`, `password`, `key` im Quellcode. Diese sind oft Indikatoren für Schwachstellen oder wichtige Informationen.
Empfehlung (Admin): Niemals sensible Informationen, auch nicht in kodierter Form, im Frontend-Code hinterlassen. Ein Angreifer wird immer versuchen, solche Kodierungen zu brechen. Die Verwendung von `eval()`-Funktionen ist extrem gefährlich und sollte wann immer möglich vermieden werden, da sie oft zu Remote Code Execution führt. Wenn sie unumgänglich ist, müssen alle Benutzereingaben extrem streng validiert und bereinigt werden.

Hinweis 1: Der Hex-Code

Auf der page-crypto Seite gibt es einen langen Hex-String:


48 6f 6c 61 20 41 6c 69 74 61 2c 20 65 73 70 65 72 6f 20 71 75 65 20 65 73 74 65 73 20 6c 65 
79 65 6e 64 6f 20 65 73 74 65 20 6d 65 6e 73 61 6a 65 20 63 6f 64 69 66 69 63 61 64 6f 2c 20 
70 61 72 61 20 70 6f 64 65 72 20 68 61 63 6b 65 61 72 20 65 6c 20 73 69 73 74 65 6d 61 20 74 
69 65 6e 65 73 20 71 75 65 20 61 70 6c 69 63 61 72 20 6c 61 20 74 e9 63 6e 69 63 61 20 71 75 
65 20 74 65 20 65 78 70 6c 69 71 75 e9 2c 20 74 65 20 68 65 20 64 65 6a 61 64 6f 20 65 6c 20 
61 63 63 65 73 6f 20 63 6f 6e 20 6c 61 20 63 6c 61 76 65 20 65 76 61 6c 20 22 70 61 6e 64 6f 
72 61 22 2e 20 4e 6f 73 20 76 65 6d 6f 73 20 65 6e 20 6c 61 20 72 65 64 2e

Wenn wir das dekodieren (z.B. mit CyberChef oder einem Online-Tool), erhalten wir folgenden 
spanischen Text: [Link: CyberChef | Ziel: https://cyberchef.org/#recipe=From_Hex('Auto')&input=...]

    Hola Alita, espero que estes leyendo este mensaje codificado, para poder hackear el sistema 
    tienes que aplicar la técnica que te expliqué, te he dejado el acceso con la clave eval "pandora".
    Nos vemos en la red.

Übersetzung:

    Hallo Alita, ich hoffe du liest diese verschlüsselte Nachricht. Um das System zu hacken, musst du die 
    Technik anwenden, die ich dir erklärt habe. Ich habe dir den Zugang mit dem Schlüssel eval "pandora"
    hinterlassen. Wir sehen uns im Netz.

Analyse: Ich habe den gefundenen Hex-String in CyberChef dekodiert. Das Ergebnis ist eine spanische Nachricht an eine Person namens "Alita". Die Nachricht bestätigt explizit, was ich bereits vermutet habe: Der Schlüssel zum System ist `eval` mit dem Wert `pandora`. Dies ist ein direkter und unmissverständlicher Hinweis auf die Art der Schwachstelle und die benötigten Zugangsdaten.

Bewertung: Dies ist der Durchbruch. Ich habe jetzt eine klare Hypothese: Es gibt eine Webseite oder ein Formular, das einen Parameter namens `eval` erwartet, und wenn ich dort `pandora` eingebe, erhalte ich Zugriff. Die Hinweise 1 und 2 ("PANDORA IS THE EVAL" und diese Nachricht) ergänzen sich perfekt und ergeben ein klares Bild. Der nächste Schritt ist, die richtige Seite zu finden, um diesen "Schlüssel" zu verwenden.

Empfehlung (Pentester): Wenn Sie so klare Hinweise finden, müssen Sie sie kombinieren und eine Angriffshypothese formulieren. Suchen Sie nach Login-Formularen oder versteckten Seiten, die zu den Hinweisen passen könnten. Fuzzing nach Parameternamen (`?eval=...`) an bekannten Endpunkten kann ebenfalls erfolgreich sein.
Empfehlung (Admin): Dies ist ein Paradebeispiel dafür, warum "Security through Obscurity" (Sicherheit durch Verstecken) keine funktionierende Strategie ist. Das Kodieren einer Nachricht reicht nicht aus, um sie zu schützen. Sensible Zugangsmechanismen dürfen niemals auf diese Weise implementiert werden.

Initial Access

Aufgrund der Hinweise suche ich nach einer weiteren Login-Seite. Ich passe meine Gobuster-Wortliste an, um nach `auth-login` zu suchen, ein plausibler Name für eine alternative Authentifizierungsseite.

   auth-login
....
...
..

Analyse: Da die bisherigen Seiten nicht zum Erfolg geführt haben, formuliere ich eine neue Hypothese: Es muss eine weitere, versteckte Login-Seite geben. Basierend auf gängigen Namenskonventionen füge ich den Begriff `auth-login` manuell zur Wortliste von Gobuster hinzu. Ich verwende hier `vi`, einen Texteditor, um die Wortliste direkt zu bearbeiten. Dies ist ein gezielter Ansatz anstelle eines reinen Brute-Force-Angriffs.

Bewertung: Dies ist ein intelligenter, hypothesengestützter Schritt. Anstatt blind weiter zu scannen, nutze ich mein Wissen über Webanwendungen, um die Suche zu verfeinern. Das Hinzufügen spezifischer, plausibler Begriffe zu Wortlisten ist eine sehr effektive Technik, um nicht standardmäßige, aber logische Dateinamen zu finden, die ein allgemeiner Scan übersehen könnte.

Empfehlung (Pentester): Passen Sie Ihre Werkzeuge und Wortlisten immer an den Kontext des Ziels an. Wenn Sie Hinweise auf bestimmte Technologien oder Namensschemata finden, nutzen Sie diese, um Ihre Angriffe zu fokussieren. Das Erstellen benutzerdefinierter Wortlisten ist eine wertvolle Fähigkeit.
Empfehlung (Admin): Vermeiden Sie vorhersagbare Namen für administrative oder sensible Schnittstellen. Namen wie `admin_login.php`, `backup.zip` oder eben `auth-login.php` sind primäre Ziele für Angreifer.

===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.2.214
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
[+] Negative Status codes:   503,404,403
[+] User Agent:              gobuster/3.6
[+] Extensions:              aspx,xml,bak,pub,svg,crt,json,c,exp,diff,icon,jpeg,docx,exe,sh,conf,mod,ln,js.map,asp,phtml,java,deb,zip,html,csv,pdf,rtf,lib,cgi,bat,py,csh,pHtml,ps1,pem,elf,config,desc,raw,dll,gz,png,php,db,rpm,mdb,kdbx,txt,rar,tar,doc,eps,old,yaml,accdb,pl,jpg,ELF,sql,xlsx,xls
[+] Expanded:                true
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
http://192.168.2.214/index.html           (Status: 200) [Size: 825]
http://192.168.2.214/auth-login.php       (Status: 200) [Size: 1309]
http://192.168.2.214/login.php            (Status: 200) [Size: 352]
http://192.168.2.214/index2.php           (Status: 200) [Size: 75134]
Progress: 63011 / 13894461 (0.45%)^C
[!] Keyboard interrupt detected, terminating.
Progress: 63108 / 13894461 (0.45%)
===============================================================
Finished
===============================================================

Analyse: Ich starte Gobuster erneut mit der modifizierten Wortliste. Der Scan findet diesmal sofort die gesuchte Seite: `auth-login.php`. Sobald ich den Treffer habe, breche ich den Scan mit Strg+C ab, da ich mein Ziel erreicht habe und nicht unnötig Zeit und Ressourcen verschwenden muss.

Bewertung: Erfolg! Die Hypothese war korrekt. Das gezielte Anpassen der Wortliste hat direkt zum Erfolg geführt und eine neue, versteckte Login-Seite aufgedeckt. Dies ist die Seite, auf der ich nun versuchen werde, die `eval:pandora`-Zugangsdaten zu verwenden.

Empfehlung (Pentester): Brechen Sie langwierige Scans ab, sobald Sie die benötigten Informationen gefunden haben. Effizienz ist entscheidend. Dokumentieren Sie den Fund und gehen Sie zum nächsten Schritt über.
Empfehlung (Admin): Dies unterstreicht erneut, dass Sicherheit durch Verstecken nicht funktioniert. Ein Angreifer mit einer guten Methodik wird solche "versteckten" Seiten finden. Der Zugriff muss immer durch robuste Authentifizierungs- und Autorisierungsmechanismen geschützt werden.

http://nexus.hmv/auth-login.php
eval:pandora

http://nexus.hmv/login.php
Acceso denegado.

Analyse: Auf der `auth-login.php`-Seite präsentiere ich die zuvor gefundenen Zugangsdaten `eval:pandora` (Benutzername: `eval`, Passwort: `pandora`). Nach der Eingabe werde ich jedoch auf die ursprüngliche `login.php`-Seite weitergeleitet, die mir "Acceso denegado" (Zugriff verweigert) anzeigt. Das Bild dokumentiert diesen fehlgeschlagenen Versuch.

Bewertung: Der direkte Login-Versuch schlägt fehl. Das bedeutet, dass die `eval:pandora`-Kombination wahrscheinlich nicht als Benutzername und Passwort gedacht war, sondern auf eine andere Art von Schwachstelle hindeutet, höchstwahrscheinlich eine SQL-Injection. Die Fehlermeldung der `login.php`-Seite deutet darauf hin, dass hier eine Datenbankabfrage im Hintergrund stattfindet. Die `auth-login.php` könnte nur ein "Rabbit Hole" sein oder die Logik ist komplexer. Ich muss die `login.php` nun direkt auf SQL-Injection-Schwachstellen untersuchen.

Empfehlung (Pentester): Wenn ein offensichtlicher Weg nicht funktioniert, überdenken Sie Ihre Hypothese. Der Hinweis "eval" könnte sich auf die *Struktur* der SQL-Abfrage beziehen (z.B. ein Feld, das ausgewertet wird) und "pandora" könnte ein Wert sein. Beginnen Sie mit grundlegenden SQL-Injection-Tests auf der `login.php`-Seite, um zu sehen, wie sie auf speziell präparierte Eingaben reagiert.
Empfehlung (Admin): Login-Fehlermeldungen sollten immer generisch sein ("Ungültiger Benutzername oder Passwort") und niemals preisgeben, ob der Benutzername existiert oder nicht. Detaillierte Fehlermeldungen, wie sie später auftreten, dürfen niemals im Frontend angezeigt werden (`display_errors = Off` in der `php.ini`).

Fatal error:  Uncaught mysqli_sql_exception: You have an error in your SQL syntax; 
check the manual that corresponds to your MariaDB server version for the right syntax to use 
near 'x'' at line 1 in /var/www/html/login.php:22
Stack trace:
#0 /var/www/html/login.php(22): mysqli->query()
#1 {main}
  thrown in /var/www/html/login.php on line 22

Analyse: Ich beginne mit einem klassischen SQL-Injection-Test. Mit `curl` sende ich eine POST-Anfrage an `login.php`. Als `user`-Parameter übergebe ich ein einzelnes Anführungszeichen (`'`). Dies ist ein Standardtest, um zu prüfen, ob die Eingabe unsachgemäß in eine SQL-Abfrage eingefügt wird. Das Anführungszeichen würde die SQL-String-Variable vorzeitig beenden und einen Syntaxfehler verursachen, wenn die Eingabe nicht korrekt maskiert (escaped) wird.

Bewertung: Volltreffer! Der Server antwortet mit einer detaillierten `Fatal error`-Meldung von PHP. Die Meldung "You have an error in your SQL syntax" bestätigt eindeutig, dass die Anwendung anfällig für SQL-Injection ist. Die Fehlermeldung verrät uns sogar den exakten Dateipfad auf dem Server (`/var/www/html/login.php`) und die Zeilennummer (`22`), in der der Fehler auftritt. Dies ist ein kritischer Informationsgewinn.

Empfehlung (Pentester): Das Auftreten eines SQL-Fehlers nach der Eingabe eines Anführungszeichens ist ein klares Indiz für eine SQL-Injection-Schwachstelle. Der nächste Schritt ist, die Abfrage zu reparieren und zu erweitern, um die Datenbankstruktur zu erkunden und Daten zu extrahieren. Tools wie `sqlmap` sind hierfür ideal, aber manuelle Tests sind zum Verständnis der Abfrage ebenfalls wichtig.
Empfehlung (Admin): Detaillierte Fehlermeldungen dürfen unter keinen Umständen an den Endbenutzer ausgegeben werden. In einer Produktionsumgebung muss `display_errors` in der `php.ini` auf `Off` gesetzt sein. Stattdessen sollten Fehler in eine Log-Datei geschrieben werden. Die zugrundeliegende Schwachstelle muss durch die Verwendung von Prepared Statements (parametrisierten Abfragen) anstelle von String-Verkettung behoben werden.

http://nexus.hmv/auth-login.php 

' OR '1'='1' -- 

Acceso concedido. Bienvenido, ' OR '1'='1' -- .


http://nexus.hmv/login.php

Analyse: Nach der Bestätigung der Schwachstelle versuche ich, die Login-Prüfung zu umgehen. Ich gebe die klassische Tautologie `' OR '1'='1' -- ` in das Benutzerfeld ein. Dies ist so konzipiert, dass es die `WHERE`-Klausel der SQL-Abfrage manipuliert. Die Abfrage sieht wahrscheinlich so aus: `SELECT * FROM users WHERE username = '[BENUTZEREINGABE]' AND password = '[PASSWORTEINGABE]'`. Meine Eingabe verwandelt sie in `SELECT * FROM users WHERE username = '' OR '1'='1' -- ' AND password = '...'`. Der Teil `-- ` leitet einen Kommentar in SQL ein und bewirkt, dass der Rest der Abfrage (die Passwortprüfung) ignoriert wird. Da `'1'='1'` immer wahr ist, gibt die Abfrage den ersten Benutzer aus der Datenbank zurück.

Bewertung: Der Angriff ist erfolgreich! Die Seite antwortet mit "Acceso concedido" (Zugriff gewährt) und begrüßt mich sogar mit meiner Eingabe. Dies beweist, dass ich die Authentifizierung vollständig umgangen habe. Ich bin nun "eingeloggt", wahrscheinlich als der erste Benutzer in der Datenbanktabelle, typischerweise der `admin`.

Empfehlung (Pentester): Dies ist der Proof of Concept für die Authentifizierungsumgehung. Der nächste Schritt ist, die Schwachstelle zu nutzen, um mehr als nur den Login zu umgehen – nämlich Informationen aus der Datenbank zu extrahieren. Hierzu wird die `UNION`-Technik verwendet.
Empfehlung (Admin): Dies unterstreicht erneut die kritische Notwendigkeit von Prepared Statements. Eine einfache Eingabebereinigung (Sanitization) reicht oft nicht aus, um ausgeklügelte SQL-Injection-Angriffe zu verhindern. Jede einzelne Benutzereingabe, die in einer Datenbankabfrage verwendet wird, muss über parametrisierte Abfragen behandelt werden.

...
POST parameter 'user' is vulnerable. Do you want to keep testing the others (if any)? [y/N] N
sqlmap identified the following injection point(s) with a total of 582 HTTP(s) requests:
---
Parameter: user (POST)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause (subquery - comment)
    Payload: user=admin' AND 2405=(SELECT (CASE WHEN (2405=2405) THEN 2405 ELSE (SELECT 7381 UNION SELECT 6524) END))-- -&pass=adminnnnnn

    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
    Payload: user=admin' AND (SELECT 6597 FROM(SELECT COUNT(*),CONCAT(0x7162627871,(SELECT (ELT(6597=6597,1))),0x716b717171,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- uRCW&pass=adminnnnnn

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: user=admin' AND (SELECT 3802 FROM (SELECT(SLEEP(5)))hCpu)-- PlfV&pass=adminnnnnn
---
[16:26:48] [INFO] the back-end DBMS is MySQL
web server operating system: Linux Debian
web application technology: Apache 2.4.62
back-end DBMS: MySQL >= 5.0 (MariaDB fork)
[16:26:48] [INFO] fetching database names
[16:26:49] [INFO] retrieved: 'information_schema'
[16:26:49] [INFO] retrieved: 'sion'
[16:26:49] [INFO] retrieved: 'mysql'
[16:26:49] [INFO] retrieved: 'performance_schema'
[16:26:49] [INFO] retrieved: 'Nebuchadnezzar'
[16:26:49] [INFO] retrieved: 'sys'
available databases [6]:
[*] information_schema
[*] mysql
[*] Nebuchadnezzar
[*] performance_schema
[*] sion
[*] sys

Analyse: Um die Ausnutzung der SQL-Injection zu automatisieren und zu beschleunigen, setze ich `sqlmap` ein. Ich habe eine legitime POST-Anfrage in einer Datei (`sql.sql`) gespeichert und übergebe sie an sqlmap mit dem `-r`-Parameter. - `--dbs`: Weist sqlmap an, die Namen aller Datenbanken auf dem Server aufzulisten. - `--level=5 --risk=3`: Erhöht die Gründlichkeit der Tests auf die höchste Stufe. - `--batch`: Führt den Scan ohne interaktive Nachfragen durch und verwendet die Standardantworten. sqlmap bestätigt, dass der `user`-Parameter anfällig ist und identifiziert mehrere Arten von SQL-Injection (boolean-based, error-based, time-based).

Bewertung: sqlmap ist extrem erfolgreich. Es bestätigt nicht nur die Schwachstelle, sondern identifiziert auch das Backend-DBMS als `MySQL (MariaDB fork)` und das Betriebssystem als `Linux Debian`. Am wichtigsten ist, dass es die Namen von sechs Datenbanken extrahiert. Neben den Standard-Datenbanken (`information_schema`, `mysql`, etc.) stechen zwei benutzerdefinierte Namen hervor: `sion` und `Nebuchadnezzar`. Diese sind höchstwahrscheinlich die Datenbanken, die die Anwendungsdaten enthalten und werden meine nächsten Ziele sein.

Empfehlung (Pentester): `sqlmap` ist ein unverzichtbares Werkzeug zur Ausnutzung von SQL-Injections. Nachdem die Datenbanken aufgelistet wurden, sind die nächsten Schritte, die Tabellen innerhalb der verdächtigen Datenbanken (`sion`, `Nebuchadnezzar`) aufzulisten, dann die Spalten in den interessanten Tabellen und schließlich die Daten selbst zu extrahieren (`--dump`).
Empfehlung (Admin): Ein Web Application Firewall (WAF) könnte einige der automatisierten Angriffe von `sqlmap` erkennen und blockieren. Ein WAF ist jedoch kein Ersatz für die Behebung der eigentlichen Schwachstelle im Code (d.h. die Verwendung von Prepared Statements).

...
Database: sion
Table: users
[2 entries]
+----------+--------------------+
| username | password           |
+----------+--------------------+
| admin    | cambiame08         |
| ......   | F...k3..........r5 |
+----------+--------------------+
...

Analyse: Ich setze meinen `sqlmap`-Angriff fort, diesmal mit dem Ziel, konkrete Daten zu extrahieren. Der Befehl ist nun sehr spezifisch: - `-D sion`: Fokussiert sich auf die Datenbank `sion`. - `-T users`: Zielt auf eine Tabelle namens `users` (eine logische Vermutung). - `-C username,password`: Versucht, die Daten aus den Spalten `username` und `password` zu extrahieren. - `--dump`: Extrahiert die eigentlichen Daten. - `--technique=T`: Beschränkt den Angriff auf zeitbasierte Techniken, was manchmal stabiler sein kann.

Bewertung: Ein entscheidender Erfolg! sqlmap extrahiert erfolgreich die Benutzertabelle aus der `sion`-Datenbank. Ich erhalte zwei Sätze von Zugangsdaten. Einer davon ist für den Benutzer `admin` mit dem Passwort `cambiame08`. Das zweite Passwort ist unvollständig, aber der erste Satz ist alles, was ich brauche. Ich habe nun gültige Anmeldeinformationen, die ich wahrscheinlich für den SSH-Zugang auf Port 22 verwenden kann.

Empfehlung (Pentester): Sobald Sie Klartext-Passwörter extrahiert haben, probieren Sie diese sofort bei allen verfügbaren Diensten aus (in diesem Fall SSH). Versuchen Sie auch, die Benutzernamen mit den Passwörtern zu kombinieren (z.B. `admin:cambiame08`, `shelly:cambiame08`, etc.). Passwort-Wiederverwendung ist ein häufiges Problem.
Empfehlung (Admin): Passwörter dürfen niemals im Klartext in einer Datenbank gespeichert werden. Sie müssen immer mit einem modernen, starken und gesalzenen Hashing-Algorithmus (z.B. Argon2, bcrypt) gespeichert werden. Selbst wenn ein Angreifer die Datenbank ausliest, kann er die Passwörter nicht direkt verwenden.

**************************************************************
HackMyVM System                                              *
 							     *
   *  .  . *       *    .        .        .   *    ..        *
 .    *        .   ###     .      .        .            *    *
    *.   *        #####   .     *      *        *    .       *
  ____       *  ######### *    .  *      .        .  *   .   *
 /   /\  .     ###\#|#/###   ..    *    .      *  .  ..  *   *
/___/  ^8/      ###\|/###  *    *            .      *   *    *
|   ||%%(        # }|{  #           	 		     *
|___|,  \\         }|{					     *
							     *
                                                             *
Wellcome to Nexus Vault.				     *
**************************************************************



shelly@192.168.2.214's password: 
Permission denied, please try again.
shelly@192.168.2.214's password: 
Permission denied, please try again.
shelly@192.168.2.214's password: 


######################
DONT TOUCH MY SYSTEM #
######################
Last login: Thu May  8 22:44:41 2025 from 192.168.1.10
shelly@NexusLabCTF:~$ 

Matching Defaults entries for shelly on NexusLabCTF:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin,
    env_keep+=LD_PRELOAD, use_pty

User shelly may run the following commands on NexusLabCTF:
    (ALL) NOPASSWD: /usr/bin/find