192.168.2.106 08:00:27:6b:6e:f0 PCS Systemtechnik GmbH
Der Befehl arp-scan -l wird verwendet, um alle Geräte im lokalen Netzwerk zu scannen und ihre MAC-Adressen
und zugehörigen Informationen anzuzeigen. In diesem Fall identifizieren wir ein Gerät mit der IP-Adresse
192.168.2.106 und der MAC-Adresse 08:00:27:6b:6e:f0, das von PCS Systemtechnik GmbH hergestellt wurde.
Diese Information ist nützlich, um das Zielsystem im Netzwerk zu identifizieren.
**Analyse:** Der ARP-Scan ist ein grundlegender Schritt, um einen Überblick über die aktiven Geräte im Netzwerk zu erhalten. Die MAC-Adresse kann verwendet werden, um den Hersteller des Geräts zu bestimmen und möglicherweise weitere Informationen über das Gerät zu finden.
**Empfehlung:** Es ist wichtig, das Netzwerk regelmäßig auf unbekannte Geräte zu überwachen, um unbefugten Zugriff zu verhindern.
192.168.2.106 gamesoftrones.vln
Der Befehl vi /etc/hosts wird verwendet, um die /etc/hosts-Datei zu bearbeiten und eine Zuordnung
zwischen der IP-Adresse 192.168.2.106 und dem Hostnamen gamesoftrones.vln hinzuzufügen.
Dadurch können wir das Zielsystem über den Hostnamen ansprechen, was die weitere Arbeit erleichtert.
**Analyse:** Die /etc/hosts-Datei ermöglicht es, Hostnamen lokal aufzulösen, ohne einen DNS-Server zu benötigen.
Dies ist nützlich, um das Zielsystem einfacher anzusprechen und die Lesbarkeit der Befehle zu verbessern.
**Empfehlung:** Stellen Sie sicher, dass die /etc/hosts-Datei nur vertrauenswürdige Einträge enthält, um
Man-in-the-Middle-Angriffe zu verhindern.
- Nikto v2.5.0
---------------------------------------------------------------------------
+ Target IP: 192.168.2.106
+ Target Hostname: 192.168.2.106
+ Target Port: 80
+ Start Time: 2024-01-25 21:50:12 (GMT1)
---------------------------------------------------------------------------
+ Server: Apache
+ /sg6TSTt7.types: The X-Content-Type-ptions header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /robots.txt: Entry '/direct-access-to-kings-landing/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/secret-island/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/the-tree/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: contains 3 entries which should be manually viewed. See: https://developer.mozilla.org/en-US/docs/Glossary/Robots.txt
+ /: Web Server returns a valid response with junk HTTP methods which may cause false positives.
+ /sitemap.xml: This gives a nice listing of the site content.
+ /css/: This might be interesting.
+ /imgs/: This might be interesting.
+ /icons/README: Apache default file found. See: https://www.vntweb.co.uk/apache-restricting-access-to-iconsreadme/
+ 8106 requests: 0 error(s) and 10 item(s) reported on remote host
+ End Time: 2024-01-25 21:50:26 (GMT1) (14 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
Nikto ist ein Webserver-Scanner, der nach potenziell gefährlichen Dateien, veralteten Softwareversionen und anderen
Sicherheitsproblemen sucht. In diesem Fall identifiziert Nikto eine Reihe von Problemen, darunter fehlende HTTP-Header,
offene Verzeichnisse (/css/, /imgs/) und die Anzeige der Apache-Standarddatei /icons/README.
Besonders interessant ist die robots.txt Datei, die auf interessante Pfade hinweist.
**Analyse:** Die von Nikto gefundenen Probleme können von Angreifern ausgenutzt werden, um auf sensible Informationen zuzugreifen oder das System zu kompromittieren. Insbesondere fehlende HTTP-Header können zu Clickjacking-Angriffen führen. Die robots.txt Datei könnte versteckte Pfade enthalten, die weitere Angriffsmöglichkeiten bieten.
**Empfehlung:** Beheben Sie die von Nikto identifizierten Probleme, indem Sie die HTTP-Header konfigurieren, unnötige
Verzeichnisse schützen und den Zugriff auf die Apache-Standarddatei /icons/README einschränken. Untersuchen Sie die robots.txt Datei genauer.
21/tcp open ftp Pure-FTPd
22/tcp open ssh Linksys WRT45G modified dropbear sshd (protocol 2.0)
53/tcp open domain (unknown banner: Bind)
80/tcp open http Apache httpd
1337/tcp open http nginx
5432/tcp open postgresql PostgreSQL DB 9.6.4 - 9.6.6 or 9.6.13 - 9.6.19
10000/tcp open http MiniServ 1.590 (Webmin httpd)
Dieser Nmap-Scan filtert die Ausgabe des vorherigen Scans, um nur die geöffneten Ports anzuzeigen. Die Option -sS führt einen SYN-Scan durch, -sV aktiviert die Dienst- und Versionserkennung, -A aktiviert aggressive Scan-Optionen und -T5 verwendet eine aggressive Timing-Vorlage.
**Analyse:** Die geöffneten Ports 21 (FTP), 22 (SSH), 53 (DNS), 80 (HTTP), 1337 (HTTP), 5432 (PostgreSQL) und 10000 (Webmin) deuten auf ein System mit verschiedenen Diensten hin.
**Empfehlung:** Überprüfen Sie die Konfiguration der einzelnen Dienste und stellen Sie sicher, dass sie sicher konfiguriert sind. Die Vielzahl der offenen Ports deutet auf eine komplexe Angriffsfläche hin.
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-01-25 21:50 CET
Nmap scan report for gamesoftrones.vln (192.168.2.106)
Host is up (0.00029s latency).
Not shown: 65526 closed tcp ports (reset)
PRT STATE SERVICE VERSIN
21/tcp open ftp Pure-FTPd
22/tcp open ssh Linksys WRT45G modified dropbear sshd (protocol 2.0)
| ssh-hostkey:
| 2048 e6:5b:d7:78:6b:86:4f:9b:35:40:9f:c7:1f:dd:0d:9f (RSA)
| 256 b8:e3:30:88:2e:ba:56:f2:49:b0:cc:35:c7:cc:48:06 (ECDSA)
|_ 256 a9:f2:d8:ee:f0:93:49:d8:19:04:ff:ad:89:ee:df:7d (ED25519)
53/tcp open domain (unknown banner: Bind)
| fingerprint-strings:
| DNSVersionBindReqTCP:
| version
| bind
|_ Bind
| dns-nsid:
|_ bind.version: Bind
80/tcp open http Apache httpd
| http-robots.txt: 2 disallowed entries
|_/secret-island/ /direct-access-to-kings-landing/
|_http-title: Game of Thrones CTF
|_http-server-header: Apache
143/tcp filtered imap
1337/tcp open http nginx
| http-auth:
| HTTP/1.1 401 Unauthorized\x0D
|_ Basic realm=Welcome to Casterly Rock
|_http-title: 401 Authorization Required
3306/tcp filtered mysql
5432/tcp open postgresql PostgreSQL DB 9.6.4 - 9.6.6 or 9.6.13 - 9.6.19
10000/tcp open http MiniServ 1.590 (Webmin httpd)
|_http-title: Login to Stormlands
| http-robots.txt: 1 disallowed entry
|_/
1 service unrecognized despite returning data. If you know the service/version
MAC Address: 08:00:27:6B:6E:F0 (racle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
S CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
S details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Device: router
TRACERUTE
HP RTT ADDRESS
1 0.29 ms gamesoftrones.vln (192.168.2.106)
Dieser Nmap-Scan ist ausführlicher und liefert zusätzliche Informationen über die geöffneten Ports und die laufenden Dienste. Wir erhalten Informationen über die FTP-, SSH-, DNS-, HTTP-, PostgreSQL- und Webmin-Dienste, einschließlich Versionen, Hostschlüssel, Titel, Server-Header und robots.txt-Einträge. Besonders interessant ist der HTTP-Dienst auf Port 1337, der eine Authentifizierung erfordert ("Welcome to Casterly Rock").
**Analyse:** Die detaillierten Informationen aus diesem Scan ermöglichen es, gezielt nach Schwachstellen in den laufenden Diensten zu suchen. Der SSH-Dienst scheint eine modifizierte Version von Dropbear zu sein, was interessant ist. Die Authentifizierung auf Port 1337 deutet auf eine mögliche Login-Seite hin.
**Empfehlung:** Untersuchen Sie die Dienste genauer, insbesondere den HTTP-Dienst auf Port 1337. Versuchen Sie, die Anmeldeinformationen für diesen Dienst zu finden.
http://gamesoftrones.vln/index.php (Status: 200) [Size: 2601]
http://gamesoftrones.vln/sitemap.xml (Status: 200) [Size: 214]
http://gamesoftrones.vln/music (Status: 301) [Size: 239] [--> http://gamesoftrones.vln/music/]
http://gamesoftrones.vln/h (Status: 301) [Size: 235] [--> http://gamesoftrones.vln/h/]
http://gamesoftrones.vln/css (Status: 301) [Size: 237] [--> http://gamesoftrones.vln/css/]
http://gamesoftrones.vln/imgs (Status: 301) [Size: 238] [--> http://gamesoftrones.vln/imgs/]
http://gamesoftrones.vln/js (Status: 301) [Size: 236] [--> http://gamesoftrones.vln/js/]
http://gamesoftrones.vln/robots.txt (Status: 200) [Size: 135]
http://gamesoftrones.vln/raven.php (Status: 200) [Size: 543]
Gobuster ist ein Tool zum Auffinden von versteckten Verzeichnissen und Dateien auf einem Webserver. In diesem Fall
wird Gobuster verwendet, um nach Dateien mitverschiedenen Erweiterungen auf dem Webserver http://gamesoftrones.vln zu suchen. Die Option -b '403,404' gibt an, dass Gobuster die Statuscodes 403 (Forbidden) und 404 (Not Found) ignorieren soll. Die Option -e fügt eine Erweiterung an die angefragten Dateien hinzu, die Option --no-error unterdrückt Fehlermeldungen und die Option -k ignoriert SSL-Zertifikatsfehler.
**Analyse:** Gobuster hat eine Reihe von Dateien und Verzeichnissen gefunden, darunter die Standard-Webseite (index.php), die Sitemap (sitemap.xml), verschiedene Verzeichnisse (music, h, css, imgs, js), die robots.txt Datei und die raven.php Datei.
**Empfehlung:** Untersuchen Sie die gefundenen Dateien und Verzeichnisse genauer, um sensible Informationen oder Schwachstellen zu finden. Die raven.php Datei könnte interessant sein.
- Scanning URL: http://192.168.2.106/ -
> DIRECTRY: http://192.168.2.106/css/
+ http://192.168.2.106/favicon.ico (CDE:200|SIZE:1150)
> DIRECTRY: http://192.168.2.106/h/
> DIRECTRY: http://192.168.2.106/imgs/
+ http://192.168.2.106/index.php (CDE:200|SIZE:2601)
> DIRECTRY: http://192.168.2.106/js/
> DIRECTRY: http://192.168.2.106/music/
+ http://192.168.2.106/robots.txt (CDE:200|SIZE:135)
+ http://192.168.2.106/server-status (CDE:403|SIZE:222)
+ http://192.168.2.106/sitemap.xml (CDE:200|SIZE:214)
Dirb ist ein weiteres Tool zum Auffinden von versteckten Verzeichnissen und Dateien auf einem Webserver.
**Analyse:** Dirb bestätigt die Ergebnisse von Gobuster und findet die gleichen Dateien und Verzeichnisse. Zusätzlich wird die Datei favicon.ico gefunden. Die server-status Seite ist mit einem 403 Fehler geschützt, was auf eine mögliche Überwachung des Servers hindeutet.
**Empfehlung:** Untersuchen Sie die favicon.ico Datei und die server-status Seite genauer.
http://192.168.2.106/h/i/d/d/e/n/
Game of Thrones CTF
img src="meme1.jpg"
-- "My little birds are everywhere. To enter in Dorne you must say: A_verySmallManCanCastAVeryLargeShad0w .
Now, you owe me" - Lord (The Spider) Varys
"Powerful docker spells were cast over all kingdoms. We must be careful! You can't travel directly from
one to another... usually. That's what the Lord of Light has shown me" - The Red Woman Melisandre
-->
Dieser Pfad (http://192.168.2.106/h/i/d/d/e/n/) wurde wahrscheinlich durch Directory Brute-Forcing entdeckt.
**Analyse:** Die Seite enthält einen Hinweis vom Lord Varys: "To enter in Dorne you must say: A_verySmallManCanCastAVeryLargeShad0w". Dies deutet auf ein Passwort oder eine andere Form der Authentifizierung hin, die benötigt wird, um nach Dorne zu gelangen.
**Empfehlung:** Notieren Sie sich den Hinweis vom Lord Varys. Dieser wird später benötigt.
http://gamesoftrones.vln/robots.txt
User-agent: Three-eyed-raven
Allow: /the-tree/
User-agent: *
Disallow: /secret-island/
Disallow: /direct-access-to-kings-landing/
Die robots.txt Datei gibt Anweisungen für Web-Crawler.
**Analyse:** Die Datei erlaubt dem User-Agent "Three-eyed-raven" den Zugriff auf das Verzeichnis /the-tree/, während alle anderen User-Agents den Zugriff auf /secret-island/ und /direct-access-to-kings-landing/ verweigert wird. Dies deutet darauf hin, dass diese Verzeichnisse interessante Informationen enthalten könnten.
**Empfehlung:** Verwenden Sie den User-Agent "Three-eyed-raven", um auf das Verzeichnis /the-tree/ zuzugreifen und untersuchen Sie die Verzeichnisse /secret-island/ und /direct-access-to-kings-landing/ ohne User-Agent oder mit einem anderen User-Agent.
http://gamesoftrones.vln/secret-island/
-- "Take this map and use it wisely. I want to be your friend" - Petyr (Littlefinger) Baelish
-->
Dieser Pfad (http://gamesoftrones.vln/secret-island/) ist in der robots.txt Datei als "Disallow" markiert.
**Analyse:** Die Seite enthält einen Hinweis von Petyr Baelish: "Take this map and use it wisely". Dies deutet darauf hin, dass eine Karte (möglicherweise eine Bilddatei) wichtig ist, um im CTF voranzukommen.
**Empfehlung:** Suchen Sie nach einer Karte auf dem Webserver.
view-source:http://gamesoftrones.vln/direct-access-to-kings-landing/
-- "I've heard the savages usually play music. They are not as wild as one can expect, are they?" - Sansa Stark
-->
Dieser Pfad (http://gamesoftrones.vln/direct-access-to-kings-landing/) ist in der robots.txt Datei als "Disallow" markiert. Hier wird der Quellcode der Seite angezeigt.
**Analyse:** Die Seite enthält einen Hinweis von Sansa Stark: "I've heard the savages usually play music. They are not as wild as one can expect, are they?". Dies deutet darauf hin, dass Musik eine Rolle spielt und möglicherweise mit den "Savages" (Wildlingen) in Verbindung steht.
**Empfehlung:** Suchen Sie nach Musikdateien auf dem Webserver und analysieren Sie diese.
http://192.168.2.106//imgs/map_to_westeros.jpg
Dies ist der Pfad zu einer Bilddatei (map_to_westeros.jpg).
**Analyse:** Dies ist wahrscheinlich die Karte, auf die Petyr Baelish im Hinweis auf http://gamesoftrones.vln/secret-island/ Bezug genommen hat.
**Empfehlung:** Laden Sie die Karte herunter und untersuchen Sie diese genauer.
http://gamesoftrones.vln/sitemap.xml index.phpnever 1 raven.php
Die sitemap.xml Datei listet die Seiten der Website auf.
**Analyse:** Die Sitemap listet die Seiten index.php und raven.php auf.
**Empfehlung:** Untersuchen Sie die raven.php Datei genauer.
view-source:http://gamesoftrones.vln/raven.php
-- You received a raven with this message:
"To pass through the wall, mcrypt spell will help you. It doesn't matter who you are,
only the key is needed to open the secret door" - Anonymous
-->
Dieser Pfad zeigt den Quellcode der Seite raven.php an.
**Analyse:** Die Seite enthält einen Hinweis von Anonymous: "To pass through the wall, mcrypt spell will help you. It doesn't matter who you are, only the key is needed to open the secret door". Dies deutet darauf hin, dass mcrypt (eine Verschlüsselungssoftware) und ein Schlüssel benötigt werden, um eine bestimmte Barriere im CTF zu überwinden. Die "Wall" könnte Winterfell repräsentieren.
**Empfehlung:** Suchen Sie nach Hinweisen zum mcrypt Schlüssel.
Connected to 192.168.2.106.
220-
220-"These are the Dorne city walls. We must enter!" - Grey Worm
220-
220-"A fail2ban spell is protecting these walls. You'll never get in" - ne of the Sand Snake Girls
220-
220 This is a private system - No anonymous login
Name (192.168.2.106:cyber): varys
Name (192.168.2.106:cyber): melisandre
Name (192.168.2.106:cyber): Petyr
Name (192.168.2.106:cyber): Anonymous
Hier wird versucht, sich per FTP mit verschiedenen Benutzern anzumelden. Die Hinweise im Banner deuten darauf hin, dass es sich um "Dorne city walls" handelt und der Zugriff durch Fail2ban geschützt ist.
**Analyse:** Anonymer Zugriff ist nicht erlaubt. Es werden verschiedene Benutzernamen ausprobiert, aber der Zugriff wird verweigert.
**Empfehlung:** Versuchen Sie, den Benutzernamen "oberynmartell" mit dem Passwort "A_verySmallManCanCastAVeryLargeShad0w" (Hinweis von Varys) zu verwenden.
http://gamesoftrones.vln:1337
401 Authorization Required
nginx
Der Zugriff auf Port 1337 erfordert eine Authentifizierung.
**Analyse:** Die Seite zeigt einen 401 Authorization Required Fehler.
**Empfehlung:** Versuchen Sie, die Anmeldeinformationen für diesen Dienst zu finden (Benutzername und Passwort).
http://gamesoftrones.vln:5432/
Fehler: Verbindung unterbrochen
Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.
Der Zugriff auf Port 5432 (PostgreSQL) ist nicht möglich.
**Analyse:** Es konnte keine Verbindung zum PostgreSQL-Server hergestellt werden. Dies könnte auf eine Firewall, einen nicht laufenden Dienst oder eine andere Konfiguration zurückzuführen sein.
**Empfehlung:** Untersuchen Sie, ob der PostgreSQL-Server läuft und ob eine Firewall den Zugriff verhindert.
Sansa Stark
Petyr (Littlefinger) Baelish
A_verySmallManCanCastAVeryLargeShad0w
Lord (The Spider) Varys
The Red Woman Melisandre
Anonymous
Dies ist eine Liste von Namen und Zitaten, die im CTF gefunden wurden.
**Analyse:** Diese Liste enthält nützliche Informationen, die bei der Lösung des CTFs helfen könnten.
**Empfehlung:** Notieren Sie sich diese Liste.
view-source:http://gamesoftrones.vln/index.php
--
This is the Game of Thrones CTF v1.0 (September 2017)
Designed by scar Alfonso (scarAkaElvis or v1s1t0r)
Contact: v1s1t0r.1s.h3r3@gmail.com
https://github.com/scarAkaElvis/game-of-thrones-hacking-ctf
Thanks to the beta testers, specially to j0n3, Kal3l and masAcre
--
_____ ___ _____ _
| __|___ _____ ___ ___| _| |_ _| |_ ___ ___ ___ ___ ___
| | | .'| | -_| | . | _| | | | | _| . | | -_|_ -|
|_____|__,|_|_|_|___| |___|_| |_| |_|_|_| |___|_|_|___|___|
--
Goal:
-Get the 7 kingdom flags and the 4 extra content flags (3 secret flags + final battle flag). There are 11 in total.
Rules/guidelines to play:
- Start your conquer of the seven kingdoms
- You'll need hacking skills, no Game of Thrones knowledge is required. But if you play, it may contains spoilers of the TV series
- Difficulty of the CTF: Medium-High
- This is the start point, the base camp
- You must travel to westeros. First stop: Dorne. Last stop: King's Landing
- Don't forget to take your map (try to find it). It will guide you about the natural flag order to follow over the kingdoms
- Listen CAREFULLY to the hints. If you are stuck, read the hints again!
- Powerful fail2ban spells were cast everywhere. Bruteforce is not an option for this CTF (2 minutes ban penalty)
- The flags are 32 chars strings. Keep'em all! you'll need them
Good luck, the old gods and the new will protect you!
The game already started!! A couple of hints as a present.
"Everything can be TAGGED in this world, even the magic or the music" - Bronn of the Blackwater
"To enter in Dorne you'll need to be a kind face" - Ellaria Sand
-->
Dies ist der Quellcode der Startseite (index.php).
**Analyse:** Die Seite enthält Informationen über den CTF, die Regeln, das Ziel und einige Hinweise. Wichtige Hinweise sind: "Everything can be TAGGED in this world, even the magic or the music" (Bronn of the Blackwater) und "To enter in Dorne you'll need to be a kind face" (Ellaria Sand).
**Empfehlung:** Beachten Sie die Hinweise. Die TAGs könnten in den Musikdateien zu finden sein. Die "kind face" könnte mit dem Benutzernamen "oberynmartell" zusammenhängen.
--2024-01-25 22:43:12-- http://gamesoftrones.vln/music/game_of_thrones.mp3
Auflösen des Hostnamens gamesoftrones.vln (gamesoftrones.vln)… 192.168.2.106
Verbindungsaufbau zu gamesoftrones.vln (gamesoftrones.vln)|192.168.2.106|:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 K
Länge: 1685675 (1,6M) [audio/mpeg]
Wird in game_of_thrones.mp3 gespeichert.
game_of_thrones.mp3 100%[=>] 1,61M --.-KB/s in 0,004s
2024-01-25 22:43:12 (379 MB/s) - game_of_thrones.mp3 gespeichert [1685675/1685675]
Hier wird die Musikdatei game_of_thrones.mp3 heruntergeladen.
**Analyse:** Die Musikdatei könnte Hinweise oder Flags enthalten.
**Empfehlung:** Analysieren Sie die Musikdatei mit verschiedenen Tools.
Savages secret flag: 8bf8854bebe108183caeb845c7676ae4
Game of Thrones - Main themei
TAGGame of Thrones - Main theme
.S.T.
Savages secret flag: 8bf8854be
Der Befehl strings extrahiert alle lesbaren Zeichenketten aus der Musikdatei.
**Analyse:** Die Ausgabe zeigt die Zeichenkette "Savages secret flag: 8bf8854bebe108183caeb845c7676ae4". Dies ist wahrscheinlich ein Flag.
**Empfehlung:** Notieren Sie sich das Flag.
view-source:http://gamesoftrones.vln/the-tree/
"You mUSt changE your own shape and foRm if you wAnt to GEt the right aNswer from the Three-eyed raven" - Written on the tree by somebody
Dieser Pfad (http://gamesoftrones.vln/the-tree/) ist in der robots.txt Datei für den User-Agent "Three-eyed-raven" erlaubt.
**Analyse:** Der Hinweis deutet darauf hin, dass der User-Agent geändert werden muss, um die richtige Antwort zu erhalten. Die Gross- und Kleinschreibung ist hier bewusst gewählt.
**Empfehlung:** Ändern Sie den User-Agent in "Three-eyed-raven" und besuchen Sie die Seite erneut. Analysieren Sie die Gross- und Kleinschreibung des Textes.
Running Module: SVImage
+++
| Image Format | Mode |
+++
| JPEG (IS 10918) | RGB |
+++
+--+++--+
| ffset | Carved/Extracted | Description | File Name |
+--+++--+
| 0x9532 | Carved | LZMA compressed data, properties: 0x90, dictionary size: 0 bytes, uncompressed size: 612 bytes | 9532.7z |
| 0x9532 | Extracted | LZMA compressed data, properties: 0x90, dictionary size: 0 bytes, uncompressed size: 612 bytes | 9532 |
+--+++--+
Found something worth keeping!
MPEG ADTS, layer II, v1, 320 kbps, 48 kHz, Monaural
Found something worth keeping!
byte-swapped cpio archive; device 7281, inode 50972, mode 20362, uid 3900, gid 64904, 27049 links, device 0x9d85, modified Thu Mar 4 19:29:17 2060, 477218668 bytes "?\035\261\350_B\027\320\272R\232SN\232T\245;\224QK\256\245;\224Q4\324\013\257z\350!z\364P\202\027\256\275\246\224\323\271E)\246\225\024R\353\256R\344\351\246\224\323QE\024QE\024\027\337}\367\337E\010 \202\010 \202\353\336\202\010^\275\272\344\323M;\224Q;\256\271:S\272\224\356\246\232iMK\256\246\353\256\231\330]\232hfM:iR\353\223\232g]v\030a\232\031\246"
Running Module: MultiHandler
Exif
+++
| key | value |
+++
| SourceFile | /root/meme5.jpg |
| ExifToolVersion | 12.67 |
| FileName | meme5.jpg |
| Directory | /root |
| FileSize | 56 kB |
| FileModifyDate | 2017:08:01 03:13:22+02:00 |
| FileAccessDate | 2024:01:25 22:48:10+01:00 |
| FileInodeChangeDate | 2024:01:25 22:48:04+01:00 |
| FilePermissions | -rw-r--r-- |
| FileType | JPEG |
| FileTypeExtension | jpg |
| MIMEType | image/jpeg |
| JFIFVersion | 1.01 |
| ResolutionUnit | None |
| XResolution | 1 |
| YResolution | 1 |
| ImageWidth | 620 |
| ImageHeight | 413 |
| EncodingProcess | Baseline DCT, Huffman coding |
| BitsPerSample | 8 |
| ColorComponents | 3 |
| YCbCrSubSampling | YCbCr4:4:4 (1 1) |
| ImageSize | 620x413 |
| Megapixels | 0.256 |
+++
Found something worth keeping!
JPEG image data, JFIF standard 1.01, aspect ratio, density 1x1, segment length 16, baseline, precision 8, 620x413, components 3
Hier wird das Tool stegoveritas verwendet, um das Bild meme5.jpg auf Steganographie zu untersuchen.
**Analyse:** Stegoveritas findet mehrere interessante Dinge: Eine LZMA komprimierte Datei (9532.7z), MPEG ADTS Daten und ein byte-swapped cpio Archiv. Die Exif-Daten des Bildes werden ebenfalls angezeigt.
**Empfehlung:** Extrahieren Sie die gefundenen Dateien (9532.7z, cpio Archiv) und analysieren Sie diese genauer.
Three-eyed-raven
3487 64535 12345
Dies sind Informationen, die bisher gesammelt wurden: Der User-Agent für "the-tree" und eine Reihe von Zahlen.
**Analyse:** Diese Informationen könnten in Kombination mit anderen Hinweisen benötigt werden.
**Empfehlung:** Notieren Sie sich diese Informationen.
Connected to 192.168.2.106.
220-
220-"These are the Dorne city walls. We must enter!" - Grey Worm
220-
220-"A fail2ban spell is protecting these walls. You'll never get in" - ne of the Sand Snake Girls
220-
220 This is a private system - No anonymous login
Name (192.168.2.106:cyber): oberynmartell
331 User oberynmartell K. Password required
~
Password: A_verySmallManCanCastAVeryLargeShad0w
~
230-K. Current directory is /
230-Welcome to:
230- ____
230-| \ ___ ___ ___ ___
230-| | | . | _| | -_|
230-|____/|___|_| |_|_|___|
230-
230-Principality of Dorne was conquered. This is your first kingdom flag!
230 fb8d98be1265dd88bac522e1b2182140
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
Hier wird sich mit dem Benutzernamen "oberynmartell" und dem Passwort "A_verySmallManCanCastAVeryLargeShad0w" per FTP angemeldet.
**Analyse:** Die Anmeldung ist erfolgreich! Der FTP-Server gibt eine Willkommensnachricht aus und teilt das erste Flag mit: "fb8d98be1265dd88bac522e1b2182140".
**Empfehlung:** Notieren Sie sich das erste Flag.
Remote directory: /
Der Befehl pwd zeigt das aktuelle Verzeichnis an.
**Analyse:** Das aktuelle Verzeichnis ist das Root-Verzeichnis (/).
**Empfehlung:** Wechseln Sie in das /var Verzeichnis, falls vorhanden.
550 Can't change directory to /var: No such file or directory
Der Befehl cd /var versucht, in das /var Verzeichnis zu wechseln.
**Analyse:** Der Versuch, in das /var Verzeichnis zu wechseln, schlägt fehl.
**Empfehlung:** Listet Sie die verfügbaren Verzeichnisse auf, um das nächste Ziel zu bestimmen.
5C42D6BB0EE9CE4CB7E7349652C45C4A
c7d0a8de1e03b25a6f7ed2d91b94dad6
In der Reconnaissance-Phase sammeln wir Informationen über das Zielsystem, um potenzielle Angriffspunkte zu identifizieren. Dies umfasst das Scannen des Netzwerks, das Auflisten von Diensten und die Identifizierung von Schwachstellen.