In diesem Abschnitt führen wir eine umfassende Aufklärung des Zielsystems durch. Wir beginnen mit einem ARP-Scan, um das Ziel im Netzwerk zu identifizieren.
Der ARP-Scan hat die IP-Adresse 192.168.2.158 mit der MAC-Adresse 08:00:27:4e:a2:6b identifiziert. Dies bestätigt, dass das Zielsystem im Netzwerk vorhanden ist. Wir notieren die IP-Adresse, um sie in nachfolgenden Scans zu verwenden.
Wir fügen die IP-Adresse und den Hostnamen "cybero1.vln" zur /etc/hosts-Datei hinzu, um die spätere Verwendung des Hostnamens zu erleichtern. Dies ermöglicht uns, das Zielsystem über den Hostnamen anstelle der IP-Adresse anzusprechen.
Dieser umfassende Nmap-Scan liefert detaillierte Informationen über die offenen Ports, die laufenden Dienste und deren Versionen. Wir sehen, dass FTP (ProFTPD 1.3.5b) auf Port 21, SSH (OpenSSH 7.4p1) auf Port 22, HTTP (Apache 2.4.25) auf Port 80 und ein unbekannter Dienst auf Port 666 laufen. Die Analyse des HTTP-Headers zeigt "Coming Soon" als Titel.
In diesem Abschnitt konzentrieren wir uns auf die Enumeration der Webdienste, die auf Port 80 laufen. Wir verwenden Nikto, um nach potenziellen Schwachstellen und Konfigurationsfehlern zu suchen.
Nikto identifiziert verschiedene potenzielle Sicherheitsprobleme, darunter fehlende X-Frame-Options- und X-Content-Type-Options-Header, das potenzielle Auslesen von Inodes über ETags, eine veraltete Apache-Version, die Existenz einer `config.php`-Datei, Directory Indexing in `/css/` und `/images/`, das Vorhandensein von `/phpmyadmin/` und einer `/login.php`-Seite.
Gobuster wird verwendet, um versteckte Verzeichnisse und Dateien auf dem Webserver zu finden. Die Ergebnisse bestätigen die Existenz von `/index.html`, `/images/`, `/login.php`, `/register.php`, `/welcome.php`, `/css/`, `/javascript/`, `/logout.php`, `/config.php` und `/phpmyadmin/`.
Der Zugriff auf `/secretfile.html` zeigt eine Nachricht und eine binäre Zeichenkette. Wir werden die binäre Zeichenkette später decodieren.
Dirb wird ebenfalls verwendet, um das System zu durchsuchen. Die Ergebnisse ähneln denen von Gobuster.
Ein weiterer Nmap-Scan zur Bestätigung der offenen Ports und Dienste.
Die Ausgabe von Port 666 (Doom?) zeigt eine interessante Tatsache.
Die CSS-Datei `/css/style.css` gibt den Autor als "luka cvrk" und das Projekt als "gentle wiki" an. Dies könnte ein Benutzername sein.
Die `/login.php`-Seite hat ein Login-Formular mit dem Benutzernamen "luka". Wir werden versuchen, uns mit diesem Benutzernamen anzumelden.
Ein fehlgeschlagener Login-Versuch mit dem Benutzernamen "luka" und einem falschen Passwort.
Wir verwenden Hydra, um einen Brute-Force-Angriff auf das Login-Formular durchzuführen.
Hydra findet das Passwort "gentle" für den Benutzernamen "luka"!
Eine Datei wird verschoben.
Wir verwenden Metasploit erneut, um SSH-Benutzer zu enumerieren.
Das Metasploit-Modul findet die Benutzer "mail", "root", "chuck", "nick", "terry", "news", "mary", "man" und "bin".
Wir verwenden Hydra erneut, um SSH zu bruteforcen und finden das Passwort "bakeoff" für den Benutzer "mary"!
Wir versuchen, uns über FTP anzumelden.
Wir versuchen, uns über SSH anzumelden.
Die SSH-Verbindung wird geschlossen.
Wir verwenden `wget`, um rekursiv Dateien von dem FTP-Server herunterzuladen. Dies könnte uns interessante Konfigurationsdateien oder andere Informationen liefern.
Wir versuchen, eine PHP-Datei über HTTP auf Port 21 abzurufen, was jedoch fehlschlägt.
Wir versuchen, die gleiche PHP-Datei über FTP abzurufen, was ebenfalls fehlschlägt.
Wir versuchen, uns über SSH mit dem Benutzer "mary" und dem gefundenen Passwort "bakeoff" anzumelden, wobei wir die IPv6-Adresse verwenden.
Die SSH-Verbindung wird wieder geschlossen.
Wir müssen weitere Informationen sammeln, um unsere Privilegien zu erhöhen. Die Informationen aus `/secretfile.html` könnten hilfreich sein. Wir decodieren die binäre Zeichenkette:
Die binäre Zeichenkette ist "boss.gif". Wir versuchen, auf diese Datei zuzugreifen:
........ ... .. .**Privilege Escalation erfolgreich**