Im ersten Schritt der Reconnaissance werden grundlegende Informationen über das Zielsystem gesammelt. Dies hilft uns, ein besseres Verständnis der Umgebung zu erlangen und potenzielle Angriffsvektoren zu identifizieren. Die gesammelten Informationen dienen als Grundlage für die nachfolgenden Schritte.
Der ARP-Scan identifiziert die MAC-Adresse und den Hersteller der Netzwerkkarte des Zielsystems.
Der Eintrag in der `/etc/hosts`-Datei ordnet die IP-Adresse `192.168.2.134` dem Hostnamen `dc416-dick.vln` zu. Dies ermöglicht die Verwendung des Hostnamens anstelle der IP-Adresse für den Zugriff auf das Zielsystem.
Ein Nmap-Scan wird durchgeführt, um offene Ports und Dienste auf dem Zielsystem zu identifizieren.
Der Nmap-Scan hat ergeben, dass die Ports 22 (SSH), 80 (HTTP) und 6667 (IRC) geöffnet sind. Die SSH-Version ist OpenSSH 6.6.1, und der HTTP-Server ist Apache 2.4.7. Der IRC-Port ist gefiltert.
Nikto wird verwendet, um die Webanwendung auf bekannte Schwachstellen zu scannen.
Nikto hat interessante Informationen gefunden, darunter das Vorhandensein eines "flag"-Headers mit dem Wert `flag1{l0l_h0w_345y_15_7h15_c7f}`, fehlende Sicherheitsheader, die verwendete PHP-Version und das Vorhandensein potenziell sensibler Dateien wie `db.php` und `#wp-config.php#`.
Gobuster wird verwendet, um weitere Verzeichnisse und Dateien auf dem Webserver zu entdecken.
Gobuster hat mehrere interessante Dateien und Verzeichnisse gefunden, darunter `index.php`, `index.html`, `logo.png`, `admin.php`, `report.php` und `db.php`. Die Weiterleitung von `admin.php` zu `index.php` deutet darauf hin, dass möglicherweise eine Authentifizierung erforderlich ist, um auf die Admin-Seite zuzugreifen.
Um initialen Zugriff auf das System zu erhalten, werden verschiedene Informationen gesammelt und analysiert.
Es wird versucht, auf die Admin-Seite zuzugreifen.
Durch Manipulation des Cookies konnte auf die Admin-Seite zugegriffen werden. Der Cookie `admin` enthält den Wert `J09SIDE9MSAtLSAtidPUiAxPTEgLS0gLQ%3D%3D`, was Base64-decodiert `SQL INJECTION - OR 1=1 -- -` ergibt. Dies deutet auf eine SQL-Injection-Schwachstelle hin.
Auf der Admin-Seite gibt es die Möglichkeit, eine IP-Adresse zur IRC-Whitelist hinzuzufügen.
Da der IRC-Port gefiltert ist, wird mit Nmap geprüft, ob er durch das Hinzufügen zur Whitelist geöffnet werden kann.
Der IRC-Port ist jetzt geöffnet.
Es wird versucht, weitere Informationen über die SQL-Injection zu erhalten, um möglicherweise Anmeldedaten zu extrahieren.
SQLmap wird verwendet, um die Webanwendung auf SQL-Injection-Schwachstellen zu scannen.
SQLmap hat eine time-based blind SQL-Injection im Parameter `msg` der `index.php`-Datei identifiziert.
Die Ausgabe zeigt verschiedene Versuche, die SQL-Injection auszunutzen.
SQLmap wird erneut verwendet, diesmal auf der `report.php`-Datei, um Datenbanken, Tabellen und Inhalte zu extrahieren.
SQLmap hat die Datenbanken `information_schema`, `mysql`, `performance_schema` und `vulnhub` gefunden.
SQLmap hat die Tabellen `admins`, `guestbook` und `issues` in der Datenbank `vulnhub` gefunden.
SQLmap hat den Benutzernamen `rasta` und das Passwort `1b37y0uc4n76u3557h15p455w0rd,5uck3rz` aus der Tabelle `admins` extrahiert.
Es wird versucht, sich über IRC zu verbinden, um weitere Informationen zu erhalten.
Weechat ist ein IRC-Client, der installiert wird, um sich mit dem IRC-Server zu verbinden.
Die Verbindung zum IRC-Server schlägt fehl.
Der Versuch, sich über IRC zu verbinden, war erfolglos.
Nach dem Ausnutzen der SQL-Injection und der Extraktion des Benutzernamens und Passworts wird versucht, sich über SSH anzumelden.
Die Anmeldung als `admin` über SSH war erfolgreich!
Nachdem der Benutzer `admin` infiltriert wurde, wird versucht, Root-Rechte zu erlangen.
Der Benutzer `admin` darf alle Befehle mit `NPASSWD` ausführen.
Durch die Verwendung von `sudo su` konnte Root-Zugriff erlangt werden.
Die `flag3`-Datei wird gelesen, was den erfolgreichen Root-Zugriff bestätigt.