Seite 3: Angriffsobjekt hacken

Jetzt gehts endlich in die Vollen: Starten Sie die verwundbare VM per Doppelklick in der VirtualBox-Oberfläche, zum Beispiel Mr. Robot. Die Ziel-VM können Sie danach minimieren, da die angreifbaren Server jetzt den Dienst aufgenommen haben und es hier nichts weiter zu sehen gibt. Wechseln Sie zurück zu Kali und scannen Sie Ihr virtuelles Netzwerk mit dem Konsolenbefehl sudo netdiscover -r 10.10.1.0/24. Nachdem Sie das kali-Passwort eingetippt haben, macht sich netdiscover an die Arbeit.

Bei Mr. Robot sollte netdiscover die IP-Adresse 10.10.1.3 entdecken, neben der IP des DHCP-Servers. Wenn die IP-Adressen aufploppen, können Sie den Scan mit der Taste q beenden.

Als Erstes sollten Sie das Angriffsobjekt genau untersuchen, sprich: So viele Informationen wie möglich sammeln. Um nicht den Überblick zu verlieren und um sich doppelte Arbeit zu ersparen, sollten Sie Ihre Erkenntnisse von Anfang an dokumentieren. Erstellen Sie dafür am besten einen Ordner auf dem Desktop plus eine Textdatei zu Mr. Robot. Schreiben Sie alle im Laufe der Übung gewonnenen Informationen und Erkenntnisse in das Dokument. Sollten Sie die Maschine am Ende erfolgreich hacken, haben Sie mit der Textdatei nicht nur eine Schritt-für-Schritt-Anleitung erstellt, sondern auch eine Ansammlung aller benutzten Befehle, die zum Lösen weiterer Übungs-VMs äußerst hilfreich sein können.

Mit dem Netzwerkscanner nmap [3] tasten Sie sich langsam an die Maschine heran und klopfen ab, auf welchen Ports Server auf der anderen Seite lauschen. Nach Eingabe des Befehls nmap 10.10.1.3 spuckt der Scanner gleich drei erreichbare Ports aus:

Nmap scan report for 10.10.1.3
(...)
PORT    STATE  SERVICE
22/tcp  closed ssh
80/tcp  open   http
443/tcp open   https

Üblicherweise verbergen sich hinter den Ports 80 (http) und 443 (https) Webserver, die Sie einfach über den Webbrowser inspizieren können. Die Website auf dem HTTP-Port 80 rufen Sie auf, indem Sie den Browser über das Kali-Menü starten und http://10.10.1.3 in seine Adressleiste tippen.

Als würde man einen Theatervorhang lüften, spielt die Website eine kleine Show ab: Eine interaktive Konsole öffnet sich und Mr. Robot persönlich begrüßt Sie. Es gibt viele spannende Dinge auf der Konsole zu entdecken, von kleinen Videos bis Textausschnitten ist alles dabei. Probieren Sie einfach mal die gelisteten Befehle durch.

Das ist zwar unterhaltsam, eine offensichtliche Angriffsfläche zur Übernahme des Servers bietet diese Konsole aber nicht. Daher sollten Sie wieder einen Schritt zurück in die Kali-Shell gehen und weitersuchen. Erneut ist nmap das Werkzeug der Wahl. Denn der Netzwerkscanner kann viel mehr als nur Ports abklopfen: Mit dem mitgelieferten Skript http-enum versucht er etwa, versteckte Dateien und verborgene URLs aufzustöbern, indem er eine Liste gängiger Pfadnamen wie /admin/ durchprobiert. Um das Skript zu nutzen, müssen Sie den Scan-Befehl nur um den Parameter --script und das gewünschte Skript erweitern:

nmap 10.10.1.3 --script=http-enum

Nmap scannt zunächst wieder nach offenen Ports und probiert bei den entdeckten Webservern anschließend etliche URL-Pfade aus. Bei Mr. Robot wird der Scanner nach einiger Zeit gleich mehrfach fündig.

Nmap-Scan

Nmap scan report for 10.10.1.3
(...)
PORT    STATE  SERVICE
22/tcp  closed ssh
80/tcp  open   http
| http-enum: 
|   /admin/: Possible admin folder
|   /admin/index.html: Possible admin folder
|   /wp-login.php: Possible admin folder
|   /robots.txt: Robots file
|   /feed/: Wordpress version: 4.3.1
|   /wp-includes/images/rss.png: Wordpress version 2.2 found.
|   /wp-includes/js/jquery/suggest.js: Wordpress version 2.5 found.
|   /wp-includes/images/blank.gif: Wordpress version 2.6 found.
|   /wp-includes/js/comment-reply.js: Wordpress version 2.7 found.
|   /wp-login.php: Wordpress login page.
|   /wp-admin/upgrade.php: Wordpress login page.
|   /readme.html: Interesting, a readme.
|   /0/: Potentially interesting folder
|_  /image/: Potentially interesting folder
443/tcp open   https
(...)

Ein ausführlicherer Scan mit nmap und dem Skript http-enum enthüllt viele Informationen über die Übungs-VM "Mr. Robot". Das Skript hat durch Erraten mehrere URLs aufgespürt, darunter Log-in-Seiten, Textdateien und HTML-Seiten.

Die Ausgabe des Scans liefert viele spannende Informationen, doch bevor Sie diesen nachgehen, sollten Sie das Scanergebnis per Zwischenablage in Ihre Textdatei einfügen. Am besten markieren Sie dazu den Text und kopieren ihn nach einem Rechtsklick und Auswahl von "Auswahl kopieren" oder durch Strg+Umschalt+C.

Der Scan liefert viele neue Ansatzpunkte: Sie wissen jetzt zum Beispiel, dass auf dem Server höchstwahrscheinlich eine Wordpress-Installation läuft und kennen außerdem die dazugehörigen URL zum Einloggen (/wp-login.php). Falls Sie später mal an einen gültigen Wordpress-Benutzernamen kommen, können Sie hierüber eine Brute-Force-Attacke auf das Passwort starten.

Steuern Sie alle entdeckten URL über den Browser an, um sich einen Überblick zu verschaffen. Interessant sehen etwa /readme.html und /robots.txt aus. Erstere entpuppte sich jedoch als Sackgasse: Beim Aufruf speist Sie Mr. Robot mit folgendem Satz ab: "I like where your head is at. However im not going to help you."

Die Textdatei robots.txt ist nicht unüblich bei Wordpress-Installationen. Auch wenn der Name so wirkt, als hätten sich die Entwickler den für Mr. Robot ausgedacht, stammt die Bezeichnung noch aus den Neunzigerjahren des Internets. Die Textdatei schreibt Suchmaschinen- und anderen Bots vor, welche Bereiche des Webservers sie indexieren dürfen – und welche nicht. Hacker interessieren sich natürlich für genau die Bereiche, die der Webmaster aus den Suchmaschinen fernhalten will. Es lohnt sich daher oft, einen Blick auf die Datei zu werfen. So auch in diesem Fall: Steuern Sie http://10.10.1.3/robots.txt im Browser an. Auf der weißen Seite finden Sie drei kurze Zeilen.

User-agent: *
fsocity.dic
key-1-of-3.txt

Zeile zwei und drei sind besonders interessant, sie liefern Hinweise zu zwei weiteren Dateien. Sowohl fsocity.dic als auch key-1-of-3.txt befinden sich im Hauptverzeichnis des Webservers. Sie können auch diese Dateien mit dem Browser öffnen, am besten nutzen Sie aber gleich den wget-Befehl auf der Shell, um die Dateien zu speichern. Für key-1-of-3.txt lautet er zum Beispiel:

wget http://10.10.1.3/key-1-of-3.txt

Der Befehl speichert die Textdatei in das aktuelle Arbeitsverzeichnis. Öffnen Sie die Datei key-1-of-3.txt per Doppelklick im Datei-Explorer. Sie werden feststellen, dass Sie gerade Ihre erste Flagge erobert haben – herzlichen Glückwunsch! In "Mr. Robot" heißen die Flaggen "keys". Das geübte Auge erkennt, dass die Flagge 073403c8a58a1f80d943455fb30724b9 hexadezimal kodiert ist. Eine Umwandlung nach ASCII ergab aber nur Kauderwelsch, das keinen tieferen Sinn zu haben scheint.