Gamified Security mit hackthebox.eu

In der aktuellen Quarantäne, in der sich alle unsere Mitarbeiter in räumlich getrennten Arbeitsumgebungen befinden, ist es für uns Infosec-Mitarbeiter ziemlich schwierig bei Forensiken, internen Penetrationstests vor Ort oder bei der Reaktion auf Vorfälle bei Kunden wirklich Hand anzulegen . Wie schulen wir also unsere Fähigkeiten? Wie schärfen wir unsere Fähigkeiten?

TL;DR

Wir befassen uns – neben Forschung, interner Tests und vielen mehr (oder weniger) unterhaltsamen Dingen – mit verschiedenen Online-Plattformen für die Ausbildung. Eine wirklich effektive und fortschrittliche Plattform in diesem Bereich ist hackthebox (htb). Dieser Beitrag ist die Einführung zu einer Reihe von Blogartikeln, die dich zu einer Reise durch das Wunderland der Informationssicherheit und des Hacking einladen.

Wer jetzt denkt, dass das nichts für einen ist, weil man keine Penetrationstester*in ist – im Gegenteil: Entwickler*innen, Compliance-Hüter*innen oder Security-Expert*innen – hier kann jede*r ein oder zwei Sachen dazu lernen.

Aber eins nach dem anderen. Bevor es losgeht mit der pwnage, den Daten-Exfiltrationen, dem Hacking oder dem Zerlegen virtueller Trainingsplätze, sollten wir uns die Zeit nehmen, um ein gewisses Verständnis dafür zu bekommen, was wir tun, warum wir das tun, welche Werkzeuge wir verwenden und wie wir methodisch vorgehen.

Here be dragons

Um das Hacken zu lernen ohne dabei mit Gesetzeshütern aneinander zu geraten, haben die Gründer von hackthebox.eu eine Umgebung auf die Beine gestellt, in der all das möglich ist. Bevor es mit der hackthebox-Safari losgeht aber noch ein Wort der Warnung: Wir sind nicht die einzigen Angreifer im HTB-Netzwerk. Es sind viele geübte Hacker unterwegs und versuchen, Computer zu knacken. Vorsicht ist besser als Nachsicht: Die Benutzung einer Virtuellen Maschine (VM) oder eines dedizierten Hacking-Computers ist empfohlen (nicht der Arbeitslaptop!). Außerdem noch ein Wort der Warnung: Nichts was wir hier beschreiben darf gegen echte Umgebungen ohne rechtmäßige Verträge und die Zustimmung der Systemeigner angewandt werden. In gewissem Maße ist sogar der Versuch (zumindest in Deutschland, aber auch in vielen anderen Ländern) illegal und wird dich höchstwahrscheinlich in Schwierigkeiten bringen.

Ein paar Tipps

Die Beiträge dieser Reihe sollen als Ausgangspunkt für das Erlernen grundlegender Methoden bei Penetrationtests dienen. Auch wenn es Spaß macht, sie zu lesen, empfehlen wir, selbst in die genannten Maschinen einzubrechen und die Berichte nur dann zu verwenden, wenn es (scheinbar) nicht mehr weiter geht.

hackthebox 101 – Wie funktioniert das eigentlich?

Nach dem erfolgreichen Hacken des Portals – ja, es gibt keinen anderen Weg – werden wir vom Dashboard begrüßt. Das sieht im ersten Moment ziemlich kompliziert aus, aber mit einiger Zeit navigiert es sich doch ganz gut.

Vorerst konzentrieren wir uns auf die Maschinen – dies sind virtuelle Maschinen, die in einem Virtual Private Network (VPN) laufen. Um auf dieses VPN zuzugreifen, musst du auf die Zugangsseite navigieren.

Hier kann das Access Pack heruntergeladen werden – eine OpenVPN-Konfigurationsdatei, mit der du dich mit dem Hackthebox-Lab verbinden kannst.

Jetzt gilt es, ein geeignetes Ziel auszuwählen. Die Maschinenübersicht zeigt alle 20 derzeit aktiven Maschinen.

Dort sehen wir den Namen, den Schwierigkeitsgrad und die Bewertung der Maschine – sowie einige Steuerelemente zum Hochfahren, Zurücksetzen und Stoppen einer Maschine und zum Einreichen der Flags, die wir zur Vervollständigung der Maschine finden müssen.

Flags? Ja, Flaggen. Auf jeder Maschine befindet sich eine Datei `user.txt` und `root.txt`, die einen Hash beinhalten. Das sind die Ziele. Diese Hashes werden benötigt, um die Maschinen erfolgreich abzuschliessen und das Punktekonto zu füllen.

Jede Maschine hat eine Profilseite, die etwas mehr über die Maschine erzählt – zum Beispiel die IP-Adresse, den Ersteller der Maschine und einige Benutzerbewertungen, die bei der Entscheidung helfen können, sich in die Maschine einzuhacken oder es zu unterlassen.

Mit all dem im Hinterkopf gehts weiter. Sehen wir uns an, wie wir an diese Boxen herangehen.

Methodik

Auf jeder einzelnen Maschine werden wir im Wesentlichen die gleichen Schritte durchführen, um einen Überblick und mögliche Eintrittsvektoren zu der Maschine zu erhalten, die wir bearbeiten. Kurz gesagt, wir werden die folgenden Aufgaben in der Reihenfolge und dem Umfang durchführen, wie sie nachfolgend dargestellt sind.

Vorbereitung (5 %)

Die Vorbereitung unserer persönlichen Angriffsumgebung ist entscheidend, um schnell und effizient zu sein. Normalerweise führen wir hier die notwendigen Schritte durch, um eine saubere Pentestumgebung vorzubereiten (z.B. Einrichtung einer neuen VM) und die Betriebssysteme und die Werkzeuge, die wir zur Durchführung eines Angriffs verwenden werden, zu aktualisieren. Darüber hinaus sind Dinge wie das Hinzufügen eines Eintrags für das Zielsystem in der Hosts-Datei oder die Verbindung zu einem bestimmten VPN ebenfalls üblich.

Enumerierung und Fingerprinting (10 %)

Dies ist ein allererster Schritt zur Durchführung eines Scans des Zielcomputers, um laufende oder versteckte Dienste, die verwendeten Protokolle und Versionen der implementierten Dienste zu identifizieren. Außerdem werden wir abschätzen, welche Dienste am ehesten einen Erfolg versprechen und mit dementsprechender Priorität ein Auge darauf werfen.

Typischerweise verwendete Werkzeuge sind hier: masscan und nmap .

Aufklärung (80 %)

Nachdem wir die laufenden Dienste identifiziert haben, werden wir nach bekannten Schwachstellen und Fehlern in der Software suchen. Außerdem werden wir nach Überbleibseln in den Quellcodes oder Fehlkonfigurationen in den Diensten suchen.

Hierzu werden häufig folgende Tools benutzt: gobuster , recursebuster , ffuf , patator , hydra .

Exploit (5 %)

Die zufriedenstellendste Phase ist die Nutzung von Fehlern und Schwachstellen, um einen Angriffsvektor tatsächlich (falsch) zu nutzen, um zur Zielmaschine durchzubrechen.

Dazu werden häufig benutzt: gcc , python , shellcode , powershell , sqlmap , Metasploit , Mimikatz , PwnTools und viele, viele mehr…

Was diese Werkzeuge gemeinsam haben, ist, dass sie dir helfen, Zugang zu Orten zu erhalten, zu denen du keinen Zugang haben solltest – was schön ist, wenn das deine Absicht ist. Die meisten von ihnen haben eine steile Lernkurve – deshalb werden wir dir mehr Informationen über die Werkzeuge, die zugrunde liegenden Prozesse und Konzepte und Protokolle, die sie nutzen, in den kommenden Blogposts zur Verfügung stellen.

Aber warum tut ihr das?

Möglicherweise denkst du Das klingt interessant – und auch nach harter Arbeit – und das ist es auch tatsächlich. Aber es macht auch eine Menge Spaß. Wer es einmal geschafft hat, Verbindung zu einem Host herzustellen oder eine Schwachstelle zu finden und sie erfolgreich auszunutzen (meistens nach stundenlangem Debugging, Fehlern und Facepalming), ist vielleicht schon süchtig danach.

Ein weiterer Aspekt ist, dass eine Plattform wie diese eine großartige Möglichkeit bietet, unsere Fähigkeiten zu schärfen und zu lernen – während man Spaß hat! Einige der Maschinen sind realitätsnah, wie man sie bei einem Penetrationstest sehen oder in einem Bericht über eine Datenbreach nachlesen kann. Andere Maschinen haben ein Thema und erzählen dir eine Geschichte, während du dir deinen Weg durch sie hindurch hackst.
Das Ziel in diesen beiden Szenarien ist zu lernen und Spaß zu haben – wir sollten also wahrscheinlich aufhören, über das Warum und Wie zu sprechen und einfach mit der ersten Box anfangen!

Damit die Wartezeit bis zum nächsten Teil der Reihe nicht so lange wird, gibt es hier Informationen zu den IT-Security Dienstleistungen der codecentric.