Vor ein paar Monaten habe ich mit dem TryHackMe Kurs angefangen, um meine Fähigkeiten zu entwickeln und zu verbessern. Ich werde nach und nach alle Learning Paths hier dokumentieren und somit ein Nachschlagewerk erstellen.
Hierbei werde ich bewusst nicht die kompletten Aufgaben und Räume copy + pasten, sondern auf die Fragen und deren Lösung (inklusive Lösungsweg) eingehen.
Fangen wir an mit dem ersten Kurs:
Introduction to Cyber Security
und dessen ersten Raum:
Task 1: Hacking your first machine
Zuerst klicken wir auf den „Start Machine“ Knopf, um die zugehörige Maschine zu starten. Es öffnet sich eine virtuelle Maschine im Browser und mit dieser gehen wir unsere ersten Schritte. In diesem Raum ist alles noch sehr geradlinig und man muss nur den Anweisungen im Raum folgen.
In der virtuellen Maschine öffnen wir nun einen Terminal (mittlerer Knopf an der rechten Leiste mit diesem Symbol >_). Ein Terminal ist eine Eingabeaufforderung, um beispielsweise Programme zu starten oder Code auszuführen.
Im Terminal geben wir folgenden Befehl ein:
gobuster -u http://fakebank.com -w wordlist.txt dirNun erhalten wir folgende Ausgabe:
ubuntu@tryhackme:~/Desktop$ gobuster -u http://fakebank.com -w wordlist.txt dir
=====================================================
Gobuster v2.0.1 OJ Reeves (@TheColonial)
=====================================================
[+] Mode : dir
[+] Url/Domain : http://fakebank.com/
[+] Threads : 10
[+] Wordlist : wordlist.txt
[+] Status codes : 200,204,301,302,307,403
[+] Timeout : 10s
=====================================================
2022/06/22 18:12:02 Starting gobuster
=====================================================
/images (Status: 301)
/bank-transfer (Status: 200)
=====================================================
2022/06/22 18:12:11 Finished
=====================================================
ubuntu@tryhackme:~/Desktop$
Status: 200 zeigt uns ein verstecktes Verzeichnis der Website an. Hierzu öffnen wir im Browser (der virtuellen Maschine) nun folgenden Link: http://fakebank.com/bank-transfer
Das bringt uns zur versteckten Seite und hier können wir Gelder der Bank verschieben. HIer folgen wir wieder der Anleitung:
Send from
2276
Send to
8881
Amount to send in USD
2000
Anschließend klicken wir auf „Send Money“ und gehen zurück auf http://fakebank.com/
Dort erwartet uns auch schon die Flagge mit der Antwort für die erste Frage!
Frage 1:
When you’ve transferred money to your account, go back to your bank account page. What is the answer shown on your bank balance page?
Antwort 1:
BANK-HACKED
Frage 2:
If you were a penetration tester or security consultant, this is an exercise you’d perform for companies to test for vulnerabilities in their web applications; find hidden pages to investigate for vulnerabilities.
Antwort 2:
Keine Antwort benötigt.
Frage 3:
Terminate the machine by clicking the red „Terminate“ button at the top of the page.
Antwort 3:
Keine Antwort benötigt.
Ab in den zweiten Raum:
Task 2: What is Offensive Security?
Frage 1:
Read the above.
Antwort 1:
Keine Antwort benötigt.
Task 3 Careers in cyber security
Frage 1:
Read the above, and continue with the next room!
Antwort 1:
Keine Antwort benötigt.