Mein Weg zur IT Sicherheit
Weiter geht es mit Principles of Security, ob es auch eine Wiederholung wird? (Ja, ziemlich sicher!)
Task 1 Introduction
Wie immer, eine kurze Einleitung ohne Fragen.
Task 2 The CIA Triad
Frage 1:
What element of the CIA triad ensures that data cannot be altered by unauthorised people?
Antwort 1:
Integrity
Nachdem wir den CompTIA Pentest+ Pfad abgeschlossen haben, habe ich mich entschlossen mit dem Jr Penetration Tester Pfad weiterzumachen. In diesem Pfad haben wir bereits (druch die anderen Pfade und Räume) 39% abgeschlossen und machen damit auch gleich den Web Fundamentals Pfad fertig. Starten wir also mit Pentesting Fundamentals!
Task 1 What is Penetration Testing?
Eine kurze Einleitung zu Penetration Tests und keine Fragen.
Task 2 Penetration Testing Ethics
Frage 1:
You are given permission to perform a security audit on an organisation; what type of hacker would you be?
Antwort 1:
White Hat
Python ist eine sehr wichtige und vielseitige Programmiersprache, die auch sehr anfängerfreundlich ist. Nachdem wir die Python Basics bereits kennengelernt haben, bekommen wir hier Wissen für Penetration-Tester vermittelt.
Was genau, erfahren wir in der Einleitung:
Throughout this room, you will see how to:
Der letzte Raum im CompTIA Pentest+ Path, die Grundlagen der Post-Exploitation!
Task 1 Introduction
Nur ein kleiner Überblick und keine Aufgaben.
Task 2 Enumeration w/ Powerview
Wir folgen der Anleitung und lernen die ersten Schritte mit PowerView. Im Cheatsheet suchen wir nun nach Lösungen für die Fragen.
Frage 1:
What is the shared folder that is not set by default?
Mit Get-NetShare werden uns die Shared Folder angezeigt (hier muss ich sagen, dass das Cheatsheet ziemlich nutzlos war und ich einfach etwas herumprobiert habe):
Ursprünglich der letzte Raum im CompTIA Pentest+ Pfad, seit kurzem der Vorletzte. Lernen wir die Grundfunktionen von Kerberos kennen und wie wir diese ausnutzen können.
Task 1 Introduction
Alle Fragen können mit dem Erklärungstext beantwortet werden.
Frage 1:
What does TGT stand for?
Antwort 1:
Ticket Granting Ticket
Frage 2:
What does SPN stand for?
Antwort 2:
Service Principal Name
Frage 3:
What does PAC stand for?
Antwort 3:
Privilege Attribute Certificate
Frage 4:
What two services make up the KDC?
Antwort 4:
AS, TGS
Weiter geht es mit dem Attacktive Directory Raum, um ein paar Windows Schwachstellen zu nutzen.
Task 1 Intro Deploy The Machine
Im ersten Task gibt es nur eine Anleitung und keine Fragen für uns.
Task 2 Intro Setup
Hier werden wir aufgefordert ein paar neue Programme zu installieren. Den Anfang macht Impacket. Solltet ihr nicht als root eingeloggt sein, müsst ihr sudo nutzen:
Ein anfängerfreundliches CTF. Ja, heute mal abseits der Lernpfade 🙂
Task 1 Deploy the machine
Keine Fragen in diesem Task, nur die Machine starten! 🙂
Task 2 Reconnaissance
Frage 1:
Scan the machine, how many ports are open?
Um die Machine zu scannen benutzen wir nmap:
└─$ nmap DIE_MACHINE_IP
Starting Nmap 7.92 ( https://nmap.org ) at 2022-07-27 19:09 CEST
Nmap scan report for DIE_MACHINE_IP
Host is up (0.061s latency).
Not shown: 998 closed tcp ports (conn-refused)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 2.32 seconds
Nachdem wir erfolgreich den Complete Beginner Path abgeschlossen haben, ist es nun Zeit den nächsten Pfad zu beschreiten. Ich habe mich als nächstes für den CompTIA Pentest+ Path entschieden. Nach Komplettierung bekommt man 10% Rabatt auf den Pentest+ Test und wir haben schon. im Laufe unseres TryHackMe Abenteuers, 87% des Pfades abgeschlossen! Starten wir also mit dem ersten (nicht-abgeschlossenen) Raum – Hydra.
Hydra ist ein bruteforce Tool, das verschiendenste Webdienste mit Abfragen flutet, um so die Benutzername- und Passwort-Kombination zu erlangen. Dazu benutzt Hydra, ähnlich wie John the Ripper, Passwortlisten. Mehr Informationen zu Hydra findet man hier.
Task 1 Hydra Introduction
Task 1 enthält nur grundlegende Informationen zu Hydra und keine Fragen.
Der letzte Raum des Complete Beginner Paths und die letzte Hürde von unserem Zertifikat – Steel Mountain.
Irgendwann muss ich auch mal mit Mr. Robot anfangen!
Task 1 Introduction
Frage 1:
Who is the employee of the month?
Wir öffnen die IP unserer Machine im Browser und werden von dem Firmenlogo und einem lächendeln (?) Mann begrüßt.
„Skill is the child of patience.“
Obi-Wan Kenobi in Star Wars: Obi-Wan & Anakin (Charles Soule)
Dieses Zitat beschreibt unseren Weg sehr gut. Nur wer geduldig ist und viel lernt wird mit Wissen und Können belohnt.
In diesem Raum geht es um einen Samba-Share und die Manipulation einer verwundbaren Version von proftpd, um root zu erhalten.
Task 1 Deploy the vulnerable machine
Frage 1:
Make sure you’re connected to our network and deploy the machine
Antwort 1:
Keine Antwort benötigt.
© 2025 René und IT-Sec
Theme von Anders Norén — Hoch ↑