„uebung3/logbuch_a2.md“ ändern
parent
f7284bc359
commit
4390c28b50
|
@ -7,6 +7,7 @@ ___
|
||||||
**[15.04.2023 20:18:53 UTC+2]**: Die Datei wird mit 7-Zip [64] 16.02 entpackt.
|
**[15.04.2023 20:18:53 UTC+2]**: Die Datei wird mit 7-Zip [64] 16.02 entpackt.
|
||||||
>$ 7z e image3.zip
|
>$ 7z e image3.zip
|
||||||
Folgender Output wird dabei erzeugt:
|
Folgender Output wird dabei erzeugt:
|
||||||
|
```
|
||||||
7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
|
7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
|
||||||
p7zip Version 16.02 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,64 bits,3 CPUs Intel(R) Core(TM) i5-8265U CPU @ 1.60GHz (806EC),ASM)
|
p7zip Version 16.02 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,64 bits,3 CPUs Intel(R) Core(TM) i5-8265U CPU @ 1.60GHz (806EC),ASM)
|
||||||
|
|
||||||
|
@ -27,10 +28,11 @@ Physical Size = 5021389400
|
||||||
|
|
||||||
Archives with Errors: 1
|
Archives with Errors: 1
|
||||||
Open Errors: 1
|
Open Errors: 1
|
||||||
|
```
|
||||||
**[15.04.2023 20:29:42 UTC+2]**: Mit fdisk -l wird nun die Partitionstabelle aufgerufen:
|
**[15.04.2023 20:29:42 UTC+2]**: Mit fdisk -l wird nun die Partitionstabelle aufgerufen:
|
||||||
>$ sudo fdisk -l image.img
|
>$ sudo fdisk -l image.img
|
||||||
Der Command generiert folgenden Output:
|
Der Command generiert folgenden Output:
|
||||||
|
```
|
||||||
Disk image.img: 20 GiB, 21474836480 bytes, 41943040 sectors
|
Disk image.img: 20 GiB, 21474836480 bytes, 41943040 sectors
|
||||||
Units: sectors of 1 * 512 = 512 bytes
|
Units: sectors of 1 * 512 = 512 bytes
|
||||||
Sector size (logical/physical): 512 bytes / 512 bytes
|
Sector size (logical/physical): 512 bytes / 512 bytes
|
||||||
|
@ -42,12 +44,13 @@ Device Start End Sectors Size Type
|
||||||
image.img1 2048 4095 2048 1M BIOS boot
|
image.img1 2048 4095 2048 1M BIOS boot
|
||||||
image.img2 4096 1054719 1050624 513M EFI System
|
image.img2 4096 1054719 1050624 513M EFI System
|
||||||
image.img3 1054720 41940991 40886272 19.5G Linux filesystem
|
image.img3 1054720 41940991 40886272 19.5G Linux filesystem
|
||||||
|
```
|
||||||
|
|
||||||
|
|
||||||
**[15.04.2023 20:34:02 UTC+2]**: Es wird die Partitionstabelle mit mmls über The Sleuth Kit Version 4.11.1 aufgerufen:
|
**[15.04.2023 20:34:02 UTC+2]**: Es wird die Partitionstabelle mit mmls über The Sleuth Kit Version 4.11.1 aufgerufen:
|
||||||
>$ mmls -B image.img
|
>$ mmls -B image.img
|
||||||
Dabei wird folgender Output generiert:
|
Dabei wird folgender Output generiert:
|
||||||
|
```
|
||||||
GUID Partition Table (EFI)
|
GUID Partition Table (EFI)
|
||||||
Offset Sector: 0
|
Offset Sector: 0
|
||||||
Units are in 512-byte sectors
|
Units are in 512-byte sectors
|
||||||
|
@ -61,15 +64,16 @@ Units are in 512-byte sectors
|
||||||
005: 001 0000004096 0001054719 0001050624 0513M EFI System Partition
|
005: 001 0000004096 0001054719 0001050624 0513M EFI System Partition
|
||||||
006: 002 0001054720 0041940991 0040886272 0019G
|
006: 002 0001054720 0041940991 0040886272 0019G
|
||||||
007: ------- 0041940992 0041943039 0000002048 1024K Unallocated
|
007: ------- 0041940992 0041943039 0000002048 1024K Unallocated
|
||||||
|
```
|
||||||
**[01.05.2023 16:24:03 UTC+2]**: Es wird die größte Partition des Images image.img in die Datei image_dd gedumped. Um den Status-Fortschritt während des Dumpens anzeigen zu lassen, setzen wir den Status auf "progress". Damit der Dump während eines Fehlers nicht angehalten wird, wird conv auf sync,noerror gesetzt. Um nichts von der Ausgabe abzuschneiden, wird zusätzlich notrunc gesetzt. Zudem werden 512 große Byte-Blöcke gedumped, wobei die ersten 1054720 Blöcke geskippt werden, und mit count wird die Anzahl der zu dumpenden Blöcke festgelegt.:
|
**[01.05.2023 16:24:03 UTC+2]**: Es wird die größte Partition des Images image.img in die Datei image_dd gedumped. Um den Status-Fortschritt während des Dumpens anzeigen zu lassen, setzen wir den Status auf "progress". Damit der Dump während eines Fehlers nicht angehalten wird, wird conv auf sync,noerror gesetzt. Um nichts von der Ausgabe abzuschneiden, wird zusätzlich notrunc gesetzt. Zudem werden 512 große Byte-Blöcke gedumped, wobei die ersten 1054720 Blöcke geskippt werden, und mit count wird die Anzahl der zu dumpenden Blöcke festgelegt.:
|
||||||
>$ dd if=image.img of=image_dd status=progress conv=notrunc,sync,noerror bs=512 skip=1054720
|
>$ dd if=image.img of=image_dd status=progress conv=notrunc,sync,noerror bs=512 skip=1054720
|
||||||
Folgende Ausgabe wird dabei erzeugt:
|
Folgende Ausgabe wird dabei erzeugt:
|
||||||
20905252352 bytes (21 GB, 19 GiB) copied, 502 s, 41.6 MB/s
|
```
|
||||||
|
20905252352 bytes (21 GB, 19 GiB) copied, 502 s, 41.6 MB/s
|
||||||
40886272+0 records in
|
40886272+0 records in
|
||||||
40886272+0 records out
|
40886272+0 records out
|
||||||
20933771264 bytes (21 GB, 19 GiB) copied, 502.408 s, 41.7 MB/s
|
20933771264 bytes (21 GB, 19 GiB) copied, 502.408 s, 41.7 MB/s
|
||||||
|
```
|
||||||
**[01.05.2023 16:42:34 UTC+2]**: Die Image-Datei wird mit dem folgenden Command gemountet.
|
**[01.05.2023 16:42:34 UTC+2]**: Die Image-Datei wird mit dem folgenden Command gemountet.
|
||||||
>$ sudo mount -t auto image_dd ./mnt/U3-mnt
|
>$ sudo mount -t auto image_dd ./mnt/U3-mnt
|
||||||
|
|
||||||
|
@ -78,12 +82,14 @@ Folgende Ausgabe wird dabei erzeugt:
|
||||||
Anschließend wird mit folgendem Command der Inhalt des Ordners angezeigt:
|
Anschließend wird mit folgendem Command der Inhalt des Ordners angezeigt:
|
||||||
>$ ls
|
>$ ls
|
||||||
Folgende Ausgabe wird dabei erzeugt:
|
Folgende Ausgabe wird dabei erzeugt:
|
||||||
bin boot cdrom dev etc home lib lib32 lib64 libx32 lost+found media mnt opt proc root run sbin snap srv swapfile sys tmp usr var
|
```
|
||||||
|
bin boot cdrom dev etc home lib lib32 lib64 libx32 lost+found media mnt opt proc root run sbin snap srv swapfile sys tmp usr var
|
||||||
|
```
|
||||||
**[01.05.2023 16:58:36 UTC+2]**: Um an eine Liste aller Login-Daten (und somit aller Benutzer) zu bekommen, muss zunächst mit folgendem Command die etc/passwd-Datei untersucht werden:
|
**[01.05.2023 16:58:36 UTC+2]**: Um an eine Liste aller Login-Daten (und somit aller Benutzer) zu bekommen, muss zunächst mit folgendem Command die etc/passwd-Datei untersucht werden:
|
||||||
>$ sudo cat passwd
|
>$ sudo cat passwd
|
||||||
Dabei werden die folgenden Login-Daten ausgegeben:
|
Dabei werden die folgenden Login-Daten ausgegeben:
|
||||||
root:x:0:0:root:/root:/bin/bash
|
```
|
||||||
|
root:x:0:0:root:/root:/bin/bash
|
||||||
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
|
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
|
||||||
bin:x:2:2:bin:/bin:/usr/sbin/nologin
|
bin:x:2:2:bin:/bin:/usr/sbin/nologin
|
||||||
sys:x:3:3:sys:/dev:/usr/sbin/nologin
|
sys:x:3:3:sys:/dev:/usr/sbin/nologin
|
||||||
|
@ -130,13 +136,14 @@ hplip:x:125:7:HPLIP system user,,,:/run/hplip:/bin/false
|
||||||
gdm:x:126:132:Gnome Display Manager:/var/lib/gdm3:/bin/false
|
gdm:x:126:132:Gnome Display Manager:/var/lib/gdm3:/bin/false
|
||||||
dif:x:1000:1000:DIF,,,:/home/dif:/bin/bash
|
dif:x:1000:1000:DIF,,,:/home/dif:/bin/bash
|
||||||
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
|
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
|
||||||
|
```
|
||||||
Jede Zeile steht für einen Login-Datensatz. Der erste Eintrag einer Zeile entspricht dem Benutzer, der zweite Eintrag gibt an, ob ein verschlüsseltes Passwort in der etc/shadow Datei vorliegt (x -> Passwort liegt vor).
|
Jede Zeile steht für einen Login-Datensatz. Der erste Eintrag einer Zeile entspricht dem Benutzer, der zweite Eintrag gibt an, ob ein verschlüsseltes Passwort in der etc/shadow Datei vorliegt (x -> Passwort liegt vor).
|
||||||
|
|
||||||
**[01.05.2023 17:05:46 UTC+2]**: Es wird nun auch die etc/shadow Datei mit folgendem Command untersucht:
|
**[01.05.2023 17:05:46 UTC+2]**: Es wird nun auch die etc/shadow Datei mit folgendem Command untersucht:
|
||||||
>$ sudo cat shadow
|
>$ sudo cat shadow
|
||||||
Dabei entsteht folgende Ausgabe:
|
Dabei entsteht folgende Ausgabe:
|
||||||
root:!:19105:0:99999:7:::
|
```
|
||||||
|
root:!:19105:0:99999:7:::
|
||||||
daemon:*:18912:0:99999:7:::
|
daemon:*:18912:0:99999:7:::
|
||||||
bin:*:18912:0:99999:7:::
|
bin:*:18912:0:99999:7:::
|
||||||
sys:*:18912:0:99999:7:::
|
sys:*:18912:0:99999:7:::
|
||||||
|
@ -183,7 +190,7 @@ hplip:*:18912:0:99999:7:::
|
||||||
gdm:*:18912:0:99999:7:::
|
gdm:*:18912:0:99999:7:::
|
||||||
dif:$1$Al1JOy/e$nSQ5CgVYrz2WTfoeXQwH11:19105:0:99999:7:::
|
dif:$1$Al1JOy/e$nSQ5CgVYrz2WTfoeXQwH11:19105:0:99999:7:::
|
||||||
systemd-coredump:!*:19105::::::
|
systemd-coredump:!*:19105::::::
|
||||||
|
```
|
||||||
Jede Zeile entspricht einem Login-Datensatz. Der erste Eintrag in der Zeile entspricht dem Benutzer und der zweite dem verschlüsselten Passwort. Da nur der Benutzer dif ein verschlüsseltes Passwort hat (* und ! bedeuten, dass die Authentifizierung über einen anderen Weg als über ein Passwort erfolgt. Meistens handelt es sich dabei um Systemprozesse etc), lässt sich daraus erschließen, dass “dif” der Benutzer des Systems ist.
|
Jede Zeile entspricht einem Login-Datensatz. Der erste Eintrag in der Zeile entspricht dem Benutzer und der zweite dem verschlüsselten Passwort. Da nur der Benutzer dif ein verschlüsseltes Passwort hat (* und ! bedeuten, dass die Authentifizierung über einen anderen Weg als über ein Passwort erfolgt. Meistens handelt es sich dabei um Systemprozesse etc), lässt sich daraus erschließen, dass “dif” der Benutzer des Systems ist.
|
||||||
|
|
||||||
**[01.05.2023 17:17:14 UTC+2]**: Um den vorangegangenen Verdacht zu bestätigen, wird das Filesystem nach dem entsprechenden Homeverzeichnis untersucht. Dafür muss zunächst in das mnt/U3-mnt/home Verzeichnis gewechselt werden mit folgendem Command:
|
**[01.05.2023 17:17:14 UTC+2]**: Um den vorangegangenen Verdacht zu bestätigen, wird das Filesystem nach dem entsprechenden Homeverzeichnis untersucht. Dafür muss zunächst in das mnt/U3-mnt/home Verzeichnis gewechselt werden mit folgendem Command:
|
||||||
|
@ -191,7 +198,7 @@ Jede Zeile entspricht einem Login-Datensatz. Der erste Eintrag in der Zeile ents
|
||||||
Anschließend wird der Inhalt des Verzeichnis mit folgendem Command geprüft:
|
Anschließend wird der Inhalt des Verzeichnis mit folgendem Command geprüft:
|
||||||
>$ ls
|
>$ ls
|
||||||
Folgende Ausgabe wird dabei erzeugt:
|
Folgende Ausgabe wird dabei erzeugt:
|
||||||
dif
|
```dif```
|
||||||
Somit ist bestätigt, dass es sich bei dem Nutzer um den Benutzer “dif” handeln muss.
|
Somit ist bestätigt, dass es sich bei dem Nutzer um den Benutzer “dif” handeln muss.
|
||||||
|
|
||||||
**[01.05.2023 17:20:08 UTC+2]**: Es wird zurück auf den Desktop navigiert mit folgendem Command:
|
**[01.05.2023 17:20:08 UTC+2]**: Es wird zurück auf den Desktop navigiert mit folgendem Command:
|
||||||
|
@ -199,10 +206,10 @@ Somit ist bestätigt, dass es sich bei dem Nutzer um den Benutzer “dif” hand
|
||||||
|
|
||||||
**[07.05.2023 13:07:28 UTC+2]**: Eine Liste mit möglichen Passwörtern (Aufbau: \d\d[a-z]+\d\d , Zahlen von 0-4, Kleinbuchstaben d-i, Länge: 7 Zeichen) wird mit crunch erzeugt:
|
**[07.05.2023 13:07:28 UTC+2]**: Eine Liste mit möglichen Passwörtern (Aufbau: \d\d[a-z]+\d\d , Zahlen von 0-4, Kleinbuchstaben d-i, Länge: 7 Zeichen) wird mit crunch erzeugt:
|
||||||
|
|
||||||
crunch 7 7 defghi + 01234 -t %%@@@%% -o passwortliste.txt
|
>$ crunch 7 7 defghi + 01234 -t %%@@@%% -o passwortliste.txt
|
||||||
|
|
||||||
Dabei wird folgender Output generiert:
|
Dabei wird folgender Output generiert:
|
||||||
|
```
|
||||||
Crunch will now generate the following amount of data: 1080000 bytes
|
Crunch will now generate the following amount of data: 1080000 bytes
|
||||||
1 MB
|
1 MB
|
||||||
0 GB
|
0 GB
|
||||||
|
@ -211,13 +218,14 @@ Crunch will now generate the following amount of data: 1080000 bytes
|
||||||
Crunch will now generate the following number of lines: 135000
|
Crunch will now generate the following number of lines: 135000
|
||||||
|
|
||||||
crunch: 100% completed generating output
|
crunch: 100% completed generating output
|
||||||
|
```
|
||||||
**[07.05.2023 13:08:32 UTC+2]**: Das Passwort wird mit Hilfe des Tools John the Ripper (Version 1.9.) und der vorher erzeugten Wortliste geknackt:
|
**[07.05.2023 13:08:32 UTC+2]**: Das Passwort wird mit Hilfe des Tools John the Ripper (Version 1.9.) und der vorher erzeugten Wortliste geknackt:
|
||||||
|
|
||||||
>$ sudo john combined_file --wordlist=passwortliste.txt
|
>$ sudo john combined_file --wordlist=passwortliste.txt
|
||||||
|
|
||||||
Dabei wird folgender Output generiert:
|
Dabei wird folgender Output generiert:
|
||||||
|
|
||||||
|
```
|
||||||
Warning: detected hash type "md5crypt", but the string is also recognized as "md5crypt-long"
|
Warning: detected hash type "md5crypt", but the string is also recognized as "md5crypt-long"
|
||||||
Use the "--format=md5crypt-long" option to force loading these as that type instead
|
Use the "--format=md5crypt-long" option to force loading these as that type instead
|
||||||
Using default input encoding: UTF-8
|
Using default input encoding: UTF-8
|
||||||
|
@ -228,7 +236,7 @@ Press 'q' or Ctrl-C to abort, almost any other key for status
|
||||||
1g 0:00:00:01 DONE (2023-05-07 07:08) 0.5434g/s 35686p/s 35686c/s 35686C/s 22dhh40..22dih23
|
1g 0:00:00:01 DONE (2023-05-07 07:08) 0.5434g/s 35686p/s 35686c/s 35686C/s 22dhh40..22dih23
|
||||||
Use the "--show" option to display all of the cracked passwords reliably
|
Use the "--show" option to display all of the cracked passwords reliably
|
||||||
Session completed.
|
Session completed.
|
||||||
|
```
|
||||||
Aus dem Output lässt sich ablesen, dass das Passwort des Nutzers dif “22dif04” ist und die Ermittlung des Passworts eine Sekunde gedauert hat.
|
Aus dem Output lässt sich ablesen, dass das Passwort des Nutzers dif “22dif04” ist und die Ermittlung des Passworts eine Sekunde gedauert hat.
|
||||||
|
|
||||||
**[07.05.2023 13:17:13 UTC+2]**: Nachdem wir in den Ordner des Benutzers im gemounteten Image gewechselt sind (>$ cd ./mnt/U3-mnt/home/dif), haben wir dort alle Dateien, Ordner sowie Unterordner anzeigen lassen:
|
**[07.05.2023 13:17:13 UTC+2]**: Nachdem wir in den Ordner des Benutzers im gemounteten Image gewechselt sind (>$ cd ./mnt/U3-mnt/home/dif), haben wir dort alle Dateien, Ordner sowie Unterordner anzeigen lassen:
|
||||||
|
@ -236,7 +244,7 @@ Aus dem Output lässt sich ablesen, dass das Passwort des Nutzers dif “22dif04
|
||||||
>$ ls -R
|
>$ ls -R
|
||||||
|
|
||||||
Dabei wird folgender Output generiert:
|
Dabei wird folgender Output generiert:
|
||||||
|
```
|
||||||
Desktop Documents Downloads Music Pictures Public snap Templates Videos
|
Desktop Documents Downloads Music Pictures Public snap Templates Videos
|
||||||
|
|
||||||
./Desktop:
|
./Desktop:
|
||||||
|
@ -269,7 +277,7 @@ firefox
|
||||||
./Templates:
|
./Templates:
|
||||||
|
|
||||||
./Videos:
|
./Videos:
|
||||||
|
```
|
||||||
Anhand der Ausgabe können wir erkennen, dass der Nutzer dif den Browser Firefox heruntergeladen hat und die beiden Bilder im Pictures-Verzeichnis angelegt hat. Die beiden Bilder haben die Dateientypen png und webp, wie wir an der Ausgabe erkennen können. Die Bilder zeigen den afrikanischen Vogel Schuhschnabel.
|
Anhand der Ausgabe können wir erkennen, dass der Nutzer dif den Browser Firefox heruntergeladen hat und die beiden Bilder im Pictures-Verzeichnis angelegt hat. Die beiden Bilder haben die Dateientypen png und webp, wie wir an der Ausgabe erkennen können. Die Bilder zeigen den afrikanischen Vogel Schuhschnabel.
|
||||||
|
|
||||||
|
|
||||||
|
|
Loading…
Reference in New Issue