ENG

Service and Version Identification

PORT      STATE SERVICE VERSION
22/tcp    open  ssh     OpenSSH 8.4p1 Debian 5+deb11u3 (protocol 2.0)
10000/tcp open  http    MiniServ 1.890 (Webmin httpd)

22/tcp — OpenSSH: In this output, this is an "expected" service and does not appear anomalous at first glance. 10000/tcp — MiniServ / Webmin 1.890: This is the part that actually stands out. Webmin being exposed on port 10000 is typical; however, version 1.890 aligns with the same context as a widely discussed critical vulnerability in the past.

At this point, the first thing that comes to mind is: CVE-2019–15107 — Webmin Remote Code Execution (RCE)

What Is CVE-2019–15107, and Does It Fit This Situation? Many people reflexively jump straight into automation tools (e.g., searching within a framework). The more correct approach is to first ask a simpler question:

"Does this vulnerability actually match the version/configuration I'm seeing?"

Core Characteristics of the Vulnerability

• Vulnerability type: Remote Code Execution (RCE)
• Severity: 10.0 (Critical)
• Impact: Under the right conditions, an attacker can reach a point where they can execute commands on the system without authentication.

What makes this vulnerability "interesting" is that it was discussed not as a classic coding mistake, but in the context of suspicion around malicious behavior that had been introduced into the source code for a period of time (a backdoor).

• Password change module (e.g., password_change.cgi)
• Possibility of command injection via parameter manipulation (through special characters)
• The vulnerability may depend not only on "version match," but also on configuration details such as whether the relevant feature is enabled / whether the module is active.

Affected Versions

Across common sources, this vulnerability is typically described as affecting the following range: Webmin 1.890–1.920

Each of the following questions is not something you answer with "a single command"; they test the discipline of finding the right trace in the right place.

Question 1) What are the attacker's GitHub account email address and password?

A notable clue in the scenario: the presence of a .git directory under root.

Example artifact:

root@debian:~# cd .git
root@debian:~/.git# ls -la
total 12
drwxr-xr-x 2 root root 4096 Jul 16  2024 .
drwx------ 8 root root 4096 Feb 10 06:56 ..
-rw-r--r-- 1 root root  904 Jul 16  2024 help.txt

Analysis idea: If .git exists in an unexpected place, it may contain traces of "commit metadata / remote URL / credentials." Files like help.txt, for example… :)

Question 2) What is the MD5 hash of the attacker's malware?

Clue: there is a phishing_malware.zip under /root, but it is password-protected.

Analysis idea: If a file is encrypted, then in lab scenarios it usually means either:

• the password is stored somewhere else (in a log/note), or
• a password-cracking process is intended as part of the learning objective.

After it is decrypted, the hash of the file inside is taken (e.g., md5sum <filename>). That hash is used as an IOC (Indicator of Compromise) in incident response.

Question 3) What domain did the attacker scan using an SQL Injection scanning tool?

/root@debian:~/.local/share/sqlmap/output/albireobank.hv# cat target.txt
https://albireobank.hv/home/transactions?id=SP4SY8AL5KCLUNaEM9NJMexy (GET)

Inference:

• Domain: albireobank.hv
• Additionally, the targeted endpoint and parameter structure are visible.

Question 4) What is the victim's email address found in the "Stealer Log" data on the server?

Clue directory:

/home/void/Downloads/best-log# cat Password.txt

Analysis idea: Stealer log structures often come with filenames like Password.txt, All Passwords.txt, Logins.txt, etc. You typically search within the contents for email-like patterns (IOCs).

What matters in this question is:

• locating the file that actually contains data, and
• extracting the victim's email address from it.

Question 5) Which IP address did the attacker perform port and service scanning against?

Clue: scan_results.xml (Nmap XML output)

-rw-r--r--  1 root root 6729 Jul 16  2024 scan_results.xml
root@debian:/nmap# cat scan_results.xml

Analysis idea: In Nmap XML output, the target IP appears under fields like <host> and <address addr="...">. This file tells you "who else" the attacker scanned.

TR

1) Servis ve Versiyon Tespiti

PORT      STATE SERVICE VERSION
22/tcp    open  ssh     OpenSSH 8.4p1 Debian 5+deb11u3 (protocol 2.0)
10000/tcp open  http    MiniServ 1.890 (Webmin httpd)

• 22/tcp — OpenSSH: Bu çıktı özelinde "beklenen" bir servis ve ilk bakışta anomali vermiyor.
• 10000/tcp — MiniServ / Webmin 1.890: Asıl dikkat çeken kısım burası. Webmin'in 10000 portu üzerinden yayın yapması tipik; ancak 1.890 sürümü özellikle geçmişte çok konuşulan bir kritik zafiyetle aynı bağlama denk geliyor.

Bu noktada akla gelen ilk şey şu: CVE-2019–15107 — Webmin Remote Code Execution (RCE)

2) CVE-2019–15107 Nedir ve Bu Duruma Uyuyor mu?

Birçok kişi refleks olarak doğrudan otomasyon araçlarına (ör. framework içi arama) atlar. Daha doğru yaklaşım ise önce şu soruyu sormaktır:

"Bu zafiyet, benim gördüğüm sürüm/konfigürasyon ile gerçekten eşleşiyor mu?"

Açığın Temel Özellikleri

• Zafiyet türü: Uzaktan Kod Çalıştırma (RCE)
• Kritiklik: 10.0 (Kritik)
• Etkisi: Uygun koşullarda saldırganın kimlik doğrulama olmadan sisteme komut çalıştırabilecek seviyeye gelmesi

Bu zafiyeti "ilginç" yapan şey klasik bir coding bug olmaktan çok, bir süre kaynak koda eklenmiş kötü niyetli bir davranış (backdoor) şüphesiyle anılmasıdır.

• Parola değiştirme modülü (ör. password_change.cgi)
• Parametre manipülasyonu ile komut enjeksiyonu ihtimali (özel karakterler üzerinden) Zafiyet sadece "sürüm eşleşmesi" değil, özellik açık mı / ilgili modül aktif mi gibi konfigürasyon detaylarına da bağlı olabilir.

Etkilenen Sürümler

Genel kaynaklarda bu açıklığın özellikle şu aralıkta geçtiği belirtilir:

• Webmin 1.890–1.920

Aşağıdaki soruların her biri "tek bir komutla cevap" değil; doğru dizinde doğru izi bulma disiplinini test ediyor.

Soru 1) Saldırganın GitHub hesabına ait e-posta adresi ve parola nedir?

Senaryoda dikkat çeken ipucu: root altında .git dizini bulunması.

Örnek artifact:

root@debian:~# cd .git
root@debian:~/.git# ls -la
total 12
drwxr-xr-x 2 root root 4096 Jul 16  2024 .
drwx------ 8 root root 4096 Feb 10 06:56 ..
-rw-r--r-- 1 root root  904 Jul 16  2024 help.txt

Analiz fikri:

• .git beklenmeyen yerdeyse, burada "commit metadata / remote url / credential" izi olabilir.
• help.txt gibi dosyalar mesela.. :)

Soru 2) Saldırganın kullandığı zararlı yazılımın MD5 hash değeri nedir?

İpucu: /root altında phishing_malware.zip var ama şifreli.

Analiz fikri:

• Dosya şifreliyse, lab senaryosunda genelde ya:
• şifre başka bir log/nota içinde saklıdır
• ya da parola kırma süreci öğretilmek isteniyordur
• "Şifre çözüldükten sonra" içindeki dosyanın hash'i alınır. (md5sum dosya ismi)
• Hash, IOC (Indicator of Compromise) olarak olay müdahalede kullanılır.

Soru 3) Saldırganın SQL Injection tarama aracı ile taradığı alan adı nedir?

/root@debian:~/.local/share/sqlmap/output/albireobank.hv# cat target.txt
https://albireobank.hv/home/transactions?id=SP4SY8AL5KCLUNaEM9NJMexy (GET)

Çıkarım:

• Domain: albireobank.hv
• Ayrıca hedeflenen endpoint ve parametre yapısı da görünüyor.

Soru 4) Sunucuda bulunan "Stealer Log" verisinde yer alan kurbanın e-posta adresi nedir?

İpucu dizin:

/home/void/Downloads/best-log# cat Password.txt

Analiz fikri:

• Stealer log yapıları genellikle Password.txt, All Passwords.txt, Logins.txt gibi isimlerle gelir.
• İçerikte e-posta formatları aranır (IOC).

Bu soruda kritik olan:

• Veri barındıran dosyayı bulmak
• İçinden kurban e-postasını ayrıştırmak

Soru 5) Saldırgan hangi IP adresine port ve servis taraması yapmıştır?

İpucu:

• scan_results.xml (Nmap XML çıktısı)

-rw-r--r--  1 root root 6729 Jul 16  2024 scan_results.xml
root@debian:/nmap# cat scan_results.xml

Analiz fikri:

• Nmap XML çıktısında <host>, <address addr="..."> alanları hedef IP'yi verir.
• Bu dosya bize saldırganın "başka kimi taradığını" söyler.