| FOTO | AUTO | EDV | AUDIO |

Exploit-Dokumentation – Phase 4

Script: build_phase4.py
Pfad: /home/andre/Claude/Hacking/bgv_de/phase4_exploitation/
Phase: 4 – Exploit-Dokumentation (kein Ausführen, ISB-autorisiert)

Überblick

Phase 4 dokumentiert die in Phase 3 bestätigten Verwundbarkeiten als vollständige Exploit-Referenz – für den Pentest-Report, die ISB-Dokumentation und das SOC.

Was Phase 4 NICHT tut:

  • Keinen Exploit ausführen
  • Keine Authentifizierung versuchen
  • Keinen Schaden am Zielsystem verursachen

Was Phase 4 tut:

  • Metasploit-Konfigurationen dokumentieren (use, set, check – nicht run)
  • Manuelle Exploit-Schritte beschreiben
  • MITRE ATT&CK TTPs zuordnen
  • Realistische Angriffsketten modellieren
  • Patch-Empfehlungen und Sofortmaßnahmen formulieren
  • IoCs (Indicators of Compromise) auflisten

Scope und Freigabe

ISB-Freigabe erforderlich. Phase 4 wird nur im Rahmen eines autorisierten Penetrationstests durchgeführt. Die Exploit-Dokumentation dient ausschließlich der internen Risikoanalyse und dem Patch-Management.

build_phase4.py enthält im System-Prompt explizit: 

Scope: ISB-autorisierter Pentest bei BGV – Badische Versicherungen.
Erstelle ausschließlich Dokumentation. Kein funktionsfähiger Exploit-Code.
Kein Code der direkt ausgeführt werden kann. Nur: MSF-Konfiguration,
manuelle Schritte als Beschreibung, MITRE TTPs, IoCs, Patch-Empfehlungen.

Verwendung

Voraussetzungen

  • Phase 3 muss abgeschlossen sein (vuln_check.json mit CONFIRMED/LIKELY-Findings)
  • Symlink oder direkter Pfad zur Phase-3-JSON

Aufruf

cd /home/andre/Claude/Hacking/bgv_de/phase4_exploitation
 
python3 build_phase4.py \
    --phase3 phase3_results.json

phase3_results.json ist ein Symlink auf: 

/home/andre/Claude/Hacking/bgv_de/phase3_vuln_check/reports/<domain>_<ts>/vuln_check.json

Parameter

Parameter Beschreibung
--phase3 FILE Phase-3-JSON mit CONFIRMED/LIKELY-Findings
--output-dir DIR Report-Verzeichnis (Standard: reports/<domain>_<ts>/)
--only-confirmed Nur CONFIRMED-Findings dokumentieren (LIKELY überspringen)

Was wird generiert?

Pro CVE: Einzeldokumentation

Claude erstellt für jedes Finding eine Markdown-Datei (exploits/<CVE>_<host>.md) mit:

Abschnitt Inhalt
Kurzprofil CVE, CVSS-Score, Beschreibung, betroffene Versionen
Metasploit-Konfiguration Modul-Pfad, alle set-Optionen, check-Befehl
Manuelle Vorgehensweise Schritt-für-Schritt-Beschreibung (kein ausführbarer Code)
Post-Exploitation Mögliche nächste Schritte nach erfolgreichem Exploit
MITRE ATT&CK Taktik + Technik-IDs (z.B. T1190 – Exploit Public-Facing Application)
IoCs Netzwerk-Signaturen, User-Agents, typische Anfragen
Patch & Workaround Vendor-Advisory, Patch-Version, temporäre Mitigations

Angriffsketten-Report

Claude analysiert alle Findings zusammen und erstellt einen deutschen Pentest-Report:

  • Einstiegspunkte mit höchster Priorität
  • Realistische Angriffskette: Initial Access → Lateral Movement → Zieldaten
  • Worst-Case-Szenario (Domain Compromise, Datenabruf)
  • Risikobewertung gesamt (Critical / High / Medium)
  • Priorisierte Handlungsempfehlungen

Output

Reports unter /reports/<domain>_<timestamp>/:

Datei Beschreibung
exploits/<CVE>_<host>.md Einzeldokumentation pro Finding
phase4_report.md Vollständiger Pentest-Report (Angriffsketten, Risiko)
phase4_exploits.json Maschinenlesbare Zusammenfassung aller Dokumentationen
maltego_phase4.csv Maltego-Import: CVE → MSF-Modul → TTP → Patch
phase4_exploit_report.pdf Druckfertiger Report, VERTRAULICH-Footer

Maltego-Entities

Entity-Typ Inhalt
maltego.Phrase CVE-Nodes (CVE-YYYY-NNNNN – Produktname)
maltego.Phrase Metasploit-Modul-Nodes (exploit/multi/…)
maltego.Phrase MITRE ATT&CK TTP-Nodes (T1190 – Exploit Public-Facing App)
maltego.Phrase Patch-Advisory-Nodes (PATCH: CTX-xxx – sofort einspielen)
maltego.DNSName Betroffene Hosts mit CVE-Referenz

Ergebnisse bgv.de (Beispiel)

Aus dem bgv.de-Scan (Phase 4, März 2026):

CVE-2023-3519 – Citrix NetScaler RCE (CVSS 9.8)
Attribut Wert
Hosts auth.bgv.de, citrix.bgv.de, icisplus-mobile.bgv.de, login.bgv.de, vpn.bgv.de
MSF-Modul exploit/multi/http/citrix_netscaler_rce_cve_2023_3519
MITRE T1190 (Initial Access), T1059 (Command Execution), T1021 (Lateral Movement)
Auswirkung Unauthentifizierte Remote Code Execution als root
Patch Citrix NetScaler ≥ 13.1-49.13 / 13.0-91.13 / 12.1-55.300
Angriffskette (modelliert)
Internet → CVE-2023-3519 auf auth.bgv.de (RCE, kein Auth)
        → Shell auf NetScaler-Appliance
        → Credential-Dump (Active Directory über LDAP-Connector)
        → Lateral Movement ins interne Netz
        → Zugriff auf Versicherungsdaten / kritische Systeme

Start aus Claude heraus

Phase 4 anstoßen

Führe Phase 4 (Exploit-Dokumentation) für die bgv.de Phase-3-Findings durch
und maile den Report und die Maltego-CSV an meine Adresse.

Claude erledigt dann:

  1. build_phase4.py ausführen → alle Reports generieren
  2. Mails mit PDF + Maltego CSV versenden

Analyse-Fragen nach Phase 4

  • „Welcher Einstiegspunkt ist am kritischsten? Was wäre der erste Schritt eines Angreifers?“
  • „Ist CVE-2023-3519 wirklich ausnutzbar oder gibt es Workarounds die greifen?“
  • „Welche TTPs sollte das SOC monitoren? Welche SIEM-Regeln sind relevant?“
  • „Schreibe eine Kurzfassung für den Vorstand (kein technisches Kauderwelsch).“
  • „Welche Patches haben höchste Priorität und wie lange dauert die Umsetzung?“

Claude liest die JSON-Reports und antwortet kontextbezogen.

Zusammenspiel mit anderen Phasen

Phase 3 (vuln_check.py)   →  vuln_check.json  (CONFIRMED/LIKELY-Findings)
                                     ↓
Phase 4 (build_phase4.py) →  exploits/*.md    (Pro-CVE-Dokumentation)
                          →  phase4_report.md (Angriffsketten-Report)
                          →  maltego_phase4.csv
                          →  phase4_exploit_report.pdf
                                     ↓
Phase 5 (geplant)         →  Konsolidierter Abschlussbericht (alle 4 Phasen)

Hinweise

  • Die generierten Markdown-Dateien enthalten keinen ausführbaren Exploit-Code
  • Metasploit-Konfigurationen sind als Referenz dokumentiert, nicht als Script
  • Der PDF-Report ist als VERTRAULICH klassifiziert und sollte entsprechend behandelt werden
  • Bei Weitergabe an Dritte: Empfängerkreis mit ISB abstimmen
  • phase4_exploits.json ist die Eingabe für einen späteren Phase-5-Konsolidierungsreport