لقد قمنا بتغطية سيناريو الاستجابة للحوادث من HackTheBox المسمى PersistenceIsFutile حيث مررنا على جهاز Linux مصاب وطُلب منا معالجة أي مؤشرات على الاستمرارية وتصعيد الامتيازات وتنظيفها. لقد قمنا بفحص سجل bash وcrontab والعمليات الجارية وثنائيات SUID لإزالة أي مؤشرات للتسوية بما في ذلك الأصداف العكسية والأبواب الخلفية والثنائيات غير المعروفة.. كان هذا جزءًا من HackTheBox PersistenceFutile.

احصل على ملاحظات شهادة OSCP

اختبار الاختراق الكامل مع دورة BackBox

وصف التحدي

تمكن المتسللون من الوصول إلى أحد خوادم الإنتاج لدينا 😅. لقد قمنا بعزله عن الإنترنت حتى نتمكن من تنظيف الجهاز. أبلغ فريق IR عن ثمانية أبواب خلفية مختلفة على الخادم، لكنه لم يذكر ما هي ولا يمكننا الاتصال بهم. نحتاج إلى إعادة هذا الخادم إلى الإنتاج في أسرع وقت ممكن - فنحن نخسر أموالًا في كل ثانية يتعطل فيها. يرجى العثور على الأبواب الخلفية الثمانية (الوصول عن بعد وتصعيد الامتيازات) وإزالتها. بمجرد الانتهاء من ذلك، تشغيل /root/solveme مثل جذر للتأكد. لديك وصول SSH و sudo حقوق المربع مع تفاصيل الاتصالات المرفقة أدناه.
اسم المستخدم: مستخدم
كلمة المرور: hackthebox

أبرز مقاطع الفيديو

المواقع التي قمنا بفحصها لإزالة البرامج الضارة والثبات هي:

  • سجل Bash لكل من حسابات المستخدم والجذر: قمنا بإزالة الصدفة العكسية وتم تنبيه المستمع المسمى.
  • علامات تبويب Cron: قمنا بإزالة pyssh وaccess-up من cron.daily وأزلنا ملف cron ضمن /var/spool/cron/crontabs/user.
  • العمليات الجارية: لقد أوقفنا عملية التحقق من الاتصال وأزلنا جميع الملفات والثنائيات المرتبطة بها.
  • ملف المستخدمين /etc/passwd: قمنا بتعطيل غلاف تسجيل الدخول الخاص بالمستخدم وقمنا بتعيين معرف المجموعة على 41.
  • ثنائيات بت SUID: قمنا بإزالة 6 ثنائيات.

تجول الفيديو

, , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات