قمنا بتغطية ثلاثة من تقنيات استمرارية Linux الأكثر شيوعًا مثل كتابة الأوامر في ملف .bashrc والمهام المجدولة في crontab وإضافة مستخدم في ملف /etc/passwd. كان هذا جزءًا من جربHackMe Tardigrade.

احصل على ملاحظات OSCP

لقد تم اختراق الخادم، وقرر فريق الأمان عزل الجهاز حتى يتم تنظيفه بالكامل. كشفت الفحوصات الأولية التي أجراها فريق الاستجابة للحوادث عن وجود خمسة أبواب خلفية مختلفة. إن مهمتك هي العثور عليها ومعالجتها قبل إعطاء الإشارة لإعادة الخادم إلى الإنتاج.

قائمة الكلمات القذرة هي في الأساس توثيق أولي للتحقيق من وجهة نظر المحقق. وقد يحتوي على كل ما من شأنه أن يساعد في دفع التحقيق إلى الأمام، من الواقعي اللجنة الأولمبية الدوليةإلى ملاحظات عشوائية. إن الاحتفاظ بقائمة كلمات قذرة يؤكد للمحقق أن بطاقة IOC محددة قد تم تسجيلها بالفعل، مما يساعد على إبقاء التحقيق في المسار الصحيح ومنع الوقوع في حلقة مغلقة من الخيوط المستخدمة.

كما أنه يساعد المحقق على تذكر العقلية التي كانت لديهم أثناء التحقيق. عادة ما يتم إعطاء أهمية ملاحظة عقلية الفرد خلال نقاط مختلفة من التحقيق أهمية أقل لصالح التركيز على المؤشرات الذرية الأكثر إثارة؛ ومع ذلك، فإن تسجيلها يوفر سياقًا إضافيًا حول سبب تسجيل جزء معين في المقام الأول. هذه هي الطريقة التي يتم بها تحديد النقاط المحورية والمزيد من القيادة، وتوليدها ومتابعتها.

مزايا قائمة الكلمات القذرة لا تنتهي هنا. إحدى الطرق السريعة لتوثيق النتائج رسميًا في نهاية التحقيق هي تنظيفها. يوصى بإدخال كل أنواع التفاصيل التي قد تساعد أثناء سير التحقيق. لذلك، في النهاية، سيكون من السهل إزالة جميع التفاصيل غير الضرورية والخيوط الكاذبة، وإثراء شركات النفط العالمية الفعلية، وتحديد نقاط التركيز. علامة هذه المهمة هي: THM{d1rty_w0rdl1st}

إجابات الغرفة

ما هو إصدار نظام التشغيل الخاص بالخادم؟

ما هو الملف الأكثر إثارة للاهتمام الذي وجدته في الدليل الرئيسي لجورجيو؟

في كل تحقيق، من المهم الاحتفاظ بقائمة كلمات قذرة لتتبع جميع النتائج التي توصلت إليها، مهما كانت صغيرة. إنها أيضًا طريقة لمنع العودة إلى الدوائر والبدء من الصفر مرة أخرى. على هذا النحو، الآن هو الوقت المناسب لإنشاء إجابة ووضع الإجابة السابقة كمدخل حتى نتمكن من العودة إليها لاحقًا.

هناك ملف آخر يمكن العثور عليه في الدليل الرئيسي لكل مستخدم وهو الملف .bashrc. هل يمكنك التحقق مما إذا كان بإمكانك العثور على شيء مثير للاهتمام في .bashrc الخاص بجورجيو؟

يبدو أننا قمنا بتغطية القواعد المعتادة في الدليل الرئيسي لجورجيو، لذا فقد حان الوقت للتحقق من المهام المجدولة التي يمتلكها.

هل وجدت أي شيء مثير للاهتمام حول المهام المجدولة؟

هذا القسم عبارة عن مناقشة إضافية حول أهمية قائمة الكلمات القذرة. اقبل النقطة الإضافية وصيدًا سعيدًا!

ما هو العلم؟

بعد لحظات قليلة من تسجيل الدخول إلى الحساب الجذر، تجد رسالة خطأ في جهازك الطرفي.

ماذا يقول؟

بعد المضي قدمًا في رسالة الخطأ، يظهر أمر مريب في الجهاز كجزء من رسالة الخطأ.

ما الأمر الذي تم عرضه؟

ربما تتساءل: "كيف حدث ذلك؟ أنا لم أفعل أي شيء حتى؟ لقد قمت للتو بتسجيل الدخول كجذر، وقد حدث ذلك.

هل يمكنك معرفة كيفية تنفيذ الأمر المشبوه؟

هناك آلية أخرى للاستمرار في النظام.

إحدى الطرق الجيدة لتشريح النظام بشكل منهجي هي البحث عن "المعتاد" و"غير العادي". على سبيل المثال، يمكنك التحقق من وجود ملفات وأدلة شائعة الاستخدام أو غير عادية.

ترتبط آلية الثبات المحددة هذه ارتباطًا مباشرًا بـ شئ ما (أو أي شخص؟) موجود بالفعل في الطازجة لينكس التثبيتات وقد يتم إساءة استخدامها و/أو التلاعب بها لتناسب أهداف الخصم. ما هو اسمها؟

ما هي آلية الثبات الأخيرة؟

أخيرًا، بما أنك عثرت بالفعل على آلية الاستمرارية النهائية، فإن هناك قيمة في المضي قدمًا حتى النهاية.

لقد ترك الخصم كتلة صلبة من "النصيحة" الذهبية في مكان ما.

ما هي الكتلة؟

تجول الفيديو

, , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات