Grinch Enterprises hat Spuren hinterlassen, die zeigen, wie ihre Hacker auf Daten aus dem System zugegriffen haben – Sie haben einen einzigartigen Server gefunden, den sie verwenden. Wir brauchen Ihre Hilfe, um herauszufinden, welche Methode sie zum Extrahieren von Daten verwendet haben.

Wir haben festgestellt, dass die Maschine ungewöhnlichen Datenverkehr erzeugt. Wir vermuten stark, dass Grinch Enterprises sie nutzt, um auf unsere Daten zuzugreifen. Wir werden Nmap verwenden, um herauszufinden, welche Dienste auf ihrem Server laufen.

Wir haben die Aufzählung und Interaktion mit NFS oder Netzwerkdateisystemen auf einem Windows-Computer behandelt. Dies war Teil von TryHackMe Advent of Cyber 3 Tag 12.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Antworten auf die Herausforderungen

Scannen Sie den Zielserver mit der IP MACHINE_IP. Denken Sie daran, dass MS Windows-Hosts Pings standardmäßig blockieren, also müssen wir hinzufügen -Pn, Zum Beispiel, nmap -Pn MASCHINEN-IP damit der Scan richtig funktioniert. Wie viele TCP Ports sind offen?

Network File System (NFS) ist ein Protokoll, das die Übertragung von Dateien zwischen verschiedenen Computern ermöglicht und auf vielen Systemen verfügbar ist, darunter MS Windows und Linux. Folglich erleichtert NFS den Dateiaustausch zwischen verschiedenen Betriebssystemen.

In den Scan-Ergebnissen, die Sie zuvor erhalten haben, sollten Sie NFS oder mountd erkennen können, je nachdem, ob Sie den -sV Option mit Nmap oder nicht. Welcher Port wird von Nmap als NFS oder mit dem Mountd-Dienst erkannt?

Nachdem wir nun festgestellt haben, dass ein NFS-Dienst zuhört, überprüfen wir, welche Dateien freigegeben werden. Dies können wir mit dem Befehl schauplatz. Im Terminal unten führen wir aus showmount -e MASCHINEN-IP. Der -e oder --Exporte zeigt die Exportliste des NFS-Servers an.

Wie wir in der Terminalausgabe oben sehen können, haben wir zwei Freigaben, /Aktie Und /meine Notizen. Nachdem Sie die angeschlossene Maschine gestartet haben, verwenden Sie das AttackBox-Terminal, um die Freigaben auf MACHINE_IP.

Wie viele Aktien haben Sie gefunden?

Wie viele Shares zeigen „jeder“?

Versuchen wir, die entdeckten Freigaben zu mounten. Wir können ein Verzeichnis auf der AttackBox erstellen mit mkdir tmp1, Wo tmp1 ist der Name des Verzeichnisses. Dann können wir dieses erstellte Verzeichnis verwenden, um die öffentliche NFS-Freigabe mit folgendem Befehl zu mounten: mount MACHINE_IP:/meine-notizen tmp1.

Es gibt zwei Textdateien. Wir können die Datei mit einem beliebigen Texteditor öffnen, beispielsweise nano DATEINAME oder etwas schnelleres wie weniger DATEINAME.

Wie lautet der Titel der Datei 2680-0.txt?

Es scheint, dass Grinch Enterprises ihre SSH-Schlüssel auf unserem System vergessen hat. Eine der Freigaben enthält einen privaten Schlüssel, der für die SSH-Authentifizierung verwendet wird (id_rsa). Wie lautet der Name der Freigabe?

Wir können die MD5-Summe einer Datei berechnen mit md5sum DATEINAME. Was ist die MD5-Summe von id_rsa?

Video-Anleitung

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen