Grinch Enterprises ha estado dejando rastros de cómo sus piratas informáticos han accedido a los datos del sistema: ha encontrado un servidor único que utilizan. Necesitamos su ayuda para descubrir qué método han estado utilizando para extraer los datos.

Hemos notado que la máquina genera tráfico inusual. Sospechamos mucho que Grinch Enterprises lo está utilizando para acceder a nuestros datos. Usaremos Nmap para descubrir que los servicios se están ejecutando en su servidor.

Cubrimos la enumeración e interacción con NFS o sistema de archivos de red en una máquina con Windows. Esto fue parte de TryHackMe Advenimiento de Cyber 3 Día 12.

Obtenga notas del certificado OSCP

Respuestas al desafío

Escanee el servidor de destino con la IP MACHINE_IP. Recuerde que los hosts de MS Windows bloquean los pings de forma predeterminada, por lo que debemos agregar -Pn, Por ejemplo, nmap -Pn MACHINE_IP para que el escaneo funcione correctamente. Cuántos tcp ¿Los puertos están abiertos?

Network File System (NFS) es un protocolo que permite transferir archivos entre diferentes computadoras y está disponible en muchos sistemas, incluidos MS Windows y linux. En consecuencia, NFS facilita compartir archivos entre varios sistemas operativos.

En los resultados del análisis que recibió anteriormente, debería poder detectar NFS o mountd, dependiendo de si utilizó el -sV opción con Nmap o no. ¿Qué puerto detecta Nmap como NFS o usando el servicio mountd?

Ahora que hemos descubierto que un servicio NFS está escuchando, verifiquemos qué archivos se comparten. Podemos hacer esto usando el comando montaje de exhibición. En la terminal a continuación, ejecutamos mostrarmontaje -e MACHINE_IP. El -mi o --exportaciones muestra la lista de exportación del servidor NFS.

Como podemos ver en la salida del terminal anterior, tenemos dos acciones, /compartir y /mis notas. Después de haber iniciado la máquina adjunta, use la terminal AttackBox para descubrir los recursos compartidos en MACHINE_IP.

¿Cuántas acciones encontraste?

¿Cuántas acciones muestran "todos"?

Intentemos montar las acciones que hemos descubierto. Podemos crear un directorio en AttackBox usando mkdirtmp1, dónde tmp1 es el nombre del directorio. Luego podemos usar este directorio que creamos para montar el recurso compartido NFS público usando: montar MACHINE_IP:/mis-notas tmp1.

Hay dos archivos de texto. Podemos abrir el archivo usando cualquier editor de texto como nanoNOMBRE DE ARCHIVO o algo más rápido como menos NOMBRE DE ARCHIVO.

¿Cuál es el título del archivo 2680-0.txt?

Parece que Grinch Enterprises ha olvidado sus claves SSH en nuestro sistema. Uno de los recursos compartidos contiene una clave privada utilizada para la autenticación SSH (id_rsa). ¿Cómo se llama la acción?

Podemos calcular la suma MD5 de un archivo usando md5sum NOMBRE DEL ARCHIVO. ¿Cuál es la suma MD5 de id_rsa?

Tutorial en vídeo

, ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos