Grinch Enterprises a laissé des traces de la manière dont ses pirates ont accédé aux données du système : vous avez trouvé un serveur unique qu'ils utilisent. Nous avons besoin de votre aide pour découvrir quelle méthode ils ont utilisée pour extraire les données.
Nous avons remarqué que la machine génère un trafic inhabituel. Nous soupçonnons fortement que Grinch Enterprises l'utilise pour accéder à nos données. Nous utiliserons Nmap pour découvrir les services exécutés sur leur serveur.
Nous avons couvert l'énumération et l'interaction avec NFS ou le système de fichiers réseau sur une machine Windows. Cela faisait partie de TryHackMe Advent of Cyber 3 Jour 12.
Obtenir les notes du certificat OSCP
Réponses au défi
IP_MACHINE. N'oubliez pas que les hôtes MS Windows bloquent les pings par défaut, nous devons donc ajouter -Pn, Par exemple, nmap -Pn MACHINE_IP pour que l'analyse fonctionne correctement. Combien TCP les ports sont ouverts ?Network File System (NFS) est un protocole qui permet de transférer des fichiers entre différents ordinateurs et est disponible sur de nombreux systèmes, notamment MS Windows et Linux. Par conséquent, NFS facilite le partage de fichiers entre différents systèmes d'exploitation.
Dans les résultats de l'analyse que vous avez reçus précédemment, vous devriez pouvoir repérer NFS ou mountd, selon que vous avez utilisé ou non le -sV option avec Nmap ou non. Quel port est détecté par Nmap comme NFS ou en utilisant le service mountd ?
Maintenant que nous avons découvert qu'un service NFS écoute, vérifions quels fichiers sont partagés. Nous pouvons le faire en utilisant la commande showmount. Dans le terminal ci-dessous, nous exécutons showmount -e MACHINE_IP. Le -e ou --exportations afficher la liste d'exportation du serveur NFS.
Comme nous pouvons le voir dans la sortie du terminal ci-dessus, nous avons deux parts, /partager et /mes notes. Après avoir démarré la machine connectée, utilisez le terminal AttackBox pour découvrir les partages sur IP_MACHINE.
Combien de partages avez-vous trouvé ?
Combien de partages affichent « tout le monde » ?
Essayons de monter les partages que nous avons découverts. Nous pouvons créer un répertoire sur l'AttackBox en utilisant mkdir tmp1, où tmp1 est le nom du répertoire. Ensuite, nous pouvons utiliser ce répertoire que nous avons créé pour monter le partage NFS public en utilisant : monter MACHINE_IP:/mes-notes tmp1.
Il existe deux fichiers texte. Nous pouvons ouvrir le fichier en utilisant n'importe quel éditeur de texte tel que nanoNOM DE FICHIER ou quelque chose de plus rapide comme moins NOM DE FICHIER.
Quel est le titre du fichier 2680-0.txt ?
Il semble que Grinch Enterprises ait oublié ses clés SSH sur notre système. L'un des partages contient une clé privée utilisée pour l'authentification SSH (id_rsa). Quel est le nom du partage ?
Nous pouvons calculer la somme MD5 d'un fichier en utilisant md5sum NOM DE FICHIER. Quelle est la somme MD5 de id_rsa?
