Grinch Enterprises ha lasciato tracce di come i suoi hacker hanno avuto accesso ai dati dal sistema: hai trovato un server unico che utilizzano. Abbiamo bisogno del tuo aiuto per scoprire quale metodo hanno utilizzato per estrarre i dati.

Abbiamo notato che la macchina genera traffico insolito. Sospettiamo fortemente che Grinch Enterprises lo utilizzi per accedere ai nostri dati. Utilizzeremo Nmap per scoprire i servizi in esecuzione sul loro server.

Abbiamo trattato l'enumerazione e l'interazione con NFS o file system di rete su un computer Windows. Questo faceva parte TryHackMe Avvento di Cyber 3 Giorno 12.

Ottieni le note sul certificato OSCP

Risposte alle sfide

Scansiona il server di destinazione con l'IP MACCHINA_IP. Ricorda che gli host MS Windows bloccano i ping per impostazione predefinita, quindi dobbiamo aggiungere -Pn, Per esempio, nmap -Pn MACCHINA_IP affinché la scansione funzioni correttamente. Quanti TCP i porti sono aperti?

Network File System (NFS) è un protocollo che consente di trasferire file tra diversi computer ed è disponibile su molti sistemi, inclusi MS Windows e Linux. Di conseguenza, NFS semplifica la condivisione di file tra vari sistemi operativi.

Nei risultati della scansione ricevuti in precedenza, dovresti essere in grado di individuare NFS o mountd, a seconda che tu abbia utilizzato il file -sV opzione con Nmap o no. Quale porta viene rilevata da Nmap come NFS o utilizzando il servizio mountd?

Ora che abbiamo scoperto che un servizio NFS è in ascolto, controlliamo quali file vengono condivisi. Possiamo farlo usando il comando showmount. Nel terminale sottostante, corriamo showmount -e IP_MACCHINA. IL -e O --esportazioni mostra l'elenco di esportazione del server NFS.

Come possiamo vedere nell'output del terminale sopra, abbiamo due condivisioni, /condividere E /I miei appunti. Dopo aver avviato la macchina collegata, utilizza il terminale AttackBox per scoprire le condivisioni su MACCHINA_IP.

Quante condivisioni hai trovato?

Quante condivisioni mostrano "tutti"?

Proviamo a montare le condivisioni che abbiamo scoperto. Possiamo creare una directory sull'AttackBox utilizzando mkdirtmp1, Dove tmp1 è il nome della directory. Quindi possiamo utilizzare questa directory che abbiamo creato per montare la condivisione NFS pubblica utilizzando: monta MACHINE_IP:/mie-note tmp1.

Ci sono due file di testo. Possiamo aprire il file utilizzando qualsiasi editor di testo come nanoNOMEFILE o qualcosa di più veloce come meno NOMEFILE.

Qual è il titolo del file 2680-0.txt?

Sembra che Grinch Enterprises abbia dimenticato le proprie chiavi SSH sul nostro sistema. Una delle condivisioni contiene una chiave privata utilizzata per l'autenticazione SSH (id_rsa). Qual è il nome della condivisione?

Possiamo calcolare la somma MD5 di un file utilizzando md5sum NOME FILE. Qual è la somma MD5? id_rsa?

Video walk-through

, ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli