Grinch Enterprises ha lasciato tracce di come i suoi hacker hanno avuto accesso ai dati dal sistema: hai trovato un server unico che utilizzano. Abbiamo bisogno del tuo aiuto per scoprire quale metodo hanno utilizzato per estrarre i dati.
Abbiamo notato che la macchina genera traffico insolito. Sospettiamo fortemente che Grinch Enterprises lo utilizzi per accedere ai nostri dati. Utilizzeremo Nmap per scoprire i servizi in esecuzione sul loro server.
Abbiamo trattato l'enumerazione e l'interazione con NFS o file system di rete su un computer Windows. Questo faceva parte TryHackMe Avvento di Cyber 3 Giorno 12.
Ottieni le note sul certificato OSCP
Risposte alle sfide
MACCHINA_IP
. Ricorda che gli host MS Windows bloccano i ping per impostazione predefinita, quindi dobbiamo aggiungere -Pn
, Per esempio, nmap -Pn MACCHINA_IP
affinché la scansione funzioni correttamente. Quanti TCP i porti sono aperti?Network File System (NFS) è un protocollo che consente di trasferire file tra diversi computer ed è disponibile su molti sistemi, inclusi MS Windows e Linux. Di conseguenza, NFS semplifica la condivisione di file tra vari sistemi operativi.
Nei risultati della scansione ricevuti in precedenza, dovresti essere in grado di individuare NFS o mountd, a seconda che tu abbia utilizzato il file -sV
opzione con Nmap o no. Quale porta viene rilevata da Nmap come NFS o utilizzando il servizio mountd?
Ora che abbiamo scoperto che un servizio NFS è in ascolto, controlliamo quali file vengono condivisi. Possiamo farlo usando il comando showmount
. Nel terminale sottostante, corriamo showmount -e IP_MACCHINA
. IL -e
O --esportazioni
mostra l'elenco di esportazione del server NFS.
Come possiamo vedere nell'output del terminale sopra, abbiamo due condivisioni, /condividere
E /I miei appunti
. Dopo aver avviato la macchina collegata, utilizza il terminale AttackBox per scoprire le condivisioni su MACCHINA_IP
.
Quante condivisioni hai trovato?
Quante condivisioni mostrano "tutti"?
Proviamo a montare le condivisioni che abbiamo scoperto. Possiamo creare una directory sull'AttackBox utilizzando mkdirtmp1
, Dove tmp1
è il nome della directory. Quindi possiamo utilizzare questa directory che abbiamo creato per montare la condivisione NFS pubblica utilizzando: monta MACHINE_IP:/mie-note tmp1
.
Ci sono due file di testo. Possiamo aprire il file utilizzando qualsiasi editor di testo come nanoNOMEFILE
o qualcosa di più veloce come meno NOMEFILE
.
Qual è il titolo del file 2680-0.txt?
Sembra che Grinch Enterprises abbia dimenticato le proprie chiavi SSH sul nostro sistema. Una delle condivisioni contiene una chiave privata utilizzata per l'autenticazione SSH (id_rsa
). Qual è il nome della condivisione?
Possiamo calcolare la somma MD5 di un file utilizzando md5sum NOME FILE
. Qual è la somma MD5? id_rsa
?