Quoi de neuf les gars? Des commentaires forts sur un CTF que j’ai trouvé très intéressant, une étude de cas sur le trafic réseau et comment voir l’intrusion en regardant les logs – n’oubliez pas qu’il s’agit d’un mode formation, mais très probablement d’un cas réel !
Plateforme = TryHackme
Outil = Wireshark
Allez!!!
Il semble que notre machine ait été piratée par un acteur malveillant anonyme. Cependant, nous avons la chance d’avoir un fichier .pcap de l’attaque. Pouvez-vous déterminer ce qui s’est passé ? télécharger le fichier .pcap et utilisez Wireshark pour le visualiser.
L’attaquant tente de se connecter à un service spécifique. De quel service s’agit-il ?
Pour cela, je dois télécharger le fichier. .pcap Et analysez-le avec Wireshark !
On y va !
MMM intéressant ; le service brut forcé est FTP.
Il existe un outil très populaire de Van Hauser qui peut être utilisé pour forcer brutalement un certain nombre de services. Comment s’appelle cet outil ?
Ce n’est pas si compliqué, juste une recherche rapide sur le web :
L’attaquant tente de se connecter avec un nom d’utilisateur spécifique. Quel est le nom d’utilisateur ?
Toujours dans l’analyseur de trafic réseau :
En descendant plus bas j’arrive à l’utilisateur en question ! Il faut absolument suivre étape par étape, car si je descends trop bas ; Je ne pourrai pas comprendre la méthodologie utilisée.
Quel est le mot de passe de l’utilisateur ?
Pas compliqué! Il me suffit de trouver la ligne dont le mot de passe a réussi l’authentification :
Bon, je dois admettre que je m’attendais à quelque chose d’aussi simple.
Qu’est-ce que le répertoire FTP ? actuel une fois que l’attaquant s’est connecté ?
Encore une fois, si je suis la progression de votre intrusion, vous devriez pouvoir retrouver facilement :
J’avoue que ce n’est pas surprenant non plus… C’est un annuaire très utilisé et avec parfois des informations cruciales !
L’agresseur a déchargé une porte arrière. Quel est le nom du fichier de porte dérobée ?
Petit chèque :
Eh oui ! Il a mis en ligne un shell.php, un fichier malveillant qui permet d’avoir un reverse_shell.
La porte dérobée peut être téléchargée à partir d’une URL spécifique car elle se trouve dans le fichier téléchargé. Quelle est l’URL complète ?
Je télécharge le fichier pour connaître sa source :
Quelle commande l’attaquant a-t-il exécuté manuellement après avoir obtenu un shell inversé ?
Pour ce faire, je vais regarder directement le flux TCP :
Quel est le nom d’hôte de l’ordinateur ?
La réponse est sous mes yeux :
Quelle commande l’attaquant a-t-il exécutée pour créer un nouveau shell TTY ?
Toujours sur la surveillance des flux TCP :
Ouiss !!!
En fait, ce n’est pas surprenant, car je retrouve souvent cette commande pour changer de shell.
Quelle commande a été exécutée pour obtenir un shell root ?
Honnêtement, c’est un classique :
L’attaquant a téléchargé quelque chose depuis GitHub. Quel est le nom du projet GitHub ?
Le projet peut être utilisé pour installer une porte dérobée furtive dans le système. Cela peut être très difficile à détecter. Comment s’appelle ce type de porte dérobée ?
Après avoir visité le projet et fait quelques recherches :
Ce n’était pas un mauvais voyage ! Maintenant je vais passer à la partie la plus sérieuse, oui ; Il va falloir me mettre à la place de l’attaquant et retrouver l’information en pratique ! De plus, le hacker a changé le mot de passe pour s’amuser un peu.
Tout d’abord, je lance la force brute sur le port 21 (FTP) :
Prêt ! J’ai le nouveau mot de passe. Je vais pouvoir continuer, je dois me connecter à ce service puis voler d’autres informations. Comme ça :
Ce que j’ai réalisé c’est :
– Connexion réussie sur le port 21 en utilisant les informations d’authentification obtenues précédemment
– J’ai téléchargé le shell (depuis le site pentestmonkey) puis modifié la redirection de port vers le mien (tunnel THM)
Tout ce que j’ai à faire est de le télécharger et d’obtenir mon reverse_shell !
Toujours depuis le terminal (ftp), j’utilise la commande mettre, poser Pour charger mon fichier malveillant modifié, je lance un port d’écoute (de mon choix) :
PS : veillez à ne pas oublier de visiter la page à partir de laquelle vous avez téléchargé votre payload !
Bingo!! J’ai une coquille, c’est pas mal ; mais je dois le modifier. Je vais donc faire la même commande que l’attaquant : j’ai fait un simple copier-coller (même si je le connais par cœur).
Maintenant, je vais m’authentifier en tant que Jenny puis essayez d’augmenter mes privilèges de superutilisateur racine :
Bien ! Cela fonctionne, mais ce n’est pas fini. Utilisation de la commande sudo-l, Je vois que cet utilisateur a tous les droits, je m’explique ; en fait : vous pouvez exécuter une commande simple qui est sudo su pour obtenir les privilèges racine
Je te montre :
Une fois que j’ai eu les privilèges racineIl me suffisait d’aller dans l’annuaire de ce dernier puis de /Reptile (en tant qu’attaquant) et lisez le drapeau !
Dans l’ensemble c’était un CTF assez simple et surtout très complet ! J’avoue que c’est très réaliste et surtout ça inclut une bonne base de compréhension d’une méthodologie bien fondée, il faut prendre en compte que ce type de scénario est très probable sur un serveur professionnel. Si vous avez la chance de travailler dans une entreprise en tant qu’administrateur système ou dans un autre domaine informatique lié à la sécurité de l’infrastructure informatique, votre employeur peut vous demander de vérifier les journaux et de retracer la méthodologie ou le chemin utilisé par un attaquant.
J’espère que cet article vous a aidé à comprendre et à apprendre à lire et à comprendre le trafic réseau et à en tirer le meilleur parti. A bientôt pour un prochain article !
PAIX!