Ulysses - CyberDefenders Lab

Kızıl_Kelebek · 8 Nis 2022

Selamlar, bugün “cyberdefenders.org” sitesi üzerinde bulunan “Ulysses” adlı labı inceleyip çözümünü gerçekleştireceğiz.

SENARYO;

Bir Linux sunucusunun güvenliği ihlal edilmiş olabilir ve gerçekte ne olduğunu anlamak için adli bir analiz gereklidir. Zorluğu çözmek için makinenin sabit disk dökümleri ve bellek anlık görüntüleri sağlanır.

Bir disk imajını Volatility yazılımı ile incelememiz isteniyor. İçerisinde bir disk imajı bulunduran bir sanal Kali Linux başlatıp onun üzerinden Volatility yazılımını kullanıyoruz.

Volatility klasörü içerisinde terminalimizi açıyoruz.

Soru 1.) The attacker was performing a Brute Force attack. What account triggered the alert?

Saldırgan bir Brute Force saldırısı gerçekleştiriyordu. Uyarıyı hangi hesap tetikledi?

Çözüm 1.)

mkdir mount_point

sudo mount -o loop victoria-v8.sda1.img mount_point/

sudo cat mount_point/var/log/auth.log |grep ""

sudo cat mount_point/var/log/auth.log |grep "user"

Cevap 1.) Ulysses

Soru 2.) How many were failed attempts there?

Orada kaç tane başarısız girişim oldu?

Çözüm 2.) Kod :sudo cat mount_point/var/log/auth.log |grep -i "failed"|wc -l

Cevap : 33

Soru 3.) What kind of system runs on the targeted server?

Hedeflenen sunucuda ne tür bir sistem çalışır?

Cevap : Cevap zaten açıklama kısmında bize verilmektedir. LinuxDebian5

Soru 4.) What is the victim's IP address?

Kurbanın IP adresi nedir?

Çözüm 4.) Kod : python2 vol.py -f victoria-v8.memdump.img --profile=LinuxDebian5_26x86 linux_netstat

Cevap : 192.168.56.102

Soru 5.) What are the attacker's two IP addresses? Format: comma-separated in ascending order

Saldırganın iki IP adresi nedir? Biçim: artan sırada virgülle ayrılmış

Çözüm 5.) Kod : python2 vol.py -f victoria-v8.memdump.img --profile=LinuxDebian5_26x86 linux_netstat

Cevap : 192.168.56.1,192.168.56.101

!!! Cevap üstteki göselde gözükmektedir.

Soru 6.) What is the "nc" service PID number that was running on the server?

Sunucuda çalışmakta olan "nc" hizmetinin PID numarası nedir?

Çözüm 6.) Kod : python2 vol.py -f victoria-v8.memdump.img --profile=LinuxDebian5_26x86 linux_pslist | grep "nc"

Cevap : 2169

Soru 7.) What service was exploited to gain access to the system? (one word)

Sisteme erişmek için hangi hizmetten yararlanıldı? (bir kelime)

Çözüm 7.) Kod : python2 vol.py -f victoria-v8.memdump.img --profile=LinuxDebian5_26x86 linux_psaux

Cevap : exim4

Soru 8.) What is the CVE number of exploited vulnerability?

Sömürülen güvenlik açığının CVE numarası nedir?

Çözüm : CVE-2010-4344 : Heap-based buffer overflow in the string_vformat function in string.c in Exim before 4.70 allows remote attackers to exe adresinden bakabilirsiniz.

Cevap : CVE-2010-4344

Soru 9.) During this attack, the attacker downloaded two files to the server. Provide the name of the compressed file.

Bu saldırı sırasında saldırgan sunucuya iki dosya indirdi. Sıkıştırılmış dosyanın adını girin.

Çözüm : Kod : sudo ls mount_point/tmp/

Cevap: c.pl, rk.tar

Soru 10.) Two ports were involved in the process of data exfiltration. Provide the port number of the highest one.

Veri hırsızlığı sürecine iki bağlantı noktası dahil edildi. En yüksek olanın bağlantı noktası numarasını sağlayın.

Çözüm 10.) Kod : python2 vol.py -f victoria-v8.memdump.img --profile=LinuxDebian5_26x86 linux_netstat

Cevap : 8888

!!! Soru 4'ün görselinde gözükmektedir.

Soru 11.) Which port did the attacker try to block on the firewall?

Saldırgan güvenlik duvarında hangi bağlantı noktasını engellemeye çalıştı?

Çözüm 11.) Kod : cd mount_point/tmp/
sudo tar xvf rk.tar
cd rk
cat install.sh |grep "port"

Cevap : 45295

Okuyan ve beğenen herkese teşekkür ederim, diğer konularda görüşmek üzere.

Kızıl_Kelebek

'B4TU · 8 Nis 2022

Eline emeğine sağlık. Önceki konuya göre tasarım olarak kendini çok geliştirmişsin

Pentester · 8 Nis 2022

Eline sağlık

Kızıl_Kelebek · 8 Nis 2022

'FatBob' Alıntı:
Eline emeğine sağlık. Önceki konuya göre tasarım olarak kendini çok geliştirmişsin

Pentester' Alıntı:
Eline sağlık

Destekleriniz için çok teşekkür ederim

'ALTAY · 8 Nis 2022

Ellerine sağlık.

ZiFiЯ · 8 Nis 2022

Eline emeğine sağlık faydalı ve güzel makale olmuş

🅼 🆁 🆇 · 8 Nis 2022

Eline Emeğine Sağlık

Maveraün Nehr · 8 Nis 2022

Allah sağlık sıhhat versin

Safak-Bey · 8 Nis 2022

Ellerine Emeğine sağlık

'Eşref · 8 Nis 2022

Ellerine sağlık.

deltaturk · 8 Nis 2022

Kızıl_Kelebek' Alıntı:
Selamlar, bugün “cyberdefenders.org” sitesi üzerinde bulunan “Ulysses” adlı labı inceleyip çözümünü gerçekleştireceğiz.

SENARYO;

Bir Linux sunucusunun güvenliği ihlal edilmiş olabilir ve gerçekte ne olduğunu anlamak için adli bir analiz gereklidir. Zorluğu çözmek için makinenin sabit disk dökümleri ve bellek anlık görüntüleri sağlanır.

Bir disk imajını Volatility yazılımı ile incelememiz isteniyor. İçerisinde bir disk imajı bulunduran bir sanal Kali Linux başlatıp onun üzerinden Volatility yazılımını kullanıyoruz.

Volatility klasörü içerisinde terminalimizi açıyoruz.

Soru 1.) The attacker was performing a Brute Force attack. What account triggered the alert?

Saldırgan bir Brute Force saldırısı gerçekleştiriyordu. Uyarıyı hangi hesap tetikledi?

Çözüm 1.)

mkdir mount_point

sudo mount -o loop victoria-v8.sda1.img mount_point/

sudo cat mount_point/var/log/auth.log |grep ""

sudo cat mount_point/var/log/auth.log |grep "user"

Cevap 1.) Ulysses

Soru 2.) How many were failed attempts there?

Orada kaç tane başarısız girişim oldu?

Çözüm 2.) Kod :sudo cat mount_point/var/log/auth.log |grep -i "failed"|wc -l

Cevap : 33

Soru 3.) What kind of system runs on the targeted server?

Hedeflenen sunucuda ne tür bir sistem çalışır?

Cevap : Cevap zaten açıklama kısmında bize verilmektedir. LinuxDebian5

Soru 4.) What is the victim's IP address?

Kurbanın IP adresi nedir?

Çözüm 4.) Kod : python2 vol.py -f victoria-v8.memdump.img --profile=LinuxDebian5_26x86 linux_netstat

Cevap : 192.168.56.102

Soru 5.) What are the attacker's two IP addresses? Format: comma-separated in ascending order

Saldırganın iki IP adresi nedir? Biçim: artan sırada virgülle ayrılmış

Çözüm 5.) Kod : python2 vol.py -f victoria-v8.memdump.img --profile=LinuxDebian5_26x86 linux_netstat

Cevap : 192.168.56.1,192.168.56.101

!!! Cevap üstteki göselde gözükmektedir.

Soru 6.) What is the "nc" service PID number that was running on the server?

Sunucuda çalışmakta olan "nc" hizmetinin PID numarası nedir?

Çözüm 6.) Kod : python2 vol.py -f victoria-v8.memdump.img --profile=LinuxDebian5_26x86 linux_pslist | grep "nc"

Cevap : 2169

Soru 7.) What service was exploited to gain access to the system? (one word)

Sisteme erişmek için hangi hizmetten yararlanıldı? (bir kelime)

Çözüm 7.) Kod : python2 vol.py -f victoria-v8.memdump.img --profile=LinuxDebian5_26x86 linux_psaux

Cevap : exim4

Soru 8.) What is the CVE number of exploited vulnerability?

Sömürülen güvenlik açığının CVE numarası nedir?

Çözüm : CVE-2010-4344 : Heap-based buffer overflow in the string_vformat function in string.c in Exim before 4.70 allows remote attackers to exe adresinden bakabilirsiniz.

Cevap : CVE-2010-4344

Soru 9.) During this attack, the attacker downloaded two files to the server. Provide the name of the compressed file.

Bu saldırı sırasında saldırgan sunucuya iki dosya indirdi. Sıkıştırılmış dosyanın adını girin.

Çözüm : Kod : sudo ls mount_point/tmp/

Cevap: c.pl, rk.tar

Soru 10.) Two ports were involved in the process of data exfiltration. Provide the port number of the highest one.

Veri hırsızlığı sürecine iki bağlantı noktası dahil edildi. En yüksek olanın bağlantı noktası numarasını sağlayın.

Çözüm 10.) Kod : python2 vol.py -f victoria-v8.memdump.img --profile=LinuxDebian5_26x86 linux_netstat

Cevap : 8888

!!! Soru 4'ün görselinde gözükmektedir.

Soru 11.) Which port did the attacker try to block on the firewall?

Saldırgan güvenlik duvarında hangi bağlantı noktasını engellemeye çalıştı?

Çözüm 11.) Kod : cd mount_point/tmp/
sudo tar xvf rk.tar
cd rk
cat install.sh |grep "port"

Cevap : 45295

Okuyan ve beğenen herkese teşekkür ederim, diğer konularda görüşmek üzere.

Kızıl_Kelebek

Elinize Sağlık

Ecdo · 8 Nis 2022

Ellerine sağlık, abi peki bunlar Linux Mint veya Zorin OS'da oluyor mu?

w1sd0m · 8 Nis 2022

Eline sağlık

Ghost Killer · 8 Nis 2022

eline sağlık.

Kızıl_Kelebek · 8 Nis 2022

NerdyPravyn' Alıntı:
Ellerine sağlık.

Point Prank' Alıntı:
Eline emeğine sağlık faydalı ve güzel makale olmuş

🅼 🆁 🆇' Alıntı:
Eline Emeğine Sağlık

Maveraun.Nehr' Alıntı:
Allah sağlık sıhhat versin

Safak-Bey' Alıntı:
Ellerine Emeğine sağlık

Cods' Alıntı:
Ellerine sağlık.

deltaturk' Alıntı:
Elinize Sağlık

Ecdo' Alıntı:
Ellerine sağlık, abi peki bunlar Linux Mint veya Zorin OS'da oluyor mu?

w1sd0m' Alıntı:
Eline sağlık

Ghost Killer' Alıntı:
eline sağlık.

Hepinize çok teşekkür ederim.

green.php · 8 Nis 2022

Eline sağlık

Kızıl_Kelebek · 8 Nis 2022

green.php' Alıntı:
Eline sağlık

Teşekkür ederim hocam.

Ulysses - CyberDefenders Lab

Kızıl_Kelebek

Üye

'B4TU

Katılımcı Üye

Pentester

Özel Üye

Kızıl_Kelebek

Üye

'ALTAY

Katılımcı Üye

ZiFiЯ

Uzman üye

🅼 🆁 🆇

Uzman üye

Maveraün Nehr

Blue Expert / Head of Malware Team

Safak-Bey

Uzman üye

'Eşref

Özel Üye

deltaturk

Katılımcı Üye

Ecdo

Üye

w1sd0m

Katılımcı Üye

Ghost Killer

Harici Saldırı Timleri Koordinatörü

Kızıl_Kelebek

Üye

green.php

Katılımcı Üye

Kızıl_Kelebek

Üye

Sosyal medya sayfalarımız