- 23 Tem 2023
- 94
- 86
Hepinize selam arkadaşlar bu konumda sizlere blue team labs online platformu üzerinden "Log Analysis - Priv. Esc." Challenge' ını çözeceğim. Umarım faydalı olur...
1. Soru "What user (other than ‘root’) is present on the server?"
"Bash_history" log dosyamızı indirdikten sonra baştan sonra analiz ediyoruz. İlk sorumuz sistemde var olan kullanıcı adını soruyor. Dosyayı analiz ettiğimizde "/home/daniel" adından bir dizin olduğunu görüyoruz ve linux dosya yapısına göre "home" dizini sistemde bulunan kullanıcıların dosyalarını barındırır. İlk sorumuzun cevabı "daniel"
2. Soru "What script did the attacker try to download to the server?"
İkinci sorumuz saldırganın sisteme yüklemeye çalıştığı scriptin adını soruyor. Komutları analiz ederken wget ile github üzerinden bir dosya çekildiğini ve les.sh adında kaydedildiğini görüyoruz. Biraz araştırdıktan sonra saldırganın sisteme yüklediği scripti bulduk. Cevabımız: "linux-exploit-suggester.sh"
3. Soru "What packet analyzer tool did the attacker try to use?"
Bu sorumuzda saldırganın hangi paket analiz toolunu kullandığını soruyor. Saldırganın çalıştırdığı toolları analiz ettiğimizde "tcpdump" komutunu görüyoruz. Bu araç yerel ağdaki paketlerin yakalanması ve analiz edilmesi kısmında kullanılıyor. Yani cevabımız "tcpdump"
4. Soru "What file extension did the attacker use to bypass the file upload filter implemented by the developer?"
Dördüncü sorumuzda da saldırganın file upload uygulamasını bypasslamak için kullandığı dosya uzantısını soruyor. Saldırganın son kullandığı komuta baktığımızda "x.phtml" dosyasını silmiş. Yani saldırganın kullandığı uzantı ve cevabımız ".phtml"
5. Soru "Based on the commands run by the attacker before removing the php shell, what misconfiguration was exploited in the ‘python’ binary to gain root-level access? 1- Reverse Shell ; 2- File Upload ; 3- File Write ; 4- SUID ; 5- Library load"
Saldırganın komutlarına bakarsak SUID yetkilerini kontrol ettiğini görüyoruz daha sonra /usr/bin/python uygulamasında os kütüphanesini yükleyerek "bin/sh" komut satırını elde etmeyi çalışmış. Yani cevabımız 4 SUID olacak.
Analizimiz ve sorularımız bu şekildeydi. Okuduğunuz ve dinlediğiniz için teşekkür ederim. Esen kalın
Videolu Anlatım
1. Soru "What user (other than ‘root’) is present on the server?"
"Bash_history" log dosyamızı indirdikten sonra baştan sonra analiz ediyoruz. İlk sorumuz sistemde var olan kullanıcı adını soruyor. Dosyayı analiz ettiğimizde "/home/daniel" adından bir dizin olduğunu görüyoruz ve linux dosya yapısına göre "home" dizini sistemde bulunan kullanıcıların dosyalarını barındırır. İlk sorumuzun cevabı "daniel"
2. Soru "What script did the attacker try to download to the server?"
İkinci sorumuz saldırganın sisteme yüklemeye çalıştığı scriptin adını soruyor. Komutları analiz ederken wget ile github üzerinden bir dosya çekildiğini ve les.sh adında kaydedildiğini görüyoruz. Biraz araştırdıktan sonra saldırganın sisteme yüklediği scripti bulduk. Cevabımız: "linux-exploit-suggester.sh"
3. Soru "What packet analyzer tool did the attacker try to use?"
Bu sorumuzda saldırganın hangi paket analiz toolunu kullandığını soruyor. Saldırganın çalıştırdığı toolları analiz ettiğimizde "tcpdump" komutunu görüyoruz. Bu araç yerel ağdaki paketlerin yakalanması ve analiz edilmesi kısmında kullanılıyor. Yani cevabımız "tcpdump"
4. Soru "What file extension did the attacker use to bypass the file upload filter implemented by the developer?"
Dördüncü sorumuzda da saldırganın file upload uygulamasını bypasslamak için kullandığı dosya uzantısını soruyor. Saldırganın son kullandığı komuta baktığımızda "x.phtml" dosyasını silmiş. Yani saldırganın kullandığı uzantı ve cevabımız ".phtml"
5. Soru "Based on the commands run by the attacker before removing the php shell, what misconfiguration was exploited in the ‘python’ binary to gain root-level access? 1- Reverse Shell ; 2- File Upload ; 3- File Write ; 4- SUID ; 5- Library load"
Saldırganın komutlarına bakarsak SUID yetkilerini kontrol ettiğini görüyoruz daha sonra /usr/bin/python uygulamasında os kütüphanesini yükleyerek "bin/sh" komut satırını elde etmeyi çalışmış. Yani cevabımız 4 SUID olacak.
Analizimiz ve sorularımız bu şekildeydi. Okuduğunuz ve dinlediğiniz için teşekkür ederim. Esen kalın
Videolu Anlatım