DEV Community
·
TryHackMe API 向导漏洞分析指南
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
本文介绍了一系列网络安全任务,包括通过SSH访问、识别编程语言、查找攻击IP、分析API漏洞和检查恶意软件持久性。任务使用命令行工具检查日志、配置文件和系统服务,以识别攻击者行为和感染文件,最终目标是提取受害者信息和数据库。
🎯
关键要点
- 任务1: 通过SSH访问机器
- 任务2: 初始访问,识别编程语言为Python
- 查找攻击IP地址为149.34.244.142
- 发现API服务中的OS命令注入漏洞
- 找到用于权限提升的凭据文件
- 黑客在服务器上持久化的文件为/tmp/rooter2
- 使用transfer.sh托管恶意软件
- 任务3: 进一步行动,感染的系统文件为/etc/crontab和/etc/environment
- 恶意行为者的C2服务器IP为5.230.66.147
- 后门绑定的bash shell监听端口为3578
- 后门在重启后持久化的方式为systemd服务
- 恶意服务的绝对路径为/etc/systemd/system/socket.service
- 任务4: 进一步持久化,受害者防火墙阻止的端口为3578
- 防火墙规则在重启后持久化的方式为/root/.bashrc
- 后门本地Linux用户命名为support
- 该用户被分配到sudo特权组
- 后门SSH密钥中的奇怪单词为ntsvc
- 另一种持久化方法为SUID二进制文件
- 原始和后门二进制文件分别为/usr/bin/bash和/usr/bin/clamav
- 隐藏后门创建日期的技术为时间戳修改
- 任务5: 最终目标,掉落的文件包含受害者信息为/root/.dump.json
- 服务器的内核版本为5.15.0–78-generic
- 通过'rooter2'网络扫描发现的内部IP为192.168.0.21和192.168.0.22
- 黑客通过网络扫描命令找到暴露的HTTP索引
- 使用wget命令从内部IP提取CDE数据库
- 提取数据库中最秘密的字符串为pwned{v3ry-secur3-cardh0ld3r-data-environm3nt}
➡️
