TryHackMe-Tardigrade(应急响应)
Tardigrade
您能否在此 Linux 端点中找到所有基本的持久性机制?
服务器已遭到入侵,安全团队已决定隔离计算机,直到对其进行彻底清理。事件响应团队的初步检查显示,有五个不同的后门。你的工作是在发出信号以使服务器恢复生产之前查找并修正它们。
操作系统版本:
调查乔治账户
带suid的bash
在家目录发现一个带suid的bash
.bashrc文件反向shell
在bash启动时会自动加载.bashrc文件的内容。在家目录下查看.bashrc文件发现了reverse shell code
cronjob反向shell
查看crontab
crontab -l
发现反向shell的payload
dirty wordlist
TryHackMe:
在上一个任务中,引入了脏词表的概念。在此任务中,我们将更详细地讨论它。
从调查人员的角度来看,脏词表本质上是调查的原始文档。它可能包含有助于引导调查推进的所有内容,从实际的国际奥委会到随机笔记。保留一个肮脏的词表可以向调查人员保证已经记录了特定的 IOC,有助于保持调查的正常进行,并防止陷入使用过的线索的闭环中。
它还有助于调查人员记住他们在调查过程中的心态。在调查的不同点上注意一个人的心态的重要性通常不太重要,而是专注于更令人兴奋的原子指标;但是,记录它提供了有关为什么首先记录特定位的进一步背景信息。这就是决定枢轴点的方式,以及进一步的线索,诞生和追求。
肮脏的单词列表的优势并不止于此。在调查结束时正式记录调查结果的一种快速方法是清理它们。建议在调查过程中提供可能有助于的各种细节。因此,最终,很容易删除所有不必要的细节和虚假线索,丰富实际的国际石油公司,并建立重点。此任务的标志是:THM{d1rty_w0rdl1st}
调查root账户
.bashrc文件反向shell
当登录到root账户时,终端输出了nc连接信息
还是反向shell,还记得刚刚的.bashrc文件
调查系统
在检查了giorgio和root帐户之后,从这里开始基本上是免费游戏,因为发现更多可疑项目取决于您对系统中“正常”内容的了解程度。
系统中还有一种持久性机制。
系统剖析系统的一个好方法是寻找“平常”和“不寻常”。例如,您可以检查经常滥用或异常的文件和目录。
这种特定的持久性机制直接与新Linux安装中已经存在的东西(或某人?)相关联,并且可能被滥用和/或操纵以适应对手的目标。它叫什么名字?
查看/etc/passwd
除了这些,还有
- /etc/rc0-6.d/ 软链接到/etc/init.d自动执行
- /etc/rc.local 自动运行脚本
- /etc/init.d 存放各种脚本和服务脚本的位置
当然还有许多,我记得thm某个房间也有简单了解过动态链接库后门等等等等,当然最常见的应该就是msf给软件注入后门了
最终flag
查看nobody账户的家目录,查看.youfoundme文件
