Sommaire
On se retrouve dans cet article pour une nouvelle solution de l'un des challenges d'investigation numérique/forensic nommés Sherlocks et mis à disposition par la plateforme Hack The Box. Dans cet article, nous allons détailler la démarche qui permet de résoudre le Sherlocks Ultimatum, de difficulté "débutant". Il s'agit d'investiguer sur les traces d'une cyberattaque ciblant un serveur Linux via la compromission d'un site WordPress
Cet article sera notamment l'occasion de comprendre comment peut se dérouler concrètement une cyberattaque et quels sont les modes opératoires des attaquants et des analystes en cybersécurité. Cet article sera l'occasion d'étudier un cas concret de compromission d'un serveur Linux et d'un site WordPress, cela en suivant les différentes étapes de l'attaque. Nous découvrions également l'outil LinuxCatScale, utilisé ici pour réaliser une collecte des preuves de compromission.
Lien du challenge : Hack The Box - Sherlocks - Ultimatum
Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque le Sherlocks en question sera indiqué comme "Retired".
| Technologies abordées | Linux, WordPress, PHP |
| Outils utilisés | LinuxCatScale, grep, cut |
Retrouvez tous nos articles Hack The Box via ce lien :
J'ai commencé l'investigation sans m'intéresser aux questions qui guident l'exercice et au contexte dans un premier temps, notamment afin de comprendre ce qui avait été exporté, mais aussi pour me mettre dans la situation d'un vrai analyste qui dispose de peu d'informations. Commençons par l'archive qui nous est fournie :
# Décompression de l'archive ZIP $ unzip ultimatum.zip Archive: ultimatum.zip [ultimatum.zip] Ultimatum.tar.gz password: inflating: Ultimatum.tar.gz Celle-ci contient une autre archive, au format tar.gz :
# Décompression de l'archive tar.gz $ tar xvf Ultimatum.tar.gz ./catscale_out/ ./catscale_out/Docker/ ./catscale_out/Misc/ ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-exec-perm-files.txt ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-pot-webshell-first-1000.txt ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-full-timeline.csv ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-Setuid-Setguid-tools.txt ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-pot-webshell-hashes.txt ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-dev-dir-files.txt ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-dev-dir-files-hashes.txt ./catscale_out/User_Files/ ./catscale_out/User_Files/hidden-user-home-dir.tar.gz ./catscale_out/User_Files/hidden-user-home-dir-list.txt ./catscale_out/System_Info/ […] Le contenu de l'archive ".tar.gz" nous indique la présence de très nombreux fichiers, tous contenus dans le dossier "catscale_out/". Après quelques recherches, on peut vite découvrir que ces fichiers proviennent d'un outil de collecte de données orienté analyse forensic : LinuxCatScale.
Il s'agit d'une solution proposée par WithSecureLabs visant à automatiser et standardiser la collecte des preuves...
[Courte citation de 8% de l'article original]