Investiguer sur la compromission d'un site WordPress : le cas Sherlocks Ultimatum

Mickael Dorigny - ITConnect - 05/02
Cet article évoque la résolution du challenge Sherlocks Ultimatum de Hack the Box, où nous allons investiguer sur la compromission d'un site web WordPress.

Sommaire

  • I. Présentation
  • II. Forensic : le cas Ultimatum
    • A. Découverte de l'archive et des traces collectées
    • B. Analyse des logs Apache2
    • C. Identification d'un webshell PHP
  • III. Notions abordées
    • A. Du point de vue du défenseur
    • B. Du point de vue de l'analyste forensic
    • C. Du point de vue de l'attaquant
  • IV. Conclusion

I. Présentation

On se retrouve dans cet article pour une nouvelle solution de l'un des challenges d'investigation numérique/forensic nommés Sherlocks et mis à disposition par la plateforme Hack The Box. Dans cet article, nous allons détailler la démarche qui permet de résoudre le Sherlocks Ultimatum, de difficulté "débutant". Il s'agit d'investiguer sur les traces d'une cyberattaque ciblant un serveur Linux via la compromission d'un site WordPress

Cet article sera notamment l'occasion de comprendre comment peut se dérouler concrètement une cyberattaque et quels sont les modes opératoires des attaquants et des analystes en cybersécurité. Cet article sera l'occasion d'étudier un cas concret de compromission d'un serveur Linux et d'un site WordPress, cela en suivant les différentes étapes de l'attaque. Nous découvrions également l'outil LinuxCatScale, utilisé ici pour réaliser une collecte des preuves de compromission.

Lien du challenge : Hack The Box - Sherlocks - Ultimatum

Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque le Sherlocks en question sera indiqué comme "Retired".

Technologies abordéesLinux, WordPress, PHP
Outils utilisésLinuxCatScale, grep, cut

Retrouvez tous nos articles Hack The Box via ce lien :

  • IT-Connect - Articles Hack The Box

II. Forensic : le cas Ultimatum

A. Découverte de l'archive et des traces collectées

J'ai commencé l'investigation sans m'intéresser aux questions qui guident l'exercice et au contexte dans un premier temps, notamment afin de comprendre ce qui avait été exporté, mais aussi pour me mettre dans la situation d'un vrai analyste qui dispose de peu d'informations. Commençons par l'archive qui nous est fournie :

# Décompression de l'archive ZIP $ unzip ultimatum.zip Archive: ultimatum.zip [ultimatum.zip] Ultimatum.tar.gz password: inflating: Ultimatum.tar.gz

Celle-ci contient une autre archive, au format tar.gz :

# Décompression de l'archive tar.gz $ tar xvf Ultimatum.tar.gz ./catscale_out/ ./catscale_out/Docker/ ./catscale_out/Misc/ ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-exec-perm-files.txt ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-pot-webshell-first-1000.txt ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-full-timeline.csv ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-Setuid-Setguid-tools.txt ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-pot-webshell-hashes.txt ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-dev-dir-files.txt ./catscale_out/Misc/ip-172-31-11-131-20230808-0937-dev-dir-files-hashes.txt ./catscale_out/User_Files/ ./catscale_out/User_Files/hidden-user-home-dir.tar.gz ./catscale_out/User_Files/hidden-user-home-dir-list.txt ./catscale_out/System_Info/ […]

Le contenu de l'archive ".tar.gz" nous indique la présence de très nombreux fichiers, tous contenus dans le dossier "catscale_out/". Après quelques recherches, on peut vite découvrir que ces fichiers proviennent d'un outil de collecte de données orienté analyse forensic : LinuxCatScale.

  • Suivez notre tutoriel pour apprendre à utiliser cet outil : Linux CatScale : comment collecter les traces de compromission d’un système Linux ?

Il s'agit d'une solution proposée par WithSecureLabs visant à automatiser et standardiser la collecte des preuves...
[Courte citation de 8% de l'article original]

Loading...