티스토리 뷰
해당 문제는 CyberDefenders의 Tomcat Takeover 문제에 대한 풀이입니다.
1. Challenge description
Our SOC team has detected suspicious activity on one of the web servers within the company's intranet.
In order to gain a deeper understanding of the situation, the team has captured network traffic for analysis. This pcap file potentially contains a series of malicious activities that have resulted in the compromise of the Apache Tomcat web server. We need to investigate this incident further.
Q1.
Given the suspicious activity detected on the web server, the pcap analysis shows a series of requests across various ports, suggesting a potential scanning behavior. Can you identify the source IP address responsible for initiating these requests on our server?
wireshark로 문제 파일을 열고 statistics의 conversatinons에서 통계를 확인해보니 아래 사진에서의 한 ip와의 통신량이 월등히 많았다.
Q2.
Based on the identified IP address associated with the attacker, can you ascertain the city from which the attacker's activities originated?
공격자 IP를 조회해보면 위치가 나온다.
Q3.
From the pcap analysis, multiple open ports were detected as a result of the attacker's activitie scan. Which of these ports provides access to the web server admin panel?
일단 port를 확인해야하기에 아까 statistics의 conversatinons의 TCP 부분을 확인해보고 공격자 IP로 조회를 해보니 아래와 같이 8080포트에서 통신이 많이 일어난것을 확인할 수 있었다.
Q4.
Following the discovery of open ports on our server, it appears that the attacker attempted to enumerate and uncover directories and files on our web server. Which tools can you identify from the analysis that assisted the attacker in this enumeration process?
해당 문제는 지금까지 알아낸 정보를 토대로 user-agent를 알아내야한다.
아래 사진처럼 검색 후 packet 하나를 우클릭 후 follow - HTTP stream을 확인한다.
Q5.
Subsequent to their efforts to enumerate directories on our web server, the attacker made numerous requests trying to identify administrative interfaces. Which specific directory associated with the admin panel was the attacker able to uncover?
해당 문제는 network miner를 통해서 protocol을 확인해보니 manager파일부분에 Httpgetchunked라고 있었다.
Q6.
Upon accessing the admin panel, the attacker made attempts to brute-force the login credentials. From the data, can you identify the correct username and password combination that the attacker successfully used for authorization?
Network miner에서 Credencials 부분에 보면 자격증명한 내용들이 담겨있다. 혹시 몰라 wireshark를 통해서도 확인을 해줬다.
Q7.
Once inside the admin panel, the attacker attempted to upload a file with the intent of establishing a reverse shell. Can you identify the name of this malicious file from the captured data?
해당 문제는 network miner의 보이는 file에서 공격자 ip가 source host인 파일을 찾는 문제이다.
Q8.
Upon successfully establishing a reverse shell on our server, the attacker aimed to ensure persistence on the compromised machine. From the analysis, can you determine the specific command they are scheduled to run to maintain their presence?
해당 문제에서 애를 많이 먹었다.
여러 삽질을 하다가 아까 공격자가 관리자의 아이디와 패스워드를 알아냈을 시점으로 돌아가서 생각했다.
예약 실행을 시키려면 일단 해당 서버나 pc에 침투를 해야한다. 그래서 아이디와 패스워드를 알아낸 패킷의 다음 패킷을 찾아보았다.
'CTF > CyberDefenders' 카테고리의 다른 글
| WebStrike Blue Team Lab (0) | 2024.07.28 |
|---|---|
| 3CX Supply Chain Blue Team Lab (0) | 2024.07.26 |
| PoisonedCredentials Blue Team Lab (0) | 2024.07.25 |
| Insider Blue Team Lab (0) | 2024.07.25 |
| Web Investigation Blue Team Lab (0) | 2024.07.04 |