WebStrike Blue Team Lab

해당 문제는 CyberDefenders의 WebStrike문제에 대한 풀이입니다.

---

1. Challenge description

An anomaly was discovered within our company's intranet as our Development team found an unusual file on one of our web servers. Suspecting potential malicious activity, the network team has prepared a pcap file with critical network traffic for analysis for the security team, and you have been tasked with analyzing the pcap.

---

Q1.
Understanding the geographical origin of the attack aids in geo-blocking measures and threat intelligence analysis. What city did the attack originate from?

공격자 ip를 조회해서 위치를 확인하면 된다.

wireshark - statistics - conversations - IPv4 

https://www.geolocation.com/

Q2.
Knowing the attacker's user-agent assists in creating robust filtering rules. What's the attacker's user agent?

이 질문은 117.11.88.124를 출발지로 하는 아무 패킷을 우클릭 follow - tcp stream 에서 user-agent를 쉽게 확인 할 수 있다.

Q3.
We need to identify if there were potential vulnerabilities exploited. What's the name of the malicious web shell uploaded?

공격자 ip를 출발지 ip로 검색하고 shell이 업로드 되었을테니 length를 큰 순서대로 바꾸고 가장 큰 get 방식 패킷을 확인해보니 악성 쉘이였다.

Q4.
Knowing the directory where files uploaded are stored is important for reinforcing defenses against unauthorized access. Which directory is used by the website to store the uploaded files?

이 질문은 위 shell 명이 어떤 디렉토리에 저장되었는지를 보면 된다.

Q5.
Knowing the directory where files uploaded are stored is important for reinforcing defenses against unauthorized access. Which directory is used by the website to store the uploaded files?

이건 아까 conversation에 들어가서 TCP 부분을 확인하면 가장 통신이 많이 된 PORT를 찾을 수 있다.

이것을 가장 의심하면서 답을 넣어보면 알 수 있었다.

Q6.
Understanding the value of compromised data assists in prioritizing incident response actions. What file was the attacker trying to exfiltrate?

공격자 ip를 출발지 목적지 관계없이 검색하고 length를 가장 큰 것으로 검색해서 보았다.

최종적으로 passwd를 확인하려던 것을 보인다.