Merhabalar Bugün cyberdefenders.org Sitesindeki (İnsider Lab'ı Çözmeye Calışacağız.
Tamam CyberDefenders girdik ve webstrike lab geldik şimdi solda
open
yazan yere tıklayalım makinemiz açılsın Bu işlem Biraz Uzun sürebilir bekleyelim.
Tamam makinemiz Açıldı Şimdi Gidip siteye bakalım Bizden Ne istiyor Ve Senaryo Neymiş
SENARYO : Bir şirket web sunucusunda şüpheli bir dosya tanımlandı ve intranet içinde alarmlar yükseltti. Geliştirme ekibi anomaliyi işaretleyerek potansiyel kötü niyetli faaliyetlerden şüphelendi. Sorunu ele almak için ağ ekibi kritik ağ trafiğini yakaladı ve inceleme için bir PCAP dosyası hazırladı.Göreviniz, dosyanın nasıl göründüğünü ortaya çıkarmak ve yetkisiz etkinliğin kapsamını belirlemek için verilen PCAP dosyasını analiz etmektir.
Tamam Kısaca Bir şüpheli Dosyayı Analiz Edeceğiz
1 - SORU
Saldırının coğrafi kökeninin dengelenmesi, coğrafi engelleme önlemlerinin uygulanmasını ve tehdit istihbaratının analizini kolaylaştırır. Saldırı hangi şehirden kaynaklandı?
Not: Laboratuar makinelerinin internet erişimi yoktur. IP adresini aramak ve bu adımı tamamlamak için laboratuvar ortamı dışındaki yerel bilgisayarınızda bir IP coğrafi konum hizmeti kullanın.Hemen geri dönuyorum
START Here
Tıklayalım.
TAMAM Burda Artifactsa girelim Tools Kısmında Kullancagımız uygulamalar var
Burda Pcap Dosyamızı Görebiliyoruz Çift Tıklayalım Wireshark İle açılacaktır
Tamam Burda İsteklerin Gittiğini Görebiliyoruz Soruda Bizden İp bulmamızı Ve Coğrafi Konumunu İstiyordu Hemen Ozaman İsteklere Bakalım
Tıklayalım.
TAMAM Burda Artifactsa girelim Tools Kısmında Kullancagımız uygulamalar var
Burda Pcap Dosyamızı Görebiliyoruz Çift Tıklayalım Wireshark İle açılacaktır
Tamam Burda İsteklerin Gittiğini Görebiliyoruz Soruda Bizden İp bulmamızı Ve Coğrafi Konumunu İstiyordu Hemen Ozaman İsteklere Bakalım
Kod:
http.request.method==GETPeki Nedir Bu Biz Karşı taraftan Gelen İsteklere bakacağımız İçin Request Kullandık ve Get Methodu ile url istek attık
Hemen bunu Patch ekleyelim
Ve Enterlayalım isteklere bakalım
Ve burda bir İsteğe 403 gidiyor ve http get ile bunun ipsini bir aratalım
Ve evet İP sıradışı istek attığı İçin İsteği aradık ve Sonucu bulduk.
Cevap: Tianjin
2-SORU
Saldırganın kullanıcı ajanını bilmek, sağlam filtreleme kuralları oluşturmaya yardımcı olur. Saldırganın tam kullanıcı aracısı nedir?
yani kullandığı işletim sistemini soruyor bunuda atıığı ip adresi ve isteklerle bulabiliriz.
Cevap: Tianjin
2-SORU
Saldırganın kullanıcı ajanını bilmek, sağlam filtreleme kuralları oluşturmaya yardımcı olur. Saldırganın tam kullanıcı aracısı nedir?
yani kullandığı işletim sistemini soruyor bunuda atıığı ip adresi ve isteklerle bulabiliriz.
Bunun için (ip.addr == 117.11.88.124) kullanıyoruz ip
ip adresine sağ tık yaptıgımızda (FOLLOW> TCP STREAM GİRELİM)
en başta user agenti görüyoruz ve cevabımızıda
Cevap: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
3-soru
Herhangi bir güvenlik açıkının kullanılıp yararlanmadığını belirlememiz gerekir. Başarılı bir şekilde yüklenen kötü niyetli web kabuğunun adı nedir?
Cevap: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
3-soru
Herhangi bir güvenlik açıkının kullanılıp yararlanmadığını belirlememiz gerekir. Başarılı bir şekilde yüklenen kötü niyetli web kabuğunun adı nedir?
gine http.request.method==GET ile isteklere bakacagız çünkü bir dosya yüklendiği için gelen isteklere bakmamız lazım
gine followdan Tcp streama girelim ve sırayla sayfa ilerleyince
File Upload Succesfully dediğini görüyoruz
Cevap: image.jpg.php
4 - Soru
Yüklenen dosyaların depolandığı dizinin dentlenmesi, savunmasız sayfayı bulmak ve kötü amaçlı dosyaların kaldırılması için çok önemlidir. Yüklenen dosyaları depolamak için web sitesi tarafından hangi dizin kullanılır?
Direk Hiç Çıkmadan Ne yaptığını görüyoruz ettiğini görüyoruz
Cevap:/reviews/uploads
5-Soru
Saldırganın makinesinde hangi bağlantı noktası açılan, yetkisiz giden iletişim kurmak için kötü niyetli web kabuğu tarafından hedeflendi?
yani portu soruyor ne kullandığını
Cevap:/reviews/uploads
5-Soru
Saldırganın makinesinde hangi bağlantı noktası açılan, yetkisiz giden iletişim kurmak için kötü niyetli web kabuğu tarafından hedeflendi?
yani portu soruyor ne kullandığını
Gine İp sorguluyoruz 404 not found yazıyor dikkatimi çekti belki saldırgan bunu kullanmıştır
bakalım bi içine Follow Tcp Stream
Evet saldırganın kullandığı Php kodunu Ve ip adres ve portu görüyoruz.
Cevap: 80
6- Soru
Meydan okulu verilerin önemini tanımak, olay müdahale eylemlerine öncelik verilmeye yardımcı olur. Saldırgan hangi dosyayı dışarı atmaya çalışıyordu?
Tamam Gine Laba Dönelim
Kenardan Sayfayı Değiştirdiğimiz Zaman History Karşımıza Çıkıyor Saldırgan İlk önce /etc/passwd Okumuş
Birazdaha Aşağı indimizde
CURL ile paketi dışarı atmaya çalışmış
Cevap: Passwd
Cevap: Passwd
VE LABIMIZDA BİTTİ
Son düzenleme:
Öğrenmek isteyen arkadaşlar için güzel bir kaynak olmuş. Tabi bu kaynağı bize gösteren değerli 
