IT-Planet_Security_Seriy
IT-Planet Security Task 1 (Seriy)
Этапы нападения на ресурс
Этап 1. Разведка - nmap
Для получения какой-либо информации злоумышленник использует утилиту nmap, которая сканирует открытые порты жертвы.
Пролистав мы находим GET запрос, на сканирование жертвы:
Frame 132327: GET /nmaplowercheck1706550372
Значит злоумышленник использовал nmap с аргументами -sV
Исходя из анализа сетевого трафика и использовав фильтр по TCP протоколу:
Злоумышленник узнает про следующие открытые порты:
- 139 - NetBIOS
- 8080 - HTTP
- 25 -SMTP
- 3306 - MySQL
- 443 - SSL (HTTPS)
- 445 - Active Directory
- 80 - HTTP
- 22 - SSH
- 21 - FTP
Этап 2. Реализация
В результате анализа трафика обнаружены попытки взлома, такие как:
-
Remote File Inclusion (удаленное включение файлов);
Запуск Reverse Shell (удаленного терминала для управления жертвой)
- Command Injection (командная инъекция)
Запрос
Ответ
Этап 3. Исполнение
После RFI и загрузки RevShell злоумышленник получает доступ к странице bWAPP/login.php и производит дальнейшую эксплуатацию системы, в виде получения доступа к приватной странице bWAPP/portal.php.
Заключение
В результате анализа дампа сетевого трафика было обнаружено использование RFI - с последующей эксплуатацией в виде ReverseShell и Command Injection уязвимостей.
Целью атаки было получение несанкционированного доступа к ресурсам жертвы и исполнение произвольного кода.