Slingshot

Contenido

Pregunta 1 3

Pregunta 2 3

Pregunta 3 4

Pregunta 4 4

Pregunta 5 5

Pregunta 6 5

Pregunta 7 6

Pregunta 8 6

Pregunta 9 7

Pregunta 10 8

Pregunta 11 9

Pregunta 12 9

Pregunta 13 9

Pregunta 14 10

Vamos a comenzar accediendo a la ip que nos proporciona tryhackme con sus credenciales:

Lo siguiente será setear el filtro de tiempo con inicio de 26 de julio de 2023 que según la empresa es cuando comenzó las actividades sospechosas:

El siguiente paso que daremos será añadir estos 4 campos a nuestro filtro:

Pregunta 1

Nos piden la ip del atacante , si posicionamos el curos encima del campo transaction.remote.adress:

Vemos como mas del 80% del trafico remoto viene de la 10.0.2.15 asi que vamos a suponer que ese es el atacante.

Pregunta 2

Para esta segunda pregunta una vez hemos filtrado por dicha ip vamos a ordenarlos de mas antiguos a mas nuevos:

(Sort old-new)

Y vemos lo siguiente:

Y parece que lo primero que hizo el atacante fue un nmap (nmap scripting engine)

Pregunta 3

Para este ejercicio nos piden el user agent utilizado para la enumeración de directorios. Como es una enumeración de directorios seguramente habrá muchos errores 404 , asi que vamos a filtrar por los errores 404 posando el raton encima y añadiéndolo al filtro:

Parece que hizo una enumeración típica con gobuster:

Pregunta 4

Para esta pregunta solo necesitamos mirar el filtro de la pregunta anterior para ver el numero de hits 404 que genero:

Es decir 1867

Pregunta 5

Aquí nos piden la flag que encontró el atacante , para ello primero vamos a filtrar por el código 200 en vez del 404 ya que el 200 es un ok:

Como podemos ver tenemos 203 coincidencias.Si bajamos un poco:

Vemos la flag.

Pregunta 6

Ahora nos piden la web de login , puesto que mirando los códigos 200 no encontramos nada y los 404 tampoco van a ser vamos a modificar el filtro para que no nos busque ni por uno ni por otro:

Ademas añadiremos el filtro de que busque por el user-agent de gobuster que es el que enumera directorios:

Y vemos lo siguiente:

Asi que ya tendríamos el login.

Pregunta 7

Dado que nos piden el user-agent utilizado en el ataque de fuerza bruta , vamos a filtrar esta vez por los códigos de respuesta 401 que son los no autorizados:

Y como podemos ver el resultado es nuestra famosa herramienta hydra.

Pregunta 8

Para esta pregunta nos piden el usuario y contraseña utilizados por el atacante en el login , para ello primero utilizaremos el filtro con el código 200 y el user-agent (hydra):

Y nos da el siguiente resultado:

Si clickamos donde dice “toggle dialog with details”:

Vemos ese tipo de información , nos llama la atención el campo request.headers.authorization que parece un hash.Vamos a descifrarlo:

Y parece que teníamos un base 64.

Pregunta 9

Ahora nos pregunta por la flag que iba dentro del archivo que uploadeo el atacante desde el directorio admin , asi que vamos a filtrar por ese directorio:

Y vemos distintos eventos:

Aunque de todos me llama la atención el tercero vamos a abrirlo y ver si vemos algo:

Efectivamente en el campo message estaba la flag.

Pregunta 10

Ahora nos pide el primer comando que ejecuto con la webshell , asi que vamos a filtrar por códigos 200 , y el nombre del archivo que uploadeo el atacante que lo sacamos de la pregunta anterior:

Y tras el filtro podemos ver que lo primero que ejecuto fue un whoami:

Pregunta 11

Nos piden la ruta de las cuales el atacante saco las credenciales de la base de datos , anteriormente cuando filtramos por código 200 y /admin/* vimos una ruta sospechosa:

Y como el atacante realizo muchas consultas a ese directorio y además se descargo la base de datos suponemos que las saco de ahí. (etc/phpmyadmin/)

Pregunta 12

Esta es muy fácil , nos piden el directorio de donde accedió a la base de datos:

/phpmyadmin

Pregunta 13

Ahora nos piden la base de datos que exporto , para ello vamos a filtrar por el directorio de la pregunta 12 :

Ademas añadi la palabra export para ver si tenia suerte:

Ahora ya solo faltaría abrir el evento y ver el nombre de la base de datos que exporto:

Y parece que la base de datos se llamaba: “customer_credit_cards”

Pregunta 14

Para la ultima pregunta nos pide que flag añadió el atacante a la base de datos asi que cambiamos el filtro de export , a import:

Y luego pues lo mismo ir dentro del evento en el mensaje a ver que flag metio:

Parece que en todas las consultas aparece el mismo código en todos los insert que hace en la base de datos.Asi que esa será la flag.