Mühendisbilir'i Instagramdan takip ediyor musunuz?

TryHackMe ~ Recovery

trayhackme-recovery-muhendisblir-gorsel
trayhackme-recovery-muhendisblir-gorsel

Recovery odası son zamanlarda çözdüğüm en başarılı odaydı.Şimdi sizinle paylaşıyorum.

Öncelikle olayı özetleyeyim :

Alex, Recoverysoft şirketinde çalışıyor.İş arkadaşı Teo dan bir mail alıyor.

Mailde web sunucusunuzu etkileyecek bir güvenlik açığı mevcut ve düzeltilmesi gerekiyor düzeltmek için şu iki dosyayı çalıştırır mısın, şeklinde bir mail.

Fixutil adında bir dosya çalıştırıyor.Sonrasında sunucuya ssh ile bağlanmayı deniyor ve YOU DIDN’T SAY THE MAGIC WORD! Şeklinde yazıların aktıgını görüyor.Sonrasında fixutil in bir zararlı oldugunu anlıyor ve sunucudaki dosyaların şifrelendiğini farkediyor.

Bizden istediği ise web sunucusunu onarmak.Hadi başlayalım

 

                          

Açık portları tespit ettikten sonra olayı görmek adına ssh ile bağlantı sağlıyorum ve karşıma bu çıkıyor.

İp ye gittiğimde ise ,

Fakat bana 1337 portu ile bağlan diyor ve

I have setup a control panel to track your progress on port 1337. Access it via your web browser. As you repair the damage, you can refresh the page to receive those “flags” I know you love hoarding.

Kaynak kodu görüntülüyorum ve bir not görüyorum

Burada herhangi hacking işlemi yapmama gerek olmadıgını söylüyor ve yoluma elimde olan tek bulgu ssh ile devam ediyorum.

 

Burada bashrc ve bashrc.backup dosyalarına bakmam gerekiyor.

 

Şimdi sayfayı yenile ve ilk flagı bul .

 

 

Şimdi cron.d görüntülemek için pspy adlı tool u kuralım.

Pspy , cron job detection yapmamızı sağlayacak. kısaca process monitoring diyebiliriz.

Pspy kali nizde kurulu değilse :

Ben pspy64 kurmuştum.Şimdi devam edelim.(pspy yi kurtarmaya çalıştıgımız sunucuya kurduk)

 

Backup incelemeyi ghidra aracı ile yapıyorum.

Ghidra nedir, ücretsiz bir tersine mühendislik aracıdır. Tersine mühendislik araçları yürütülebilir hale getirilmiş kodları(genelde asm kodları) kaynak koda dönüştürerek kullanıcıların kodların nasıl çalıştığını anlamasını sağlıyor.

Kurulum için :

https://ghidra-sre.org/InstallationGuide.html

 

Jdk kurulu değilse bu hatayı alacaksınız :

Kuruluysa direk ./ ile çalıştırabilirsiniz.

Ghidra Kullanımı :

Decompile edilmiş kısımda bazı bilgileri görüyorum ve bana anlatmaya çalıştıgı olayı anlamak için bu dizinlere gidiyorum.

Burada bir backup daha görüyorum ve çekiyorum. Sonra o backup ı da ghidrada açıyorum.

 

 

 

Strings ile admin.backup içine bakalım :

 

Bunuda export ettikten sonra ghidrada açalım.

 

Ve içerdeyiz 😊

 

3.flag için libloggin.so daki bilgileri kullanarak ilerliyorum.

lib/x86_64-linux-gnu#  dizinine git

İstediği şeyi yapıyorum :

Flag 2 de geldi

 

 

Şimdi geldik ssh rsa kullanmaya

Nano yada vim ile securit:x:0 ı silelim

Direk buradan da silebilirsiniz :

Şimdi çıkan kısmı kopyalayalım

 

Şimdi aynısını realleyimportant.txt için yapalım :

Son olarak aynı şeyi todo.html için yapıyoruz :

Kaydet ve asıl sayfamıza dön bak

 

Sonuc ==>  pspy ile process monitoring yaptık  , ghidra backupları görüntülememize ve mesajları görmemize yardımcı oldu .Phishing mağduru Alex i ve zararlı bulaşmış Ubuntu sunucumuzu kurtarmış olduk ve beraberinde şifreli dosyaları kurtardık .