Share
## https://sploitus.com/exploit?id=1172256A-6F7D-5B4C-A3C0-E3F88EA38C7B
# ΠžΡ‚Ρ‡Ρ‘Ρ‚ ΠΏΠΎ ΡƒΡ‡Π΅Π±Π½ΠΎΠΉ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅

## Π‘ΠΎΠ΄Π΅Ρ€ΠΆΠ°Π½ΠΈΠ΅

- [1. Π’Π²Π΅Π΄Π΅Π½ΠΈΠ΅](#1-Π²Π²Π΅Π΄Π΅Π½ΠΈΠ΅)
    - [1.1 Π¦Π΅Π»ΠΈ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ](#11-Ρ†Π΅Π»ΠΈ-ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ)
    - [1.2 Π˜Π½Π΄ΠΈΠ²ΠΈΠ΄ΡƒΠ°Π»ΡŒΠ½ΠΎΠ΅ Π·Π°Π΄Π°Π½ΠΈΠ΅ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ](#12-ΠΈΠ½Π΄ΠΈΠ²ΠΈΠ΄ΡƒΠ°Π»ΡŒΠ½ΠΎΠ΅-Π·Π°Π΄Π°Π½ΠΈΠ΅-ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ)
    - [1.4 Π›Π΅Π³Π΅Π½Π΄Π° ΠΊ ΠΈΠ½Π΄ΠΈΠ²ΠΈΠ΄ΡƒΠ°Π»ΡŒΠ½ΠΎΠΌΡƒ заданию](#14-Π»Π΅Π³Π΅Π½Π΄Π°-ΠΊ-ΠΈΠ½Π΄ΠΈΠ²ΠΈΠ΄ΡƒΠ°Π»ΡŒΠ½ΠΎΠΌΡƒ-заданию)
- [2. ΠŸΡ€Π°ΠΊΡ‚ΠΈΡ‡Π΅ΡΠΊΠ°Ρ Ρ‡Π°ΡΡ‚ΡŒ](#2-практичСская-Ρ‡Π°ΡΡ‚ΡŒ)
    - [2.1 ΠŸΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²ΠΊΠ° ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»ΠΎΠ²](#21-ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²ΠΊΠ°-ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»ΠΎΠ²)
    - [2.2 Анализ Π΄Π°Π½Π½Ρ‹Ρ… Π΄Π°ΠΌΠΏΠ° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°](#22-Π°Π½Π°Π»ΠΈΠ·-Π΄Π°Π½Π½Ρ‹Ρ…-Π΄Π°ΠΌΠΏΠ°-Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°)
    - [2.3 Π₯ΠΎΠ΄ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ](#23-Ρ…ΠΎΠ΄-ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ…-Π°Ρ‚Π°ΠΊ)
    - [2.4 Π˜Ρ‚ΠΎΠ³ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ](#24-ΠΈΡ‚ΠΎΠ³-ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ…-Π°Ρ‚Π°ΠΊ)
- [3. Π—Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅](#3-Π·Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅)
- [4. Бписок ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»ΠΎΠ²](#4-список-ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ…-ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»ΠΎΠ²)

## 1. Π’Π²Π΅Π΄Π΅Π½ΠΈΠ΅

### 1.1 Π¦Π΅Π»ΠΈ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ

- Π˜Π·ΡƒΡ‡Π΅Π½ΠΈΠ΅ возмоТностСй ΠΈ интСрфСйса ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ **Wireshark**
- Π Π°Π·Π²ΠΈΡ‚ΠΈΠ΅ Π½Π°Π²Ρ‹ΠΊΠΎΠ² Π°Π½Π°Π»ΠΈΠ·Π° сСтСвого Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°
- ПониманиС Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… Ρ‚ΠΈΠΏΠΎΠ² ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ
- ΠŸΡ€Π°ΠΊΡ‚ΠΈΡ‡Π΅ΡΠΊΠΎΠ΅ ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ тСорСтичСских Π·Π½Π°Π½ΠΈΠΉ ΠΏΠΎ кибСрбСзопасности

### 1.2 Π˜Π½Π΄ΠΈΠ²ΠΈΠ΄ΡƒΠ°Π»ΡŒΠ½ΠΎΠ΅ Π·Π°Π΄Π°Π½ΠΈΠ΅ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ

Π—Π°Π΄Π°Ρ‡Π΅ΠΉ Π²ΠΎ врСмя прохоТдСния ΡƒΡ‡Π΅Π±Π½ΠΎΠΉ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ являСтся Π°Π½Π°Π»ΠΈΠ· сСтСвого Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° Π½Π° ΠΏΡ€Π΅Π΄ΠΌΠ΅Ρ‚ наличия ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ (Π΄Π°Π»Π΅Π΅ β€” КА). ПослС выявлСния КА студСнту Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ произвСсти максимально ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎΠ΅ описаниС КА с ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ ΡƒΠΊΠ°Π·Π°Π½ΠΈΠ΅ΠΌ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΡ… ΠΏΡƒΠ½ΠΊΡ‚ΠΎΠ²:

- Π΄Π°Ρ‚Π° ΠΈ врСмя провСдСния КА;
- IP-адрСс Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅Π³ΠΎ;
- IP-адрСс ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹;
- Π²ΠΈΠ΄ КА (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€: ΠΏΠΎΠ΄Π±ΠΎΡ€ пароля ΠΊ сСрвису FTP, эксплуатация уязвимости MS17-010, XSS, сканированиС ΠΈ Ρ‚.Π΄.);
- ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΡΡ‚ΡŒ КА (ΡƒΡΠΏΠ΅ΡˆΠ½Π° ΠΈΠ»ΠΈ Π½Π΅ΡƒΡΠΏΠ΅ΡˆΠ½Π° ΠΈ ΠΏΠΎΡ‡Π΅ΠΌΡƒ);
- Π² случаС ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΡΡ‚ΠΈ КА ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ Π΅Ρ‘ влияниС Π½Π° систСму (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€: ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ административного доступа ΠΊ сСрвСру ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° Telnet, ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ Π½Π΅ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ доступа ΠΊ сСрвСру с ΠΏΡ€Π°Π²Π°ΠΌΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ oracle);
- Π² случаС ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΡΡ‚ΠΈ КА ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ дальнСйшиС дСйствия Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€: Π²Ρ‹Π²ΠΎΠ΄ систСмы ΠΈΠ· строя, ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ, ΠΊΡ€Π°ΠΆΠ° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, модификация ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, использованиС скомпромСтированной систСмы Π² своих цСлях, Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠ° врСдоносного ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния ΠΈ Ρ‚.Π΄.).

ОписаниС КА приводится с ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ описаниСм зафиксированной врСдоносной активности ΠΈ прСдставлСниСм ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚ΠΎΠ², листингов ΠΊΠΎΠ΄Π° ΠΈ Ρ‚.Π΄.

### 1.3 Π›Π΅Π³Π΅Π½Π΄Π° ΠΊ ΠΈΠ½Π΄ΠΈΠ²ΠΈΠ΄ΡƒΠ°Π»ΡŒΠ½ΠΎΠΌΡƒ заданию

Π£ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Β«Π‘Π΅ΡΠΏΠ΅Ρ€ΡΠΏΠ΅ΠΊΡ‚ΠΈΠ²Π‘ΠΎΠ»ΡŽΡˆΠ½ΡΒ» появились ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹. На Π·Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… Ρ„ΠΎΡ€ΡƒΠΌΠ°Ρ… Ρ€Π°ΡΠΏΡ€ΠΎΡΡ‚Ρ€Π°Π½ΡΡŽΡ‚ΡΡ ΠΏΠ΅Ρ€ΡΠΎΠ½Π°Π»ΡŒΠ½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ Π΅Ρ‘ сотрудников. ΠŸΡ€ΠΎΠ²Π΅Ρ€ΡΡ Ρ†Π΅Π»ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒ Β«Π±Π°Π·Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ…Β» пСрсонала, систСмныС администраторы ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ, Ρ‡Ρ‚ΠΎ Π΄Π°Π½Π½Ρ‹Π΅ оказались Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Ρ‹. Руководство ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅Ρ‚, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΈΡ‡ΠΈΠ½ΠΎΠΉ возникновСния этих ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ ΠΌΠΎΠ³Π»Π° ΡΡ‚Π°Ρ‚ΡŒ Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠ° ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ ΠΈ поэтому Ρ€Π΅ΡˆΠΈΠ»ΠΎ Π·Π°ΠΏΡ€ΠΎΡΠΈΡ‚ΡŒ ΠΏΠΎΠΌΠΎΡ‰ΡŒ Ρƒ спСциалистов ΠΏΠΎ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности с Ρ†Π΅Π»ΡŒΡŽ установлСния ΠΏΡ€ΠΈΡ‡ΠΈΠ½ ΠΏΠ΅Ρ‡Π°Π»ΡŒΠ½Ρ‹Ρ… событий ΠΈ восстановлСния доступа ΠΊ ΠΏΠ΅Ρ€ΡΠΎΠ½Π°Π»ΡŒΠ½Ρ‹ΠΌ Π΄Π°Π½Π½Ρ‹ΠΌ сотрудников. Π”Π°ΠΌΠΏ сСтСвого Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° β€” это всё, Ρ‡Ρ‚ΠΎ смогли ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²ΠΈΡ‚ΡŒ систСмныС администраторы для расслСдования, Π½ΠΎ для настоящих профСссионалов это Π½Π΅ Π΄ΠΎΠ»ΠΆΠ½ΠΎ Π±Ρ‹Ρ‚ΡŒ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠΎΠΉ.

---

## 2. ΠŸΡ€Π°ΠΊΡ‚ΠΈΡ‡Π΅ΡΠΊΠ°Ρ Ρ‡Π°ΡΡ‚ΡŒ

### 2.1 ΠŸΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²ΠΊΠ° ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»ΠΎΠ²

Ознакомившись с руководством ΠΏΠΎ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ΅ **Wireshark**, я скачал ΠΈ установил Π΅Ρ‘. Π—Π°Ρ‚Π΅ΠΌ Π·Π°Π³Ρ€ΡƒΠ·ΠΈΠ» Π°Ρ€Ρ…ΠΈΠ² с практичСским Π·Π°Π΄Π°Π½ΠΈΠ΅ΠΌ ΠΈ распаковал Π΅Π³ΠΎ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ прСдоставлСнного пароля. Π’Π½ΡƒΡ‚Ρ€ΠΈ находился Π΄Π°ΠΌΠΏ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° `SPOTask.pcap`, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π±Ρ‹Π» ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ Π² установлСнной ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ΅.

![Π€Π°ΠΉΠ» SPOTask.pcap Π² ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ΅ Wireshark](images/image01.png)

*Рисунок 1 – Π€Π°ΠΉΠ» SPOTask.pcap Π² ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ΅ Wireshark*

### 2.2 Анализ Π΄Π°Π½Π½Ρ‹Ρ… Π΄Π°ΠΌΠΏΠ° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°

ΠžΡ‚ΠΊΡ€Ρ‹Π² свойства Ρ„Π°ΠΉΠ»Π° (рис. 2), ΠΌΠΎΠΆΠ½ΠΎ ΡƒΠ²ΠΈΠ΄Π΅Ρ‚ΡŒ врСмя Π½Π°Ρ‡Π°Π»Π° ΠΈ ΠΊΠΎΠ½Ρ†Π° Π·Π°Ρ…Π²Π°Ρ‚Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΠΈ количСство Π·Π°Ρ…Π²Π°Ρ‡Π΅Π½Π½Ρ‹Ρ… ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ²:

- **ΠŸΠ΅Ρ€Π²Ρ‹ΠΉ ΠΏΠ°ΠΊΠ΅Ρ‚ ΠΎΡ‚ΠΏΡ€Π°Π²Π»Π΅Π½:** 13 апрСля 2024 Π² 16:44:05  
- **ПослСдний ΠΏΠ°ΠΊΠ΅Ρ‚ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½:** 13 апрСля 2024 Π² 17:04:29  
- **Π”Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ Π°Ρ‚Π°ΠΊΠΈ:** 20 ΠΌΠΈΠ½ΡƒΡ‚ 33 сСкунды (1223 сСкунды)

![Бвойства Ρ„Π°ΠΉΠ»Π° SPOTask.pcap](images/image02.png)

*Рисунок 2 – Бвойства Ρ„Π°ΠΉΠ»Π° SPOTask.pcap*

Π’ΠΎ Π²ΠΊΠ»Π°Π΄ΠΊΠ΅ β€œAll Addresses” ΠΎΡ‚ΠΎΠ±Ρ€Π°ΠΆΠ°ΡŽΡ‚ΡΡ всС IP-адрСса, ΠΏΡ€ΠΈΡΡƒΡ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ Π² Π΄Π°ΠΌΠΏΠ΅. Из Π°Π½Π°Π»ΠΈΠ·Π° ΠΏΠ΅Ρ€Π²Ρ‹Ρ… строк Π΄Π°ΠΌΠΏΠ° ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Ρ‹:

- **IP-адрСс Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅Π³ΠΎ:** `10.0.1.85`
- **IP-адрСс ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹:** `10.0.1.88`

![Π’ΠΊΠ»Π°Π΄ΠΊΠ° All Addresses](images/image03.png)

*Рисунок 3 – Π’ΠΊΠ»Π°Π΄ΠΊΠ° β€œAll Addresses”*

Π”Π°Π»Π΅Π΅ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ Π²ΠΈΠ΄Ρ‹ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ, ΠΈΡ… ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΡΡ‚ΡŒ, влияниС Π½Π° систСму ΠΈ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹Π΅ дальнСйшиС дСйствия Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°. Для этого потрСбуСтся Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π΄Π°ΠΌΠΏ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ΠΎΠ², Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΠΎΠ½ΡΡ‚ΡŒ происходящиС события.

### 2.3 Π₯ΠΎΠ΄ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ

Вся Π°Ρ‚Π°ΠΊΠ° ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΠ»Π°ΡΡŒ Π² ΠΎΠ΄Π½Ρƒ Π΄Π°Ρ‚Ρƒ β€” **13.04.2024**.

#### Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ TCP-ΠΏΠΎΡ€Ρ‚ΠΎΠ²

Π’ ΠΏΠ΅Ρ€ΠΈΠΎΠ΄ с **16:44:06** ΠΏΠΎ **16:45:16** с адрСса Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅Π³ΠΎ Π±Ρ‹Π»Π° зафиксирована Π°Ρ‚Π°ΠΊΠ° Β«Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ TCP-ΠΏΠΎΡ€Ρ‚ΠΎΠ²Β» (вСроятно, ΡƒΡ‚ΠΈΠ»ΠΈΡ‚ΠΎΠΉ **nmap**). Атака ΡƒΡΠΏΠ΅ΡˆΠ½Π° β€” ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Ρ‹ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Π΅ ΠΏΠΎΡ€Ρ‚Ρ‹ **80** ΠΈ **22**. Π­Ρ‚ΠΎ Π²ΠΈΠ΄Π½ΠΎ Π² Π΄Π°ΠΌΠΏΠ΅ ΠΊΠ°ΠΊ Β«TCP HandshakeΒ».

![Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ TCP-ΠΏΠΎΡ€Ρ‚ΠΎΠ²](images/image04.png)  
*Рисунок 4 – Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ TCP-ΠΏΠΎΡ€Ρ‚ΠΎΠ²*

#### ΠŸΠ΅Ρ€Π΅Π±ΠΎΡ€ Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΉ

Π‘ **16:45:16** ΠΏΠΎ **16:59:22** зафиксирована Π°Ρ‚Π°ΠΊΠ° Β«ΠŸΠ΅Ρ€Π΅Π±ΠΎΡ€ Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΉΒ» с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ **gobuster** (ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΎ ΠΏΠΎ User-Agent). Атака ΡƒΡΠΏΠ΅ΡˆΠ½Π° β€” Π½Π°ΠΉΠ΄Π΅Π½Π° дирСктория **wp-admin**.

![ΠŸΠ΅Ρ€Π΅Π±ΠΎΡ€ Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΉ gobuster](images/image05.png)  
*Рисунок 5 – ΠŸΠ΅Ρ€Π΅Π±ΠΎΡ€ Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΉ gobuster*

#### ИсслСдованиС интСрфСйса ΠΈ рСгистрация ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ

ПослС ΠΏΠ΅Ρ€Π΅Π±ΠΎΡ€Π° Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΉ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ Π²Ρ€ΡƒΡ‡Π½ΡƒΡŽ исслСдовал интСрфСйс Π²Π΅Π±-прилоТСния, ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ» ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΡƒΡŽ Ρ„ΠΎΡ€ΠΌΡƒ рСгистрации ΠΈ зарСгистрировал ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ.

![РСгистрация ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ](images/image06.png)  
*Рисунок 6 – РСгистрация ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ*

#### Эксплуатация уязвимости CVE-2022-1329

Π’ ΠΏΠ΅Ρ€ΠΈΠΎΠ΄ с **16:50:04** ΠΏΠΎ **16:50:07** зафиксирована эксплуатация уязвимости **CVE-2022-1329** Π² ΠΏΠ»Π°Π³ΠΈΠ½Π΅ WordPress Element (вСрсии 3.6.0–3.6.2), ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅ΠΉ Π·Π°Π³Ρ€ΡƒΠΆΠ°Ρ‚ΡŒ ΠΈ Π·Π°ΠΏΡƒΡΠΊΠ°Ρ‚ΡŒ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½Ρ‹Π΅ PHP-Ρ„Π°ΠΉΠ»Ρ‹ (**ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎΠ΅ исполнСниС ΠΊΠΎΠ΄Π°**). Атака ΡƒΡΠΏΠ΅ΡˆΠ½Π° β€” ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΎ ΠΎΠ±Ρ€Π°Ρ‚Π½ΠΎΠ΅ соСдинСниС Π½Π° ΠΏΠΎΡ€Ρ‚ **4444**.

![Эксплуатация CVE-2022-1329](images/image07.png)  
*Рисунок 7 – Эксплуатация CVE-2022-1329*

![Листинг ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠΉ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ](images/image08.png)  
*Рисунок 8 – Листинг ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠΉ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ*

#### Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π½Π° SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΠΈ

Π‘ **16:51:00** ΠΏΠΎ **16:51:11** β€” ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠ° сканирования Π²Π΅Π±-прилоТСния Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΠΉ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ **sqlmap** (ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΎ ΠΏΠΎ User-Agent). Атака Π½Π΅ΡƒΡΠΏΠ΅ΡˆΠ½Π° β€” сканированиС остановлСно Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΌ.

![Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ sqlmap](images/image09.png)  
*Рисунок 9 – Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ sqlmap*

#### ΠŸΠ΅Ρ€Π΅Π±ΠΎΡ€ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ

Π‘ **16:51:53** ΠΏΠΎ **16:53:13** β€” ΠΏΠ΅Ρ€Π΅Π±ΠΎΡ€ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ для ΡƒΡ‡Ρ‘Ρ‚Π½ΠΎΠΉ записи **admin** с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ **Hydra**. Атака Π½Π΅ΡƒΡΠΏΠ΅ΡˆΠ½Π° β€” ΠΏΠ°Ρ€ΠΎΠ»ΡŒ Π½Π΅ ΠΏΠΎΠ΄ΠΎΠ±Ρ€Π°Π½.

![ΠŸΠ΅Ρ€Π΅Π±ΠΎΡ€ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ Hydra](images/image10.png)  
*Рисунок 10 – ΠŸΠ΅Ρ€Π΅Π±ΠΎΡ€ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ Hydra*

#### ΠŸΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ систСмных Ρ„Π°ΠΉΠ»ΠΎΠ²

Π‘ **16:54:39** ΠΏΠΎ **16:55:53** β€” установлСно Π½ΠΎΠ²ΠΎΠ΅ ΠΎΠ±Ρ€Π°Ρ‚Π½ΠΎΠ΅ соСдинСниС ΠΏΠΎ ΠΏΠΎΡ€Ρ‚Ρƒ **443**. ΠΡ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ скачал Ρ„Π°ΠΉΠ»Ρ‹ **/etc/passwd** ΠΈ **/etc/shadow** (содСрТат ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ систСмы ΠΈ Π·Π°Ρ…Π΅ΡˆΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΏΠ°Ρ€ΠΎΠ»ΠΈ).

![ΠŸΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ /etc/passwd ΠΈ /etc/shadow](images/image11.png)  
*Рисунок 11 – ΠŸΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ /etc/passwd ΠΈ /etc/shadow*

![Π‘ΠΎΠ΄Π΅Ρ€ΠΆΠΈΠΌΠΎΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ²](images/image12.png)  
*Рисунок 12 – Π‘ΠΎΠ΄Π΅Ρ€ΠΆΠΈΠΌΠΎΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ²*

#### Доступ ΠΊ SSH

Π’ **16:57:09** Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ, ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ² ΠΏΠ°Ρ€ΠΎΠ»ΡŒ root, ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡ΠΈΠ»ΡΡ ΠΊ **ssh-сСрвису**. Π’Ρ€Π°Ρ„ΠΈΠΊ ssh Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½, поэтому дСйствия нСизвСстны, Π½ΠΎ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π±Ρ‹Π»ΠΈ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Ρ‹ дальнСйшиС Π°Ρ‚Π°ΠΊΠΈ.

![ΠŸΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΊ SSH](images/image13.png)  
*Рисунок 13 – ΠŸΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΊ SSH*

#### Установка web shell ΠΈ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ Π΄Π°Π½Π½Ρ‹Ρ…

Π’ **16:59:22** Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ обратился ΠΊ рСсурсу **wp-admin-support.php** β€” ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ ΠΎΠ±ΠΎΠ»ΠΎΡ‡ΠΊΠ΅ для ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎΠ³ΠΎ управлСния сСрвСром, ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π·Π°Π³Ρ€ΡƒΠΆΠ΅Π½Π½ΠΎΠΉ Ρ‡Π΅Ρ€Π΅Π· ssh. ПослС этого ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ» доступ ΠΊΠΎ всСм Π΄Π°Π½Π½Ρ‹ΠΌ сСрвСра.

![Доступ ΠΊ web shell](images/image14.png)  
*Рисунок 14 – Доступ ΠΊ web shell*

![Π”Π°Π½Π½Ρ‹Π΅ сСрвСра](images/image15.png)  
*Рисунок 15 – Π”Π°Π½Π½Ρ‹Π΅ сСрвСра*

#### ΠšΡ€Π°ΠΆΠ° ΠΏΠ΅Ρ€ΡΠΎΠ½Π°Π»ΡŒΠ½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…

Π‘ **16:59:22** ΠΏΠΎ **17:04:12** ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½Π° послСдняя стадия Π°Ρ‚Π°ΠΊΠΈ β€” ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ доступ ΠΊ ΠΏΠ΅Ρ€ΡΠΎΠ½Π°Π»ΡŒΠ½Ρ‹ΠΌ Π΄Π°Π½Π½Ρ‹ΠΌ сотрудников (**people.txt.gpg** ΠΈ **pass.zip**).

![Доступ ΠΊ people.txt.gpg ΠΈ pass.zip](images/image16.png)  
*Рисунок 16 – Доступ ΠΊ people.txt.gpg ΠΈ pass.zip*

![ΠœΠ΅ΡΡ‚ΠΎΠΏΠΎΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ²](images/image17.png)  
*Рисунок 17 – ΠœΠ΅ΡΡ‚ΠΎΠΏΠΎΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ²*

## 3. Π—Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅

Π’ Ρ…ΠΎΠ΄Π΅ ΡƒΡ‡Π΅Π±Π½ΠΎΠΉ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ Π±Ρ‹Π»ΠΈ освоСны ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ ΠΈ инструмСнты Π°Π½Π°Π»ΠΈΠ·Π° сСтСвого Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° с использованиСм ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ **Wireshark**. ΠŸΠΎΠ»ΡƒΡ‡Π΅Π½Ρ‹ Π½Π°Π²Ρ‹ΠΊΠΈ выявлСния ΠΈ классификации Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… Ρ‚ΠΈΠΏΠΎΠ² ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ, Π° Ρ‚Π°ΠΊΠΆΠ΅ опрСдСлСния ΠΈΡ… ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΡΡ‚ΠΈ ΠΈ послСдствий для систСмы. На основании ΠΏΡ€ΠΎΠ²Π΅Π΄Ρ‘Π½Π½ΠΎΠ³ΠΎ Π°Π½Π°Π»ΠΈΠ·Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Ρ‹ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡŽ бСзопасности сСти, Ρ‡Ρ‚ΠΎ ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡ‚ ΠΏΡ€Π΅Π΄ΠΎΡ‚Π²Ρ€Π°Ρ‚ΠΈΡ‚ΡŒ Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½Ρ‹Π΅ ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ Π² Π±ΡƒΠ΄ΡƒΡ‰Π΅ΠΌ. ΠŸΠΎΠ»ΡƒΡ‡Π΅Π½Π½Ρ‹Π΅ знания ΠΈ ΠΎΠΏΡ‹Ρ‚ стали Π²Π°ΠΆΠ½Ρ‹ΠΌ этапом ΠΏΡ€ΠΎΡ„Π΅ΡΡΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ развития Π² области ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности.

---

## 4. Бписок ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»ΠΎΠ²

- [Wireshark User’s Guide](https://www.wireshark.org/docs/wsug_html_chunked/) (Π΄Π°Ρ‚Π° обращСния: 07.06.2024)
- [CVE-2022-1329 Exploit Example](https://github.com/mcdulltii/CVE-2022-1329) (Π΄Π°Ρ‚Π° обращСния: 15.06.2024)
- [Анализ Π΄Π°ΠΌΠΏΠ° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° Π½Π° Habr](https://habr.com/ru/articles/735866/) (Π΄Π°Ρ‚Π° обращСния: 15.06.2024)
- [Web Shell β€” ЭнциклопСдия ΠšΠ°ΡΠΏΠ΅Ρ€ΡΠΊΠΎΠ³ΠΎ](https://encyclopedia.kaspersky.com/glossary/web-shell/) (Π΄Π°Ρ‚Π° обращСния: 16.06.2024)