Esta imagen de Linux pertenece a un usuario al que le gusta jugar y comunicarse con amigos. ¿Pasa algo por debajo del capó? ¡Pon a prueba tus habilidades de LinuxForensics e identifica anomalías!Como analista de SOC, analiza los artefactos y responde las preguntas.
1.- ¿Cuál es el nombre de la utilidad/biblioteca para la cual el usuario estaba buscando exploits?
Primero debemos indentificar el número de usuarios que tiene acceso a la computadora. Utilizaré la herramienta autopsy para analizar la imagen de disco proporcionada en este desafío.
Como se muestra en la imagen solo hay un sólo usuario que tiene acceso a la computadora llamado rafael. analizaré el archivo .bash_history del usuario para observar las interacciones que el usuario hizo por la consola.
Como se muestra en la imagen anterior el usuario estaba buscando exploit en github.
2.- ¿Cuál es el número de identificación de la versión del sistema operativo en la máquina?
En el archivo hostname ubicada en el directorio /etc/ encontraremos la respuesta a esta pregunta.
En esta pregunta se nos da una pista "pajarito azul" hace referencia a twitter o Thunderbird. El usuario utiliza el cliente de correo electrónico Thunderbird por lo tanto analizaré.
El directorio imap.gmail.com indica que el usuario tiene configurada una cuenta de correo electrónico Gmail. En este directorio se encuentra un archivo llamado INBOX el cual lo exportaré para analizarlo notepad++, aplicando el filtro de búsqueda "anime".
Un UUID Identificador Universal Único (Universally Unique Identifier) es un identificador único que se asigna a ciertos elementos del sistema operativo, como particiones de discos duros.
En el contexto de los usuarios en Linux, generalmente se utilizan UID(User Identifier) y GID (Group Identifier).
- UID (User Identifier): Es un número único que identifica a un usuario en el sistema Linux. Cada usuario tiene su propio UID, y el usuario raíz (root) tiene típicamente tiene UID 0 cero.
- GID (Group Identifier): Es el número único que identifica a un grupo en el sistema.
Podemos obtener la respuesta a esta pregunta en primera instancia analizando el directorio /etc/apt/sources.list.d
7.- Pista: Sea nuestro invitado -> ¿Cuál fue la primera contraseña del usuario para el wifi para invitados?
Después de algunas horas de búsquedas buceando por los archivos del usuario rafael. la información la encontré el en directorio de cliente de correo electrónico thunderBird, en el archivo INBOX, el cual exporté para analizarlo con notepad++.
8.- Si una imagen vale más que mil palabras, ¿cuántas vale un vídeo? -> El usuario vio un vídeo que se estrenó el 11 de diciembre de 2021. ¿Cuántas visualizaciones tuvo cuando lo vio el 9 de febrero?
Esta información la podemos encontrar en el directorio /home/rafael/pictures.
9.- Pista: Tengo hambre de vídeos -> ¿Cuál es el nombre del nuevo canal del YouTuber cuyo libro de cocina se muestra en el dispositivo?
En el directorio /home/rafael/marshalsec/poc podemos observar un conjunto de imágenes donde se muestra el siguiente "Libro".
Realizare una búsqueda en Internet para encontrar el nombre del nuevo canal. Filtraré la búsqueda por "bining with babish".
10.- ¿Cuál es el módulo con la versión más alta instalada para la aplicación de chat con la mascota Wumpus?
La mascota Wumpues es una de las mascotas oficiales de Discord. La aplicación discord se encuentra instalada en la computadora, en el directorio /home/rafael/.config/discord/0.0.16/modules en el se encuentra un archivo llamado installed.json.
Como se muestra en la imagen anterior en el directorio modules hay un archivo en formato .json en el se listan todo los módulos y sus versiones.
11.- Según Windows, ¿cuál era la temperatura en grados Fahrenheit el 11 de febrero de 2022, a las 6:30 p.m.?
En la pregunta número 9 analizamos el directorio /home/rafael/marshalsec/poc en él había muchas capturas de pantalla algunas de ellas mostraban el escritorio Windows, entonces debemos de buscar en ellas la hora y la temperatura indicada por la barra de tarea del escritorio de Windows.
12.- Pista: Never gonna give... ante esta pregunta -> ¿Cuál es la fecha de carga del segundo video de YouTube en el canal desde el cual el usuario descargó un video de YouTube?
Por lo general las descargas de archivos se almacenan en el directorio download en el directorio /home/rafael/download.
En el directorio /home/rafael/.minecraft/versions/ hay un archivo llamado version_manifest_v2.json. En este archivo se encuentran la respuesta a nuestra pregunta.
14.- ¿En qué se basa el RCE (64)? -> ¿Cuáles eran los tres indicadores y sus valores que se pasaron a powercat?
Powercat es una implementación de Netcat en Powershell de Windows. Como se muestra en la siguiente imagen el usuario descargo la herramienta powercat.
En el directorio /poc encontramos unos archivos con extensión java. El archivo que nos importa es Log4jRCE.java, en se encuentra una cadena codificada en base64.
Analizando el directorio .minecraft ubicado en el directorio /home/rafael/ existe un directorio llamado save y dentro de este hay un directorio advancements en él se guardan los progresos de los jugadores.
No hay mucha información sobre para responder está pregunta. Pensando el más antiguos de los mundos debemos buscar el primer mundo donde todos los jugadores comienzan en el juego.
La dimensión Overworld es la primera dimensión donde todos los jugadores comienzan a jugar.
16.- Pista: Matrix_1999 es la clave! ¿Qué es el mojangClientToken almacenado en el Keystore?El mojangClientToken es un token de prepago que se puede canjear en minecraft. Por lo tanto, lo primero que debemos hacer es encontrar el directorio donde se almacenan el mojangClientToken.
Los token se almacenan en el directorio /home/rafael/.local/share/keyrings en el directorio hay dos archivos login.keyring y user.keystore. Lo que haré es exportar estos archivos y llevarlos a mi máquina de pruebas.
Ahora copiare los archivos descargados en el directorio /home/remnux/.local/share/keyrings como se muestra en la siguiente imagen.
Ahora reiniciamos la máquina de prueba y ejecutamos la herramienta seahorse. Seahorse es una herramienta de gestión de contraseña.
Ahora debemos desbloquear el nuevo llavero que está bloqueado por el usuario rafael. Ahora hacemos cli en el botón "unlock", se nos mostrará la siguiente ventana.
Ingresamos la clave dada como pista y hacemos cli en el botón "unlock" se nos mostrará las propiedades del llavero.
Comentarios
Publicar un comentario