Hack The Box-Sherlocks-Bumblebee

靶场介绍

An external contractor has accessed the internal forum here at Forela via the Guest WiFi and they appear to have stolen credentials for the administrative user! We have attached some logs from the forum and a full database dump in sqlite3 format to help you in your investigation.

一名外部承包商通过访客WiFi访问了Forela的内部论坛,他们似乎窃取了管理用户的凭据!我们附上了一些来自论坛的日志和sqlite3格式的完整数据库转储,以帮助您进行调查。

Task 1

What was the username of the external contractor?

外部承包商的用户名是什么?

使用Navicat打开phpbb.sqlite3文件,发现其中有一张phpbb_users用户表,查看表中内容,发现有一个ip为10.10.0.78的用户,结合日志文件,此ip为攻击ip,因此确认外部承包商的用户名为apoole1

Hack The Box-Sherlocks-Bumblebee_第1张图片

Task 1:apoole1

Task 2

What IP address did the contractor use to create their account?

承包商使用什么IP地址创建帐户?

结合第一问,承包商创建帐户的ip为10.10.0.78

Task 2:10.10.0.78

Task 3

What is the post_id of the malicious post that the contractor made?

承包商发布的恶意帖子的post_id是什么?

查看phpbb_post数据表,能够发现承包商发布的恶意帖子的post_id为9

Hack The Box-Sherlocks-Bumblebee_第2张图片

Task 3:9

Task 4

What is the full URI that the credential stealer sends its data to?

凭证窃取程序将其数据发送到的完整URI是什么?

在第三问中,承包商发布了恶意帖子,在数据表中查看其发表的内容

Hack The Box-Sherlocks-Bumblebee_第3张图片

Hack The Box-Sherlocks-Bumblebee_第4张图片

发现凭证窃取程序将其数据发送到的URI为http://10.10.0.78/update.php

Task 4:http://10.10.0.78/update.php

Task 5

When did the contractor log into the forum as the administrator? (UTC)

承包商是什么时候以管理员身份登录论坛的?(UTC)

查看phpbb_log数据表,发现承包商登录管理员的时间戳为1682506392

Hack The Box-Sherlocks-Bumblebee_第5张图片

将时间戳转化为标准时间

Hack The Box-Sherlocks-Bumblebee_第6张图片

此为GMT+0800下的时间,转换为UTC为10:53:12

Task 5:26/04/2023 10:53:12

Task 6

In the forum there are plaintext credentials for the LDAP connection, what is the password?

论坛中有LDAP连接的明文凭据,密码是什么?

查看phpbb_config数据表

Hack The Box-Sherlocks-Bumblebee_第7张图片

Task 6:Passw0rd1

Task 7

What is the user agent of the Administrator user?

管理员用户的用户代理是什么?

回到日志文件中,查看ip为10.255.254.2的用户代理标识

Hack The Box-Sherlocks-Bumblebee_第8张图片

Task 7:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36

Task 8

What time did the contractor add themselves to the Administrator group? (UTC)

承包商是什么时候加入管理员组的?(UTC)

查看phpbb_log数据表,发现加入管理员组时间戳为1682506431

Hack The Box-Sherlocks-Bumblebee_第9张图片

将时间戳转化为标准时间

Hack The Box-Sherlocks-Bumblebee_第10张图片

此为GMT+0800下的时间,转换为UTC为10:53:51

Task 8:26/04/2023 10:53:51

Task 9

What time did the contractor download the database backup? (UTC)

承包商什么时候下载了数据库备份?(UTC)

在日志文件中搜索sql,发现承包商在2023/04/26 12:01:38 +0100的时候下载了数据库备份文件

Hack The Box-Sherlocks-Bumblebee_第11张图片

因此在UTC下,下载的时间为2023/04/26 11:01:38

Task 9:26/04/2023 11:01:38

Task 10

What was the size in bytes of the database backup as stated by access.log?

access.log中所述的数据库备份的大小(以字节为单位)是多少?

根据第九问中的图,能够看出数据库备份文件的大小为34707字节

Task 10:34707

你可能感兴趣的:(数据库,linux,服务器)