TryHackMe Portal Drop - First Shift CTF - Полное прохождение 2026

Описание: 🐯 Первая смена в SOC не будет такой уж сложной, правда?

🧭 Ссылка на комнату: https://tryhackme.com/room/first-shif...

🐯 Задание 5: Взлом портала 🐯

Вы работаете в дневную смену в ProbablyFine, когда панель мониторинга мигает красным. В сводке WAF появляется новое оповещение о веб-сканировании crm[.]trypatchme[.]thm, за которым следует подозрительная аномалия загрузки файла. Затронутый веб-сайт — это общедоступный CRM-портал TryPatchMe, ценного клиента, предоставляющего консультационные услуги по обновлению программного обеспечения.

Это должно быть простым случаем, поскольку у вас есть доступ как к журналам доступа к веб-сайту, так и к консоли EDR. В совокупности они должны дать вам четкий ответ: либо это ложное срабатывание, либо портал был взломан, и TryPatchMe необходимо немедленно обновить CRM!


🐯 Журналы EDR и веб-сервера 🐯

Для выполнения этого задания вам необходимо загрузить журналы доступа к веб-серверу, нажав кнопку «Загрузить файлы задания» выше. Для некоторых вопросов вам потребуется консоль EDR.

🐯 Вопросы задания: 🐯

🍐Какой IP-адрес инициировал атаку методом перебора паролей на веб-портал CRM?

🍐Сколько успешных и неудачных попыток входа в систему зафиксировано в журналах?

🍐Какой user-agent использовался для загрузки файла после атаки методом перебора паролей?

🍐Какое имя подозрительного файла было загружено злоумышленником?

🍐В какое время злоумышленник впервые запустил загруженный скрипт?

🍐Какую первую расшифрованную команду выполнил злоумышленник в CRM?

🍐На основе активности злоумышленника в CRM, какой идентификатор подтехники MITRE ATT&CK Persistence наиболее применим?

🍐Какой образ процесса выполняет команды злоумышленника, полученные из интернета?

🍐Какая команда позволила злоумышленнику открыть обратную оболочку bash?

🍐Какой пользователь Linux выполняет введенные вредоносные команды?

🍐К какому конфиденциальному файлу конфигурации CRM получил доступ злоумышленник?

🍐Какой домен использовался для эксфильтрации базы данных портала CRM?

Какой флаг вы получаете после выполнения всех 12 действий EDR?

⚠️ Только для образовательных целей
Этот контент предназначен только для образовательных целей и авторизованного тестирования на проникновение. Всегда убедитесь, что у вас есть разрешение, прежде чем тестировать на каких-либо системах.

Не забудьте поставить 👍 ЛАЙК и 🔔 ПОДПИСАТЬСЯ, чтобы получать больше уроков по кибербезопасности!


#tryhackme