WEBSTRIKE
A suspicious file was identified on a company web server, raising alarms within the intranet. The Development team flagged the anomaly, suspecting potential malicious activity. To address the issue, the network team captured critical network traffic and prepared a PCAP file for review.
Your task is to analyze the provided PCAP file to uncover how the file appeared and determine the extent of any unauthorized activity.
Category: Network Forensic || Level: EASY || Tools: Wireshark
Pada tantangan ini, diberikan file pcap untuk melakukan analisis.
Pada langkah pertama, saya melakukan pengecekkan pada bagian Conversations yang terlihat bahwa ip dengan awal 117 melakukan banyak koneksi TCP dan hanya terdapat 2 IP yaitu awalan 117 dan 24. Port yang digunakan juga adalah 8080. Selanjutnya melakukan pengecekkan lebih lanjut untuk mengetahui aktivitas antara 2 IP tersebut.
Pada wireshark, saya melakukan filter HTTP menggunakan command "http.request.method == GET".
Terlihat bahwa permintaan ke /reviews/uploads dilakukan dengan mengupload file dengan nama "image.jpg.php" ke direktori tersebut.
Pada Method POST terlihat bahwa file berhasil di upload oleh penyerangan dengan user-agent milik penyerang adalah "Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0".
File ini sebenarnya adalah file php reverse shell yang akan melakukan koneksi ke IP 117[.]11[.]88[.]124 melalui port 8080.
Dari hasil ini terlihat bahwa penyerang mengirim permintaan HTTP POST ke IP 117 untuk melihat informasi dari akun pengguna (/etc/passwd) pada sistem korban.
Jika dilakukan pengecekan terhadap IP tersebut, teridentifikasi bahwa ip tersebut berasal dari Tianjin
