DESAFIO TÉCNICO BIDWEB SECURITY IT

GABRIEL NOGUEIRA BRANDÃO OLIVEIRA

DESAFIO TÉCNICO DE SEGURANÇA DA INFORMAÇÃO

RECIFE
20 DE MARÇO DE 2024
 GABRIEL NOGUEIRA BRANDÃO OLIVEIRA

DESAFIO TÉCNICO DE SEGURANÇA DA INFORMAÇÃO

Relatório para a avaliação do desafio técnico voltado ao

processo seletivo da empresa Bidweb Security IT

RECIFE
20 DE MARÇO DE 2024
SUMÁRIO

Introdução …………………………………………………………………………………….. 1

Técnica utilizada pelo atacante para obter um shell reverso no alvo ……… 2
Nome do arquivo utilizado pelo atacante para obter a shell no alvo … 2.1

Endereço IP do atacante ……………………………………………………………. 3

Porta utilizada pelo atacante para receber o shell reverso ………………….. 4

Versão do servidor Apache alvo ………………………………………………….. 5

Versão do PHP utilizada pelo servidor alvo …………………………………….. 6

Após obter o shell, qual o primeiro comando utilizado pelo atacante …….. 7

Qual é o token do PHPSESSID ……………………………………………………. 8

Conclusão …………………………………………………………………………….. 9
 1. Introdução

Nesse relatório será tratado de informações específicas do desafio técnico e de como

foi possível observar o caminho, de uma maneira técnica, para chegar em uma
determinada conclusão sobre um fato existente na aplicação wireshark.
2. Técnica utilizada pelo atacante para obter um shell reverso no alvo:
A técnica utilizada pelo atacante para obter um shell reverso no alvo foi o SQL
Injection, é possível de perceber isso observando a sequência dos pacotes, e as
diferentes requisições que são feitas nele.

Isso fica claro observando essa sequência de pacotes.

2.1. Nome do arquivo utilizado pelo atacante para obter a shell no alvo:
O nome do arquivo que o atacante utiliza para obter o shell no alvo é o
shell443.php. É possível observar isso vendo que ele faz um GET para fazer upload
desse arquivo e também é possível observar quando se analisa o protocolo TCP do
pacote que é utilizado para fazer o reverse shell.

3. Endereço IP do atacante:
É possível observar analisando essa imagem, tanto o endereço de IP de entrada
quanto o endereço de IP de saída.

4. Porta utilizada pelo atacante para receber o shell reverso:

Depois de aplicar um filtro no wireshark para só aparecer pacotes de protocolo TCP,
com isso, eu observo os pacotes com esses protocolos e vejo quais os sinalizadores
que ela responde. Observo um que responda com SYN, ACK e acho assim a porta src
e a porta de destino.
5. Versão do servidor Apache alvo:
É possível observar a versão do Apache alvo analisando o pacote de protocolo TCP
depois de ter sido feito o upload do shell reverso no pacote HTTP.

6. Versão do PHP utilizada pelo servidor alvo:

É possível observar a versão do PHP utilizada pelo servidor alvo analisando o mesmo
pacote que foi observado a versão do Apache alvo, o pacote de protocolo TCP depois
de ter sido feito o upload do shell reverso no pacote HTTP. O PHP/5.2.4-2

7. Após obter o shell, qual o primeiro comando utilizado pelo atacante:

Após ele obter o shell, o primeiro comando que ele utiliza é o echo “I AM IN”, é possível
observar pois é logo o próximo pacote depois que ele obtém o shell.
8. Qual é o token do PHPSESSID:
O token phpsessid é fbcb99daeb24b08e636e212fddfe715e. É possível observar no
mesmo pacote que o atacante faz o upload do arquivo para obter o shell.
 9. Conclusão

Este relatório destina-se a fornecer uma análise abrangente de segurança cibernética

usando a aplicação simulada pela Bidweb Security IT - sendo um ataque que tenha
ocorrido durante o expediente de uma empresa, em que os analistas de resposta a
incidentes estão investigando o caso e coletaram 1 (um) dumps de rede .pcap e teria
que ajudar os analistas de resposta a incidentes a descobrir o que houve através dos
seguintes .pcap coletados. - para ser trabalhada com o Wireshark para coletar as
informações necessárias para a elaboração do relatório.