Actualmente tengo acceso a un servidor y soy el "pirata informático" (no solo una demostración para la clase). Me he hundido en su máquina. ¿Qué es lo primero que debería preocuparme cuando ella inicia sesión? Aparentemente ella va a iniciar sesión pronto y, como "hacker", ¿a qué debería estar pendiente?
Realmente depende de cuál es el objetivo o qué quieres lograr.
En resumen, es probable que desee recopilar la mayor cantidad de información posible .
Recoger hashes de contraseña para aumentar sus privilegios sería una buena apuesta.
Probablemente trataría de identificar y analizar cualquier vulnerabilidad adicional .
También es posible que desee configurar algunos medios para mantener el acceso persistente .
Para el propósito del ejercicio, intentaría crear un registro de auditoría de lo que ella está haciendo e informar sobre ello. Las pistas sobre lo que está haciendo se encontrarán en los registros, por lo que ese es el primer lugar que buscaría.
Si se trata de un cuadro de Linux, encontrará los registros en / var / logs. En particular, eche un vistazo a secure.log si es una máquina basada en redhat, o auth.log si es una máquina basada en debian, estas le permitirán ver cuándo usa el comando sudo. Además, ejecute el comando last , para ver quién ha iniciado sesión y cuándo.
20 archivos de registro de Linux
Si se trata de un cuadro de ventanas, eche un vistazo al visor de eventos y encontrará los registros de Windows allí.
Guía para el Visor de eventos de Windows
Espero que esto ayude, y buena suerte.
EDITAR: interpreté mal la pregunta (era un pasajero en un automóvil con mala conducción en ese momento) y escribí la siguiente respuesta, que no es relevante para la pregunta, pero puede que le resulte útil, así que la dejaré.
Lo primero que debe hacer un atacante de la vida real es determinar el ataque. Incluyendo la documentación de los objetivos predefinidos, que son acordados por todas las partes involucradas. Durante esta fase, debe averiguar qué tipo de prueba es y qué tipo de hat que usarás.
La siguiente etapa es la recopilación de información no intrusiva, esto implica encontrar tanta información como sea posible sobre el objetivo que luego se puede usar y aprovechar durante el ataque.
Luego querrá enumerar el objetivo, manteniéndose alineado con el alcance que definió al principio. En general, esto implica, exploración de vulnerabilidades, exploración de puertos, captura de banners, etc.
Toda esta información ayudará con la fase de explotación (si hay una en el alcance).
Eche un vistazo al El Estándar de Ejecución de Pruebas de Penetración para obtener una buena explicación de cada fase.
Si hay un objetivo que debe lograrse en la demostración, debe lograrlo lo más rápido posible, en caso de que descubran que está conectado. Además, si puede iniciar sesión a través de ssh, debería poder inicie sesión a través de SFTP con las mismas credenciales para obtener y editar archivos en ese sistema. Realmente no hay mucho que puedas hacer si ella descubre que estás dentro, ¡así que actúa rápido!
Lea otras preguntas en las etiquetas penetration-test