Pwned! - Encuentra la puerta trasera

En este laboratorio, analizarás los archivos de un servidor web que ha sido comprometido con una reverse shell oculta. Tu misión como threat hunter es descubrir dónde se esconde el payload y validar tu hallazgo para revelar una flag secreta.

En este laboratorio aprenderás:

• Análisis básico de archivos PHP maliciosos
• Exploración del sistema de archivos de un servidor web
• Identificación de una reverse shell encubierta

⚠️ Nota: Todos los comentarios sospechosos, archivos ocultos y el payload malicioso fueron plantados intencionalmente por un atacante ficticio como parte de este escenario educativo. No representan fallos reales del sistema, sino una simulación para entrenar tus habilidades de análisis.

🌱 Cómo comenzar este laboratorio

Sigue estos pasos para iniciar:

1. Descarga los archivos del laboratorio desde este enlace:

1  https://storage.googleapis.com/cybersecurity-machines/web-threats-lab.ova

1. Importa la máquina virtual en VirtualBox o VMware.
2. Inicia la VM, accede como el usuario student:4geeks-lab e ingresa al sitio web en tu navegador en:

1  http://<ip_machine>/pwned/

📄 Instrucciones

TerraSafe es una consultora de ciberseguridad con clientes internacionales. Pero alguien del equipo —posiblemente un ex-empleado resentido— ha infiltrado código malicioso dentro del servidor web. Tu trabajo como threat hunter es investigar el sitio, identificar el archivo sospechoso, obtener su ruta exacta y validarla para descubrir la evidencia del ataque.

Tu misión: encontrar la ruta exacta del archivo malicioso

1. Investiga los archivos PHP del sitio web.

2. Busca posibles reverse shells (hint: revisa /assets/).

3. Cuando creas haber encontrado el archivo:

   • Copia su ruta absoluta
   • Ejecuta en la maquina virtual el siguiente comando:

validate-malicious-path

Coloca la ruta encontrada cuando te lo pida.

Si aciertas, se revelará la flag del reto:

1✅ ¡Ruta correcta!
2🎁 Flag: 4GEEKS{EXAMPLE_FLAG}

💡 Consejos

• Usa find, cat, less o grep para ayudarte a buscar en la terminal.
• Algunos archivos no están enlazados desde el sitio web, pero sí están en el sistema.
• Presta atención a nombres sospechosos como .logs.php, session.inc.php, debug.php etc.
• Busca comentarios en el código que puedan darte pistas sutiles.

¡Buena suerte!