Laboratorio #1 Análisis Forense

Este laboratorio tiene como objetivo:

Identificar los elementos que permiten dar al analista forense pistas sobre el artefacto a
investigar.

En cada análisis forense debe verificar la hora del equipo a investigar. Esto con el propósito de
tener un punto de referencia comparativo de como los eventos transcurrieron en función del
tiempo. Este hallazgo es muy importante y debe ser registrado en el informe.

Utilice la máquina virtual Metasploitable 1 o Metasploitable 2 con el usuario: msfadmin y

contraseña: msfadmin

1. Verificar la hora del equipo

msfadmin@metaesploitable:~$ date
Wed Aug 30 04:14:18 UTC 2017

En el equipo investigado no se debe realizar ningún cambio que comprometa la investigación.

De requerir hace cambios, debe realizarse sobre una copia o clon.

2. Ajustar la hora y la zona horaria de Honduras/Tegucigalpa

msfadmin@metaesploitable:~$

sudo ln -sf /usr/share/zoneinfo/America/Tegucigalpa /etc/localtime

-s Crear un link simbólico

-f Forzar reemplazo de archivo de destino

3. Verificar la hora del equipo

msfadmin@metaesploitable:~$ date
Tue Aug 29 22:27:55 CST 2017
Central Standard Time (CST): Corresponde a un horario seis horas menos que el Universal
Time Coordinated (UTC)

4. Crear el usuario alice

msfadmin@metaesploitable:~$ sudo adduser alice
Adding user `alice' ...
Adding new group `alice' (1000) ...
Adding new user `alice' (1 000) with group `alice' ...
Creating home directory `/home/alice' ...
Copying files from `/etc/skel' ...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for alice
Enter the new value, or press ENTER for the default
Full Name []: Alice
Room Number []:
Work Phone []:
Home Phone []:
Other []:
Is the information correct? [y/N] y

5. Crear el usuario bob

msfadmin@metaesploitable:~$ sudo adduser bob
Adding user `bob' ...
Adding new group `bob' (1002) ...
Adding new user `bob' (1002) with group `bob' ...
Creating home directory `/home/bob' ...
Copying files from `/etc/skel' ...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for bob
Enter the new value, or press ENTER for the default
Full Name []: Bob
Room Number []:
Work Phone []:
Home Phone []:
Other []:
Is the information correct? [y/N] y

6. Crear el usuario eve

msfadmin@metaesploitable:~$ sudo adduser eve
Adding user `eve' ...
Adding new group `eve' (1003) ...
Adding new user `eve' (1003) with group `eve' ...
Creating home directory `/home/eve' ...
Copying files from `/etc/skel' ...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for eve
Enter the new value, or press ENTER for the default
Full Name []: eve
Room Number []:
Work Phone []:
Home Phone []:
Other []:
Is the information correct? [y/N] y

7. Crear el usuario share

msfadmin@metaesploitable:~$ sudo adduser share
Adding user `share' ...
Adding new group `share' (1004) ...
Adding new user `share' (1004) with group `share' ...
Creating home directory `/home/share' ...
Copying files from `/etc/skel' ...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for share
Enter the new value, or press ENTER for the default
Full Name []: share
Room Number []:
Work Phone []:
Home Phone []:
Other []:
Is the information correct? [y/N] y

Crear un espacio de disco común en el servidor para que los usuarios puedan compartir
información.

8. Agregar al grupo share el usuario de alice y bob

msfadmin@metaesploitable:~$ sudo vi /etc/group

9. Ingresar a la terminal con el usuario share

msfadmin@metaesploitable:~$ su share

10. Verificar que se encuentra en el directorio home que corresponde a share

msfadmin@metaesploitable:~$ pwd
/home/share

11. Crear el directorio files en /home/share

share@metaesploitable:~$ mkdir files

12. Listar los detalles del directorio files

share@metaesploitable:~$ ls -l
total 0
drwxr-xr-x 2 share share 60 2017-08-29 22:49 files

¿Qué representación numérica de permisos tiene el directorio files?

13. Ingresar a la terminal con el usuario alice

share@metaesploitable:~$ su alice

14. Cambiarse al directorio /home/share/files

alice@metaesploitable:~$ cd /home/share/files/
 15. Crear un archivo en ese directorio
alice@metaesploitable:/home/share/files$ touch test-alice.txt

¿Se le permitió crear el archivo?

16. Ingresar a la terminal con el usuario share

17. Cambie los permisos del directorio files de tal manera que los miembros del grupo
share puedan crear archivos

share@metaesploitable:~$ chmod 775 files

7:rwx:Dueño
7:rwx:Grupo
5:r_x:Otros

18. Compare los permisos con los obtenidos en el paso 12

share@metaesploitable:~$ ls -l
total 0
drwxrwxr-x 2 share share 60 2017-08-29 22:49 files

¿Puede indicar la diferencia?

19. Ingresar a la terminal con el usuario alice

20. Cambiarse al directorio /home/share/files

alice@metaesploitable:~$ cd /home/share/files/

21. Crear un archivo en ese directorio

alice@metaesploitable:/home/share/files$ touch test-alice.txt
¿Se le permitió crear el archivo?

22. Verificar los permisos del archivo

alice@metaesploitable:/home/share/files$ ls -l
total 0
-rw-r--r-- 1 alice alice 0 2017-08-29 22:58 test-alice.txt

¿Quién es el dueño del archivo y que permisos tiene? ¿Qué permisos tienen los usuarios que
pertenecen al grupo alice? ¿Qué permisos tienen sobre el archivo los usuarios que no son
dueños y no pertenecen al grupo alice? ¿Diría que la fecha de creación del archivo es
razonable con respecto a la hora del servidor?

23. Ingresar a la terminal con el usuario bob, cambiarse al directorio /home/share/files y

modificar el archivo test-alice.txt
bob@metaesploitable:/home/share/files$ echo mensaje >>test-alice.txt
¿Logró modificar el archivo? ¿Porqué?
 24. Ingresar a la terminal con el usuario de alice y cambiar los permisos del archivo test-
alice.txt de tal manera que bob pueda modificarlo.

alice@metaesploitable:/home/share/files$ chmod 646 test-alice.txt

25. Ingresar a la terminal con el usuario bob, modificar el archivo test-alice.txt ubicado
en /home/share y mostrar su contenido
bob@metaesploitable:/home/share/files$ echo mensaje >>test-alice.txt
bob@metaesploitable:/home/share/files$ cat test-alice.txt

¿Logró modificar el archivo? ¿Porqué?

26. Alice se da cuenta que eve está leyendo sus archivos, por tanto, cambia los permisos
de su archivo test-alice.txt para bloquearla:
alice@metaesploitable:/home/share/files$ chmod 640 test-alice.txt

27. Bob hace lo mismo que alice en el paso anterior

bob@metaesploitable:/home/share/files$ chmod 640 test-bob.txt

28. Eve intenta leer los archivos de alice y bob:

¿Diría que la estrategia dio resultados favorables para alice y bob?

29. Eve cierra la sesión

eve@metaesploitable:~$ exit

30. Alice y Bob reportan al msfadmin que Eve está mirando sus archivos. Así que el
msfadmin con el propósito de recolectar evidencia, revisa el historial de acciones
tomadas por Eve
msfadmin@metaesploitable:/home/eve$ sudo more .bash_history

Indique en sus propias palabras lo que contiene el archivo .bash_history

31. Repita el procedimiento anterior para el usuario de Alice y Bob

32. Ingresar a la terminal con el usuario bob, modificar el archivo test-alice.txt ubicado
en /home/share y mostrar su contenido
bob@metaesploitable:/home/share/files$ echo mensaje >>test-alice.txt
bob@metaesploitable:/home/share/files$ cat test-alice.txt
¿Se le permitió ver y modificar el archivo? ¿Por qué? ¿Qué estrategia puede seguir para que
alice y bob puedan tener acceso y modificar a los archivos entre ellos?