👨💻 Привет!
Представим ситуацию — Вы сидите, проводите пентест, и в какой-то момент к вам приходит злой заказчик и говорит, что вы положили его инфру. Вы опешили, всё отрицаете, ведь во время тестирования атаки не было деструктивных методов. Но заказчик всё не успокаивается, показывает логи, мол, вот, в это время на нас упало куча трафика.
И в этот момент очень пригодились бы логи всех действий во время проведения тестирования. Поэтому вот простой лайфхак, который автоматически будет записывать 90% действий и поможет понять, были ли пентестеры причастны к инциденту или нет.
1️⃣ Для начала стоит добавить дату и время при каждом выполнении команды в терминале. Для этого можно модифицировать промпт вашего командного интерпретатора.
Тут ничего сложного, открываем rc файл и меняем соотсутсвующую переменную.
zsh (kali linux): Заменить PROMPT в
~/.zsh_rc PROMPT=$'%F{%(#.blue.green)}┌──%{$fg[yellow]%}[%D{%d.%m.%y} %D{%H:%M}]\n%F{%(#.blue.green)}├──${debian_chroot:+($debian_chroot)─}${VIRTUAL_ENV:+($(basename $VIRTUAL_ENV))─}(%B%F{%(#.red.blue)}%n'$prompt_symbol$'%m%b%F{%(#.blue.green)})-[%B%F{reset}%(6~.%-1~/…/%4~.%5~)%b%F{%(#.blue.green)}]\n└─%B%(#.%F{red}#.%F{blue}$)%b%F{reset} '
bash (kali linux): Заменить PS1 в
~/.bash_rc PS1=$prompt_color'┌──[\D{%d.%m.%Y %H:%M}]\n'$prompt_color'├──${debian_chroot:+($debian_chroot)──}${VIRTUAL_ENV:+(\[\033[0;1m\]$(basename $VIRTUAL_ENV)'$prompt_color')}('$info_color'\u'$prompt_symbol'\h'$prompt_color')-[\[\033[0;1m\]\w'$prompt_color']\n'$prompt_color'└─'$info_color'\$\[\033[0m\] ';;
Теперь в листинге каждая команда будет иметь дату и время начала и конца выполнения (как на скриншоте к посту)
2️⃣ Далее нужно настроить автоматическую запись листинга. Тут на помощь придет TMUX. Правильно настроенный терминальный мультиплексор может стать мощным инструментом по сравнению с ГУИшными терминалами.
Для записи истории команд нужно установить плагин и добавить конфигурацию при каждом запуске tmux.
$> git clone
https://github.com/tmux-plugins/tpm ~/.tmux/plugins/tpm
# Конфиг должен выглядить так
$> cat .tmux.conf
# Список плагинов
set -g
@plugin 'tmux-plugins/tpm'
set -g
@plugin 'tmux-plugins/tmux-sensible'
set -g
@plugin 'tmux-plugins/tmux-logging'
set -g history-limit 500000
# Запуск Tmux Plugin Manager
run '~/.tmux/plugins/tpm/tpm'
$> tmux source ~/.tmux.conf
Осталось зайти в tmux и нажать CTRL + b и SHIFT + i. Теперь при каждом запуске tmux можно начать запись с помощью CTRL + b, SHIFT + p и сразу после выхода из терминала запись будет сохранена в домашнюю директорию в виде текстового файла.
Теперь мы точно будем уверены, что во время инцидента со стороны пентестеров активности не было и мы не в чем не виноваты. Конечно, листинг команд работает только для CLI. С GUI нужно разбираться отдельно.
#redteam #ToolTricks