add challenge

.rc

@@ -0,0 +1,25 @@
+export PS1="\[\033[0;31m\]\342\224\214\342\224\200\$([[ \$? != 0 ]] && echo \"[\[\033[0;31m\]\342\234\227\[\033[0;37m\]]\342\224\200\")[$(if [[ ${EUID} == 0 ]]; then echo '\[\033[01;31m\]root\[\033[01;33m\]@\[\033[01;96m\]\h'; else echo '\[\033[0;39m\]\u\[\033[01;33m\]@\[\033[01;96m\]\h'; fi)\[\033[0;31m\]]\342\224\200[\[\033[0;32m\]\w\[\033[0;31m\]] [\D{%d-%m-%Y} \t]\n\[\033[0;31m\]\342\224\224\342\224\200\342\224\200\342\225\274 \[\033[0m\]\[\e[01;33m\]\\$\[\e[0m\] "
+export PATH="${PATH}:${DIR}/bin"
+
+columns="$(tput cols)"
+
+display_center(){
+  title="$1"
+  printf "%*s\n" $(( (${#title}+$columns) /2 )) "$title"
+}
+echo
+
+display_center ' _____  ______ _           _     '
+display_center '|  __ \|  ____| |         | |    '
+display_center '| |  | | |__  | |     __ _| |__  '
+display_center '| |  | |  __| | |    / _` | '\''_ \ '
+display_center '| |__| | |    | |___| (_| | |_) |'
+display_center '|_____/|_|    |______\__,_|_.__/ '
+
+echo
+display_center 'Digital Forensic Lab'
+display_center '        by VNCERT/CC'
+echo
+
+alias ls="ls --color"
+alias cls="clear"

scenario.md

@@ -129,4 +129,37 @@ pcap](https://github.com/VNCERT-CC/digital-forensics-lab-frontend/releases/downl
 2)](https://github.com/VNCERT-CC/digital-forensics-lab-frontend/releases/download/challenge2/DFLab-challenge2-VMware.ESXi.6.x.7z.002)
 </details>
 
+</details>
+
+<details open>
+<summary>Tình huống 3: Tấn công vào máy chủ web <span class="badge bg-warning">Chuyên viên</span></summary>
+Cấp độ: <span class="badge bg-warning">Chuyên viên</span>
+
+Máy chủ website của chúng tôi đột nhiên bị lỗi, các dữ liệu quan trọng lưu trên database bất ngờ bị xóa, chúng tôi không thể truy cập vào website của mình được. Hãy giúp chúng tôi tìm ra nguyên nhân và khôi phục lại website này.
+
+
+![Web error Screenshot](challenge3/web-error.png)
+
+
+<details open>
+<summary>Câu hỏi</summary>
+
+1. Thời gian xuất hiện tấn công nhiều nhất?
+2. Kẻ tấn công đã tìm thấy bao nhiêu điểm yếu trên website?
+3. Kẻ tấn công dùng cách gì để có thể thực thi được command trên server? Server nào đã bị kẻ tấn công kiểm soát?
+4. Cho biết payload thực hiện của kẻ tấn công?
+5. Kẻ tấn công dùng lệnh gì để thực hiện GET shell về hệ thống nhưng không thành công?
+6. Bằng chứng nào cho thấy dữ liệu quan trọng trên website đã bị xoá? Kẻ tấn công có xóa thêm dữ liệu nào khác không?
+7. Làm thế nào để chúng tôi có thể khôi phục được dịch vụ?
+</details>
+
+
+<details open>
+<summary>Tệp đính kèm</summary>
+
+1. [Tệp access log](https://github.com/VNCERT-CC/digital-forensics-lab-frontend/releases/download/challenge3/DFLab-challenge3-access_log.zip)
+2. [Tệp SQL Log)](https://github.com/VNCERT-CC/digital-forensics-lab-frontend/releases/download/challenge3/DFLab-challenge3-SQLLog.zip)
+3. [Tệp bak](https://github.com/VNCERT-CC/digital-forensics-lab-frontend/releases/download/challenge3/DFLab-challenge3-bak.zip)
+</details>
+
 </details>

shell.sh

@@ -0,0 +1,14 @@
+#!/usr/bin/env bash
+
+# by Dave Dopson at stackoverflow
+SOURCE="${BASH_SOURCE[0]}"
+while [ -h "$SOURCE" ]; do # resolve $SOURCE until the file is no longer a symlink
+  DIR="$( cd -P "$( dirname "$SOURCE" )" >/dev/null 2>&1 && pwd )"
+  SOURCE="$(readlink "$SOURCE")"
+  [[ $SOURCE != /* ]] && SOURCE="$DIR/$SOURCE" # if $SOURCE was a relative symlink, we need to resolve it relative to the path where the symlink file was located
+done
+DIR="$( cd -P "$( dirname "$SOURCE" )" >/dev/null 2>&1 && pwd )"
+# end Dave Dopson
+
+# env -i bash --norc --noprofile
+/usr/bin/env bash --rcfile "${DIR}/.rc" --noprofile