Task # Task #5

Discussion in 'Задания/Квесты/CTF/Конкурсы' started by l1ght, 14 Mar 2019.

  1. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    koto1.jpg

    Привет, античатовец! Мне сказали здесь собраны лучшие ИБ специалисты, и они смогут мне помочь.

    Дело в том, что мой
    Сайт: http://task5.antichat.com
    Взломали неизвестные хакеры, а я не могу понять как!
    Возможно именно ты, %username% мне поможешь.
    Злоумышленники ничего не испортили, но сильно наследили: после них остались метки (всего 6, присылай их в личку), обрывки перфокарт и логи обращения к шеллам.
    Все шеллы удалены, осталось найти уязвимости!

    Задание:
    Сроки:
    Правила простые, они исторически сложились на площадках античата и рдота:

    Задание линейное, не трудное, все этапы рассортированы по сложности от очень простого к более редким вещам.

    Поскольку задание предусматривает заливку шеллов и даже больше, просьба обойтись без вандализма на площадке.
    Не оставляйте минишеллы и шеллы без пароля, это позволит не испортить прохождение другим искателям.

    Хинты:
    Как стало известно от первоисточника: кошка-админ внимательно следит за безопасностью сервера, поэтому логирует все попытки входа в админку
    Привет! Спасибо всем, кто помогает вычислить хакера. Благодаря вам, удалось узнать его имя - Маруся. Узнав его имя, получилось засечь его IP и свежие обращения к серверу по имени в логах. Вот выдержка из них, возможно она вам как-то поможет !
    Code:
    185.98.6.66 - - [19/Mar/2019:11:09:59 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 540 "-" "Marusa/5.0 (WindowsFuture NT 15.0; Win15; x256)"
    185.98.6.66 - - [19/Mar/2019:11:10:11 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 545 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
    185.98.6.66 - - [19/Mar/2019:11:10:15 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3?username=test'&realm=ADMIN AREA&nonce=5c84f4cac9da4&url=/admin_secret_login.php3&response=edbf607287ed31322f414b5b2e85327e&opaque=083d15b45f53f59b2c020d5d95563e1e&qop=auth&nc=00000003&cnonce=34af9eb675b7cb93 HTTP/1.1" 401 545 "-" "Marusa/5.0 (WindowsFuture NT 10.0; win15; x256)"
    185.98.6.66 - - [19/Mar/2019:11:10:23 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 540 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
    185.98.6.66 - - [19/Mar/2019:11:10:51 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 543 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
    185.98.6.66 - - [19/Mar/2019:11:28:55 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 721 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
    185.98.6.66 - - [19/Mar/2019:11:30:14 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 805 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
    185.98.6.66 - - [19/Mar/2019:11:30:49 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 760 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
    185.98.6.66 - - [19/Mar/2019:11:31:08 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 791 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
    185.98.6.66 - - [19/Mar/2019:11:34:20 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 805 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
    

    Выражаю благодарность всем, кто помог найти опасную уязвимость. Уязвимость будет устранена.
    Но одно остается непонятным: Как злоумышленник смог проникнуть в систему? Ведь на сервере нет ни одной папки доступной для записи
    Code:
    +-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
    | Grants for task@localhost                                                                                                                                                                                                                                                                                                   |
    +-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
    | GRANT SELECT, INSERT, PROCESS, FILE, REFERENCES, SHOW DATABASES, SUPER, CREATE TEMPORARY TABLES, EXECUTE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, EVENT, CREATE TABLESPACE ON *.* TO 'task'@'localhost' IDENTIFIED BY PASSWORD '*E29EBDED21FD7A48CADCDD74A4CF7101562B2A7A' |
    +-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
    1 row in set (0.00 sec)
    Code:
    cooladm@vuln:/var/www/html$ find . -user www-data -type d -ls
     57647506     20 drwxr-xr-x 174 www-data www-data    20480 мар 26 09:53 ./upload/images
    Хочу сказать спасибо участнику с ником gurux13 , он прислал ссылку на статью
    https://vds-admin.ru/mysql/sistemnye-peremennye-mysql-servera-fail-mycnf
    и дал подробный ответ на вопрос:


    Прошли:



    Первые, покорившие флаг:

    1. MichelleBoxing
    2. MichelleBoxing
    3. MichelleBoxing
    4. joelblack
    5. gurux13
    6. gurux13


    Прохождение задания тут

     
    #1 l1ght, 14 Mar 2019
    Last edited: 8 Apr 2019
    HAXTA4OK, gurux13, joelblack and 14 others like this.
  2. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Спасибо. Круто
     
    crlf likes this.
  3. rudi

    rudi Active Member

    Joined:
    3 Jun 2010
    Messages:
    492
    Likes Received:
    186
    Reputations:
    5
    хм... одни html страницы, такое ощущение что тут нет php кода
    а если нырнуть на внутреннюю страницу, будет надпись что сделано с использованием технологий uCoz
     
    l1ght and crlf like this.
  4. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Задание у Лайта получилось не "лайтовое", в нем заложен потенциал хардкорного, который не стали реализовывать по совету главного бета-тестера: "Это задание, а не реальный сайт и может не хватить мотивации для прохождения".

    Поэтому пару мест облегчили, одно не стали закручивать и задание стало доступным для прохождения на уровне "Ветеран" или на уровне "Молодец!".
    Причём "Ветеран" не вывезет всё на старом багаже, а вот "Молодец!", который с большой буквы и с восклицательным знаком - пройдёт однозначно и с удовольствием.

    Как минимум три места порадуют некоторой неожиданностью (может и больше).
    И воспринимается, все же, скорее как реальный сайт, чем как задание.
    Вот просто рекомендую к прохождению, и молодым и старым.

    ==

    И, наверное, поскольку это задание сложное, можно оценивать его частями, скажем первые три флага - одна часть, дальше каждый флаг - самостоятельный этап.
    Отписывайтесь в теме каждый раз, как прошли следующий этап.
     
    #4 dooble, 14 Mar 2019
    Last edited: 15 Mar 2019
  5. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    506
    Likes Received:
    101
    Reputations:
    25
    Не получается расширение отбросить (
     
  6. Тот_самый_Щуп

    Тот_самый_Щуп Reservists Of Antichat

    Joined:
    23 Mar 2017
    Messages:
    265
    Likes Received:
    174
    Reputations:
    119
  7. CyberTro1n

    CyberTro1n Elder - Старейшина

    Joined:
    20 Feb 2016
    Messages:
    1,077
    Likes Received:
    855
    Reputations:
    14
    Ereee поздравляю ) Грац !)
     
    altblitz and BabaDook like this.
  8. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    С чем если не .secret
     
    K800 likes this.
  9. CyberTro1n

    CyberTro1n Elder - Старейшина

    Joined:
    20 Feb 2016
    Messages:
    1,077
    Likes Received:
    855
    Reputations:
    14
    Участием XD
     
    BabaDook likes this.
  10. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    Где-то должна быть админка, но ее тяжело найти с помощью брута ;)
     
    crlf likes this.
  11. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Для особенно одаренных повторю:"Право на подсказку в топике имеет только ТС!".
     
  12. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    В стартовый пост добавлена первая подсказка ;)
     
  13. BillyBons

    BillyBons Active Member

    Joined:
    1 Dec 2016
    Messages:
    221
    Likes Received:
    119
    Reputations:
    13
    Из статистики прохождения получается, что можно найти третий флаг, не найдя при этом второй.

    Upd.
    Первые три флага взяты.
     
    #13 BillyBons, 18 Mar 2019
    Last edited: 19 Mar 2019
  14. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    Капитан! Второй хинт добавлен в первый пост, поднимайте якорь и паруса!
     
  15. beginner2010

    beginner2010 Elder - Старейшина

    Joined:
    21 Nov 2010
    Messages:
    558
    Likes Received:
    348
    Reputations:
    151
    У всех нормально работает? Ничего не открывается кроме админки, отдает 404 на все остальное.
     
    crlf likes this.
  16. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    У всех.
    Ковыряйте пока админку, все флаги на месте, трудности только с первым флагом.
    По независящим от нас причинам контент не отдается, залечим, но не прям сейчас.
    Ищите 4-й флаг и дальше, подсказка есть и очень конкретная.
     
    crlf likes this.
  17. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    Все работает. 4-ый флаг получился не из простых, но несколько участников догадались откуда растут ноги
     
    #17 l1ght, 19 Mar 2019
    Last edited: 19 Mar 2019
  18. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Скорее так, четвертый флаг берется очень легко и просто, но видимо хакеры считают ниже своего достоинства получать его таким способом.

    Сканеры, как ни странно, тоже фейлят.
     
  19. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Поскольку мы еще учимся, даже не применительно к заданию, хочу напомнить, что не все атаки можно выполнить из браузера.
    Иногда нужны дополнительные инструменты, или просто другие.
    Даже между поведением браузеров есть различия.
    Даже один браузер может вести себя по-разному в разных версиях, помните изменения в FireFox?
    Старая и новая Opera тоже ведут себя по-разному.

    Итого: вектор атаки, это не только верная строка, но и способ, которым вы ее отсылаете.
     
  20. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Лог как можно получить?
    если без хинта, как её можно было получить..