Task # Task #5

Discussion in 'Задания/Квесты/CTF/Конкурсы' started by l1ght, 14 Mar 2019.

  1. gurux13

    gurux13 Member

    Joined:
    4 Feb 2019
    Messages:
    8
    Likes Received:
    30
    Reputations:
    48
    @l1ght, спасибо. Таск отличный :)
    @dooble, @crlf, спасибо и вам!
    Про шестой флаг могу сказать, что иногда у сложных задач есть простые решения :)
     
  2. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    Последняя подсказка добавлена в топик, до конца таска меньше недели. Флаги принимаются до 4 апреля
    Всем удачи ;)
     
    BabaDook and MichelleBoxing like this.
  3. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    blya 18+
    сарян error 404
    мя кроет
     
    Franky_T and crlf like this.
  4. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    Ответы принимаются до 16:00 (мск)

    // Закрыто
     
    #44 l1ght, 4 Apr 2019
    Last edited: 4 Apr 2019
  5. Тот_самый_Щуп

    Тот_самый_Щуп Reservists Of Antichat

    Joined:
    23 Mar 2017
    Messages:
    265
    Likes Received:
    174
    Reputations:
    119
    Отличный таск получился, интересный, местами чутка сложноватый, но главное, время на решение разгадок не потрачено зря.
    Хочется в очередной раз поблагодарить авторов всех тасков, но конкретно за таски 3,4,5. Идея освящать в тасках малоизвестные хакерские техники - огонь. Некоторые даже толком не гуглятся, но решая головоломки, собирая по кускам информацию, иногда пользуясь подсказками авторов тасков, очень хорошо прокачивается скилл в отдельно взятых направлениях.
    В общем, ещё раз спасибо за вашу креативность.

    А всем остальным, не расслаблять булки. Пятый таск окончен, шестой уже в самом разгаре, не время отдыхать, гоу за новыми флагами :cool:
     
    l1ght likes this.
  6. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    Большое спасибо всем кто участвовал, вы все крутые! репа и ответы подъедут позднее

    рекомендую отличный нестандартный таск #6
    https://forum.antichat.ru/threads/469836/#post-4298661
     
    eminlayer7788, dooble and crlf like this.
  7. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Только один кончил таск?
     
  8. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    Верно, официально целиком весь таск закончил только один человек ;)
     
  9. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Все остальные не пацаны. Не взял 6й флаг, не пацан.
    [Подсказал бы что ли на 6й.
     
    #49 BabaDook, 5 Apr 2019
    Last edited: 5 Apr 2019
  10. BillyBons

    BillyBons Active Member

    Joined:
    1 Dec 2016
    Messages:
    221
    Likes Received:
    119
    Reputations:
    13
    +1 к просьбе о write-up
     
  11. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    Да, конечно, write-up ниже

    Небывалую упертость в поисках флагов показали Gorbachev, MichelleBoxing, Franky_T, BillyBons отдельное вам спасибо ! Что-то издалека похожее на 5 флагов присылал BabaDook


    Сайт на голом html, открываем панель разработчика. сплошная статика. только один css файл, в котором подгружается картинка из админки

    flag 1.
    /style.css

    Code:
    
    ...
            background:url(/admin_j458hj45ad/login.jpg)
           /* {flag 1} - hackedbymarysa */
    
    никогда не забывайте просматривать .css и .js файлы, в них можно найти много полезной инфы от админки до скрытых уязвимых сценариев

    flag 2.
    /admin_j458hj45ad/.htaccess
    Code:
    RewriteEngine off
    <Files ~ "^.*">
      Deny from all
    </Files>
    
    <Files ~ "^index\.php3|css|js|png|jpg|gif|html|htm|hta|svg|pdf|txt|zip|rar|doc|xls|tif|tiff|docx|xlsx|ico|swf|php3">
      Allow from all
      Require all granted
    </Files>
    # {flag 2} - marusya4ever
    кривые регулярки - находка для сканнеров

    flag 3.
    /admin_j458hj45ad/upload.php3

    Code:
     if(!isset($_SESSION["admin"])) header("Location: admin_secret_login.php3");
    при попытке открыть upload вас перекидывало на админку. но выполнение сценария продолжалось. не забывайте юзать curl/burp во время пентеста

    решение #1
    решение #2
    flag 4.
    /admin_j458hj45ad/admin_secret_login.php3

    Code:
    function logging($url,$ip){
    ...
    $query  = "SELECT count(*) FROM adminlog WHERE ip='$ip';";
    $query .= "INSERT INTO adminlog VALUES ('$url','$ip');";
    $mysqli->multi_query($query);
    скрытая SQLI. Админ логировал обращение к админке и IP адрес в базу данных, данные брались прямо из хидер заголовка

    kartinka.jpg

    прохождение:
    flag 5.
    SQLI на 99% слепая, даже sleep не помогал участникам определить результат выполнения команды
    Требовалось записать шелл с рутовыми правами без rw дирректорий в файл, залитый с помощью флага #3
    многие не поверили что скуля настоящая, кто-то крашил таблицу, кто-то вообще вырубал mysql с помощью ;SHUTDOWN; (и наблюдал error)
    когда стало понятно, что скуля настоящая

    почти все, кому удалось покорить флаг сделали это через slow_query_log или general_log_file
    условный poc:
    flag 6. Сам флаг создан с правами маруси. Значит нужны права маруси
    Code:
    4901 -rwx------  1 marusya marusya   14 Feb 25 12:45 flag6.txt
    заходим в ее домашний каталог, замечаем что файл
    Code:
    2638459 -rw-r--r-- 1 marusya marusya 204 апр  8 11:38 /home/marusya/checksize.zip
    обновляется каждую минуту
    особо внимательные заметили в процессах запуск
    Code:
    2633670 -rwxr-xr-x 1 root root 59 мар 19 17:02 cron/clear.php
    простым решением было написать логгер в кронтаб
    Code:
    * * * * * ps aux | grep marusya > /tmp/1.txt
    кто-то оказался слишком брутальным
    Code:
    www-data 17323 98.4  0.1  11216  2080 ?        R    21:56   1:10 grep -r marusya /
    видим запуск /usr/bin/checksize от marusya, там:
    Code:
    cd /var/www/html/upload/images/;
    file=/home/marusya/checksize.zip
    zip -r -9 ~/checksize.zip *
    sleep 2
    minimumsize=12000000
    actualsize=$(wc -c <"$file")
    if [ $actualsize -ge $minimumsize ]; then
         wget http://task.antichat.com:10005/cron/clear.php --max-redirect 0 -O /dev/null
    else
        echo "normal size"
    fi
    решение #1
    решение #2
    //добавлено
    про wildcard символ можно почитать
    https://www.hackingarticles.in/exploiting-wildcard-for-privilege-escalation/
    https://www.defensecode.com/public/DefenseCode_Unix_WildCards_Gone_Wild.txt
     
    #51 l1ght, 8 Apr 2019
    Last edited: 8 Apr 2019
    =HALK=, Franky_T, BabaDook and 5 others like this.
  12. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Лайту уважуха, крутое задание. +1 в копилку
     
  13. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Добавьте ссылку на райтап в первое сообщение. Как сделано и в других тасках. Спасибо
     
    _________________________
  14. MichelleBoxing

    MichelleBoxing Reservists Of Antichat

    Joined:
    12 Nov 2018
    Messages:
    19
    Likes Received:
    32
    Reputations:
    57
    Спасибо за таск @l1ght, было очень интересно.
     
  15. GTAlex

    GTAlex New Member

    Joined:
    7 Sep 2009
    Messages:
    48
    Likes Received:
    0
    Reputations:
    0
    так и не понял - где 4-й флаг то?
     
  16. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
  17. GTAlex

    GTAlex New Member

    Joined:
    7 Sep 2009
    Messages:
    48
    Likes Received:
    0
    Reputations:
    0
    я про этот пост как раз и написал
    Читал прохождение про 4-й флаг - всё закончилось на фразе "перебирая заголовки находим инъекцию в заголовке Authorization в параметре url: ...."
    и что дальше? где флаг то?
     
  18. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Кавычку ставишь, и там флаг. Вообщем, находишь sql инъекцию и получаешь флаг, и понимание в каком направлении действовать
     
  19. GTAlex

    GTAlex New Member

    Joined:
    7 Sep 2009
    Messages:
    48
    Likes Received:
    0
    Reputations:
    0
    Блин ... не все же такие крутые как Вы и те кто нашел этот флаг :(
    Для новичков можно более подробно разжевать где 4-й флаг? это же уже не квест, а объяснение как его пройти...
     
  20. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    ТАк в чём проблема взять и попробовать.