Task # Task #3

Discussion in 'Задания/Квесты/CTF/Конкурсы' started by dooble, 26 Jan 2019.

  1. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    task3.jpg

    Скорее всего это последнее задание из конкретно простых.
    Немного сменим направление, чистый веб и никакого программирования.
    Задание не придумано, а основано на реальных событиях, поэтому легенда будет такая:
    Вас попросили проверить сайт, который вероятно взломали и навешали зловредных js.
    Сайт восстановили из чистой копии и попросили найти место, через которое могли его взломать.

    Задание:
    Сайт: http://task3.antichat.com
    Найти уязвимость на сайте, индикатором правильности поиска будет служить флаг md5, но присылать в ПМ форума нужно не его, а само прохождение.

    Срок:
    две недели.

    Прошли:
    crlf

    l1ght
    Gorbachev
    grimnir
    MichelleBoxing
    ZodiaX
    p4ulinho
    =HALK=
    Cybersteger
    redscout
    gurux13
    Franky_T
    unstppbl
    Stepan999


    Прохождения


    ==
     
    #1 dooble, 26 Jan 2019
    Last edited: 17 Mar 2019
    BabaDook, d0xDog, Franky_T and 8 others like this.
  2. Тот_самый_Щуп

    Тот_самый_Щуп Reservists Of Antichat

    Joined:
    23 Mar 2017
    Messages:
    265
    Likes Received:
    174
    Reputations:
    119
    Нормальный таск! Сутки прошли, а ещё никто не осилил. Хорошее начало :D
     
    dooble, XoroXSS and PCD like this.
  3. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,174
    Likes Received:
    1,157
    Reputations:
    202
    Да просто мы его еще на начали делать :cool: #выe6осыотолдфагов
     
    Spinus, dooble and XoroXSS like this.
  4. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Это же не рафинированный кусок скрипта с уязвимостью, а "реальный сайт", просто на исследование "чего тут вообще есть" нужно время.
    Все нормально.

    Полезно поковырять для практики, легально разрешили проверить площадку на прочность, но все же не хочется, чтобы на это тратили слишком много времени, лучше поковырять суть задания.

    Поэтому небольшие хинты.
    У ВП не зря залочена админка.
    Ищем другие точки входа.
    Многие уже нашли, несколько человек уже даже открыли.
    Собственно там и начинается задание, а пока это накладные расходы, свойственные работе на реальных сайтах.

    У олдфагов будет повод убедиться, что один из старых трюков эту дверь тоже откроет.
    Есть и еще одна точка входа, для цтфников она практически стандарт, хотя на сайтах почти не встречается.

    Короче есть два входа, один да найдете.

    Про флаг. Он помечен явно, что это флаг, не ошибетесь.
     
    grimnir, PCD, Spinus and 1 other person like this.
  5. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Времени на анализ и поиск точки входа было достаточно, не хочу чтобы вы убили об этот процесс весь свой запал.
    Можно продолжить решать без подсказок (и это самый правильный выбор), а для тех, кто пока не чувствует себя уверенно в поиске - будет спойлер:
    Кроме Вордпресса на сайте, как многие "заметили", есть еще и /phpmyadmin.
    Но для входа нужна учетная запись.
    Где ее взять?

    Для олдфагов сработает некогда дефолтный пароль для pma
    pma : pmapass
    кстати на реальном сайте сработал именно он.
    И следы о нем до сих пор присутствуют в дефолтном конфиге PMA.

    Кроме того можно обнаружить файл /phpmyadmin/config.inc.php.bak
     
    Shubka75, Coost and crlf like this.
  6. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Иногда простые задания трудно решают.
    Даже топовые ребята.
    Возможно не верят в простое решение, если сразу не получилось, то это должно быть чего то очень навороченное.
    Может и не в этом дело, но у меня такое бывало.

    Хочу еще раз подтвердить, задание очень простое.
    Настолько простое, что вплоть до момента публикации боролся с желанием немного его утяжелить, но не позволил себе сделать этого.
    Решил, пусть лучше человек 200 - 300 (вебщиков то больше, чем кодеров) решат его и получат немного удовольствия от ощущения того, что вот был тупик, не хватает прав и привычных инструментов, но небольшой финт и все заработало.
     
    grimnir and crlf like this.
  7. Тот_самый_Щуп

    Тот_самый_Щуп Reservists Of Antichat

    Joined:
    23 Mar 2017
    Messages:
    265
    Likes Received:
    174
    Reputations:
    119
    Ну по количеству прошедших оно сразу видно, насколько простое. Для цветных не спорю, оно может быть и простое, но выкладывается таск для всех желающих, а не только для цветных.
    К примеру, файл config.inc.php.bak его нету в известных словарях типа dirbuster, база директорий b000m`a, ArxScan, и так далее, соответственно скан привычными инструментами ничего кроме PMA не найдет.

    Лично я на таск забил, потратив достаточно времени на перебор известных багов WP, исследуя REST API, и всевозможные альтернативы для залогинивания, редактирования постов, и так далее.
    Потом присутствие /xmlrpc.php который по сути пустой файл, это тоже сбивало с толку, зачем он там? Это финт, или некий тролл трюк, чтобы сбить с толку. Ну и про PMA тоже самое, когда наткнулся на него, первым делом так же подумал, что он для запутывания, увести в другую сторону от реального решения.
    В общем лично мне таск не зашел, и по большей части из за потраченного времени. Предыдущие два были по красоте, и проходить их было в удовольствие.
     
    #7 Тот_самый_Щуп, 30 Jan 2019
    Last edited: 30 Jan 2019
    dooble likes this.
  8. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Для вебщика PMA - это подарок.
    Ковырять нужно именно его.
    А в ВП специально залочил админку и xmlrpc.php, чтобы не убивались об них.

    Два дня потратить на разведку сайта - это не много для вебщика, сломаться не должен был, потому как обычное дело.
    Если нет такой привычки, вот он удобный случай попрактиковаться.
    Задания решаем не столько для того, чтобы попасть в таблицу, сколько для получения новых навыков.

    Ну и подсказки выложены, используйте их.

    По поводу config.inc.php.bak, пожалуй соглашусь.
    Исходил из того, что это стандартная проверка в ctf, не нужны дополнительные инструменты, все решается без сканеров.
     
    #8 dooble, 30 Jan 2019
    Last edited: 30 Jan 2019
  9. Тот_самый_Щуп

    Тот_самый_Щуп Reservists Of Antichat

    Joined:
    23 Mar 2017
    Messages:
    265
    Likes Received:
    174
    Reputations:
    119
    /xmlrpc.php не лишним было бы заблочить как админку. С админкой всё было ясно с самого начала, а доступный из веба /xmlrpc.php который не реагировал ни на что, сбивал с толку. Возможно только меня, но это как заметка.
     
    #9 Тот_самый_Щуп, 30 Jan 2019
    Last edited: 30 Jan 2019
    dooble likes this.
  10. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    По моему, нормальная практика пробивать конфиги по расширениям типа .old, .swp, .php~ . Тулзы типа wfuzz отрабатывают такое за считанные секунды. И если называть это метод CTF-ным, тогда сюда же можно приплюсовать .git, .idea, да и весь брут дир в целом :)
    По мне так pma : pmapass, на свежих версиях, нонсенс)

    По сложности, таки да, таск не из разряда Ctrl+C/Ctrl+V :(
     
    t0ma5, grimnir and dooble like this.
  11. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    такая практика действительно обычное дело, и
    wp-config.php.bak/swp/etc
    - распространенный косяк из реальных условий. ctf-ники живут в своем мире и всегда смотрят на три шага вперед, поэтому
    config.inc.php.bak или дира pma/admin/
    - вполне себе теоретически существующая уязвимость :) отсылка с pmapass исключительно для олдов, поэтому недовольство Gorbachev обосновано. Желаю докопаться до истины, всем кто не сдается и продолжает решать таск ! ;)
    //добавил спойлеры,если кто-то только начинает делать таск
     
    grimnir and dooble like this.
  12. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    Ты похоже зарешал?

    прекрати терзать никнейм :p
     
  13. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Не, ты что, я всё. Потерял интерес.
     
  14. Jerri

    Jerri Elder - Старейшина

    Joined:
    12 Jul 2009
    Messages:
    136
    Likes Received:
    377
    Reputations:
    22
    А я ведь пытался гуглить что-то вроде phpmyadmin default password)) Правда не нашел того, что надо. Обидно)
     
    dooble likes this.
  15. Тот_самый_Щуп

    Тот_самый_Щуп Reservists Of Antichat

    Joined:
    23 Mar 2017
    Messages:
    265
    Likes Received:
    174
    Reputations:
    119
    http://task.antichat.com:10003/?p=1
    Флаг нашёл. Да потсоны, таск действительно легкий, там всё очень просто, ещё проще чем предыдущие таски. Постоянно так делаем в повседневной жизни:)
    Поскольку про pma юзверя я был не в курсе, а файл config.inc.php.bak я своим сканнером не нашёл, заявлять что прошел таск не буду. Но было довольно любопытно.
     
    crlf and l1ght like this.
  16. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Да, информация не гуглится, больше из практики.
    В разное время срабатывали комбинации
    pma : пусто
    pma : pma
    pma : pmapass
    Сейчас это скорее всего не актуально.
     
  17. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    фишку с аккаунтом php : pmapass нельзя назвать не актуальной: советую взять на заметку, потому что на практике такая вещь встречается. она не теряет своей актуальности, ввиду того что создание аккаунта pma описано в официальных манах как самого pma
    https://docs.phpmyadmin.net/en/latest/setup.html (раздел Manual configuration)
    так и в сотни других инструкций по установки этого по: https://wiki.archlinux.org/index.php/phpMyAdmin
    на форуме эта фишка упоминалась очень давно, поэтому и помнят только старые пользователи. узнать о ней можно было собственно скачав движок с офф сайта :) изучив config.sample.inc.php/doc/sql/examples
     
  18. Тот_самый_Щуп

    Тот_самый_Щуп Reservists Of Antichat

    Joined:
    23 Mar 2017
    Messages:
    265
    Likes Received:
    174
    Reputations:
    119
    l1ght, у тебя репутация 272 ук рф :D
    По таску, Sqlmap уже в третий раз выручает :)
     
  19. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    да чтоб у тебя sqlmap перестал вставать на иньекции за такие рофланы :)
     
  20. rudi

    rudi Active Member

    Joined:
    3 Jun 2010
    Messages:
    492
    Likes Received:
    186
    Reputations:
    5
    grimnir, l1ght and dooble like this.