@l1ght, спасибо. Таск отличный @dooble, @crlf, спасибо и вам! Про шестой флаг могу сказать, что иногда у сложных задач есть простые решения
Последняя подсказка добавлена в топик, до конца таска меньше недели. Флаги принимаются до 4 апреля Всем удачи
Отличный таск получился, интересный, местами чутка сложноватый, но главное, время на решение разгадок не потрачено зря. Хочется в очередной раз поблагодарить авторов всех тасков, но конкретно за таски 3,4,5. Идея освящать в тасках малоизвестные хакерские техники - огонь. Некоторые даже толком не гуглятся, но решая головоломки, собирая по кускам информацию, иногда пользуясь подсказками авторов тасков, очень хорошо прокачивается скилл в отдельно взятых направлениях. В общем, ещё раз спасибо за вашу креативность. А всем остальным, не расслаблять булки. Пятый таск окончен, шестой уже в самом разгаре, не время отдыхать, гоу за новыми флагами
Большое спасибо всем кто участвовал, вы все крутые! репа и ответы подъедут позднее рекомендую отличный нестандартный таск #6 https://forum.antichat.ru/threads/469836/#post-4298661
Да, конечно, write-up ниже Небывалую упертость в поисках флагов показали Gorbachev, MichelleBoxing, Franky_T, BillyBons отдельное вам спасибо ! Что-то издалека похожее на 5 флагов присылал BabaDook Сайт на голом html, открываем панель разработчика. сплошная статика. только один css файл, в котором подгружается картинка из админки flag 1. /style.css Code: ... background:url(/admin_j458hj45ad/login.jpg) /* {flag 1} - hackedbymarysa */ никогда не забывайте просматривать .css и .js файлы, в них можно найти много полезной инфы от админки до скрытых уязвимых сценариев flag 2. /admin_j458hj45ad/.htaccess Code: RewriteEngine off <Files ~ "^.*"> Deny from all </Files> <Files ~ "^index\.php3|css|js|png|jpg|gif|html|htm|hta|svg|pdf|txt|zip|rar|doc|xls|tif|tiff|docx|xlsx|ico|swf|php3"> Allow from all Require all granted </Files> # {flag 2} - marusya4ever кривые регулярки - находка для сканнеров flag 3. /admin_j458hj45ad/upload.php3 Code: if(!isset($_SESSION["admin"])) header("Location: admin_secret_login.php3"); при попытке открыть upload вас перекидывало на админку. но выполнение сценария продолжалось. не забывайте юзать curl/burp во время пентеста решение #1 решение #2 flag 4. /admin_j458hj45ad/admin_secret_login.php3 Code: function logging($url,$ip){ ... $query = "SELECT count(*) FROM adminlog WHERE ip='$ip';"; $query .= "INSERT INTO adminlog VALUES ('$url','$ip');"; $mysqli->multi_query($query); скрытая SQLI. Админ логировал обращение к админке и IP адрес в базу данных, данные брались прямо из хидер заголовка прохождение: flag 5. SQLI на 99% слепая, даже sleep не помогал участникам определить результат выполнения команды Требовалось записать шелл с рутовыми правами без rw дирректорий в файл, залитый с помощью флага #3 многие не поверили что скуля настоящая, кто-то крашил таблицу, кто-то вообще вырубал mysql с помощью ;SHUTDOWN; (и наблюдал error) когда стало понятно, что скуля настоящая почти все, кому удалось покорить флаг сделали это через slow_query_log или general_log_file условный poc: flag 6. Сам флаг создан с правами маруси. Значит нужны права маруси Code: 4901 -rwx------ 1 marusya marusya 14 Feb 25 12:45 flag6.txt заходим в ее домашний каталог, замечаем что файл Code: 2638459 -rw-r--r-- 1 marusya marusya 204 апр 8 11:38 /home/marusya/checksize.zip обновляется каждую минуту особо внимательные заметили в процессах запуск Code: 2633670 -rwxr-xr-x 1 root root 59 мар 19 17:02 cron/clear.php простым решением было написать логгер в кронтаб Code: * * * * * ps aux | grep marusya > /tmp/1.txt кто-то оказался слишком брутальным Code: www-data 17323 98.4 0.1 11216 2080 ? R 21:56 1:10 grep -r marusya / видим запуск /usr/bin/checksize от marusya, там: Code: cd /var/www/html/upload/images/; file=/home/marusya/checksize.zip zip -r -9 ~/checksize.zip * sleep 2 minimumsize=12000000 actualsize=$(wc -c <"$file") if [ $actualsize -ge $minimumsize ]; then wget http://task.antichat.com:10005/cron/clear.php --max-redirect 0 -O /dev/null else echo "normal size" fi решение #1 решение #2 //добавлено про wildcard символ можно почитать https://www.hackingarticles.in/exploiting-wildcard-for-privilege-escalation/ https://www.defensecode.com/public/DefenseCode_Unix_WildCards_Gone_Wild.txt
я про этот пост как раз и написал Читал прохождение про 4-й флаг - всё закончилось на фразе "перебирая заголовки находим инъекцию в заголовке Authorization в параметре url: ...." и что дальше? где флаг то?
Кавычку ставишь, и там флаг. Вообщем, находишь sql инъекцию и получаешь флаг, и понимание в каком направлении действовать
Блин ... не все же такие крутые как Вы и те кто нашел этот флаг Для новичков можно более подробно разжевать где 4-й флаг? это же уже не квест, а объяснение как его пройти...
