Qui Andrea (White Ninja) del team Op3n_L4b per il secondo server del primo bersaglio. 😉
Onestamente una volta trovato l’ip (con un nmap 172.16.11.0/25, il /25 lo abbiamo trovato inserendo i dati che avevamo su subnet calculator), l’obj è stato raggiunto piuttosto facilmente.
Invece di farci distrarre dalle voci degli altri team che provavano a caricare c99, sono partito a spulciare il codice html della home del web server; c’era un link ad un sospetto file php_backdoor.php dove doveva invece esserci un link ad un’immagine se non sbaglio.
Aggiunto quel file nell’url avevamo di fronte una sorta di shell che ci indicava come effettuare ricerche all’interno delle directory.
Io e Igno, che eravamo sul server 2, cerchiamo subito la directory /media/home.
Troviamo un file CAT che contiene in fondo una scritta:
“andate a vedere il file passwrd cazzo!!!!” 🙂
Troviamo subito il file spulciando qualche cartella, con la differenza che era elencato un file passwrd–
Infatti inserendo quello nell’url avevamo un file di username e password senza indicazioni, tolti i due meno in fondo al nome del file abbiamo trovato il file giusto con indicazione e la password.
Il tutto in 3 minuti probabilmente.
L’indirizzo preciso del file era questo:
http://172.16.11.2/images/php-backdoor.php?f=//etc/passwd
E il file conteneva (più o meno) questo:
“Bravo! ha trovato l’indizio. la parola chiave da comunicare alla control room è VARAZZE.
Se vuoi guadagnare ulteriori punti, fai una foto ad una donna fa un acquisto a MARC e portala allo staff.”
Il team si è poi diviso e mentre io e Igno siamo andati alla disperata ricerca del obj2 (CATGE2012-2) Seppone e Orion si sono dedicati al primo server dell’obj1.. che per questioni di attimi era appena stato patchato da un’altra squadra.. se non sbaglio i Netminders (??). XD
La ricerca dell’obj2 non ha portato buoni frutti, non lo abbiamo trovato..
Alla fine in carenza totale di zuccheri e batterie quasi esaurite abbiamo trovato il 3 e il 4..
Per il 4 abbiamo raccolto un po’ di pacchetti spoofando il mac di un altro client connesso perché con il nostro non c’era verso di ottenerne, ma non c’era più tempo o batteria per aircrack.. 🙁
Il prossimo anno ci presenteremo un po’ più attrezzati a livello hardware, dato che avevamo solo 2 Alfa per 4 pc!.. questo da per scontato che non vediamo l’ora di partecipare al prossimo CAT!!!! 😀
Commento di Aspy
Bravi ragazzi. Avete trovato una delle vulnerabilità disseminate nell’applicazione… Ma ve ne sono altre!
Chi le ha trovate?
#1 by Federico@Smash The Cat on 16 Maggio 2012
Qui Federico dal team Smash The Cat per il primo bersaglio!
Per quanto riguarda il secondo server, abbiamo trovato un paio di SQL Injection, di cui una nella form di login che permetteva l’accesso senza credenziali. Poi, una volta loggati, abbiamo utilizzato la form di upload per tirare su almeno un paio di shell in PHP (almeno un paio perchè ci stavamo lavorando in più di uno! 😀 ). A questo punto, come Op3n_L4b abbiamo trovato l’indizio nel file /etc/passwd!
Parlando del primo server invece, sulla 80 aveva un’applicazione WEB, WebCalendar 1.2.4, con una vulnerabilità nota. A questo punto è stato sufficiente utilizzare un exploit appositamente scaricato da exploit-db.com per avere anche qui una shell in php. Nella medesima directory era presente un file contenente l’indizio!
E dopo averlo letto, tappa al bar a bere qualcosa e a prendere 5 birre per gli organizzatori! 😀
E questo per il primo bersaglio è tutto! 😀
#2 by Roberto (Shotokan) on 16 Maggio 2012
(Squadra Netminders)
Una volta ottenuto l’ip, dopo varie disconnessioni dovute a qualche problema tecnico mi sono messo ad attaccare il primo server (172.16.11.1).
Analizzando la pagina ho notato che il cms usato era WebCalendar, cosi’ googlando sono capitato in un exploit di tipo RCE ( http://packetstormsecurity.org/files/112332/webcalendar-exec.txt ), che pero’ una volta eseguito mi restituiva un triste timeout.
Cosi’, modificando default_socket_timeout da 5 a 50 ho evitato la disconnessione per i ritardi della rete, ho lanciato cat `find / -iname “indizio”` ed ho ottenuto gli indizi. poi per la ‘gioia’ degli altri giocatori (piu’ che altro solo per ottenere qualche minuto di vantaggio) ho lanciato rm `find / -iname “indizio”`.
Mentre lavoravo sul primo server sento i giocatori di un altra squadra esaltarsi per essere riusciti a bucare il server 2, allora tramite ARP Poisoning mi sono “sostituito” al server 2 e filtrando le richieste con wireshark ho scoperto diverse richieste verso una c99.php caricata.
Cosi’, esattamente come prima:
cat `find / -iname “indizio”`;
rm `find / -iname “indizio”`;
prima di andarmene ho eseguito:
touch index.html;
mv c99.php c99,php
cosi’ che mi creasse un index vuota nella directory “images” in modo che il contenuto non venisse listato da apache, e infine ho semplicemente ‘reso innocua’ la c99 sostituendo il punto con una virgola.
Intanto Lupo crackava la wep a 128 bit della rete 4, e purtroppo poi per mancanza di batterie & tempo non siamo riusciti a crackare un altra rete (la 3?) di cui avevamo gia’ raccolto 6000 ivs