Posts Tagged cat2012
Cracca al Tesoro Genova 2012 Bersaglio due. Setuid, chi era costui?
Posted by aspy in CAT2009 FIRST Edition on 23 Maggio 2012
Ancora un post sui bersagli di Cracca al Tesoro. Parliamo questa volta del bersaglio due, posizionato presso la reception della Fiera. L’access point con SSID “CATGE2012-2” era protetto da una WEP 64bit la cui chiave era “1111111111”.
Il primo server, con indirizzo 172.16.12.1/25, era un sistema linux con porte ssh e web aperte. La vulnerabilità inserita era exploitabile individuando l’utente “guest” con password “guest”.
Nella home dell’utente “guest” si trovava il file “indizio”.
Ma non era tutto qui…
Pensare da hacker… I Vuoto Totale
Paradosso, dei Vuoto Totale
Ho lasciato perdere il primo AP dopo qualche tentativo fallito, vedendo la folla di squadre avversarie che si radunava: tanta gente, poco segnale. Mi sono diretto dalla parte opposta seguendo un’altra frequenza: due turiste, biondissime, evidentemente molto interessate alla mia antenna 😉
La parola a Lupo dei Netminders
Mario aka “Lupo” – Squadra Netminders
Ciao a tutti!
Sento ancora nell’aria tutte le emozioni provate al CAT2012. E’ stata un’esperienza bellissima e anche molto istruttiva, soprattutto per me che non sono “del mestiere” come i miei compagni di squadra e alcuni amici presenti all’evento. Era dal 2009 che avrei voluto partecipare ma per un motivo o per l’altro non ci sono mai riuscito. Quest’anno abbiamo organizzato la squadra alcune settimane prima dell’evento ed eravamo tutti molto carichi di aspettative. Il nostro Caposquadra Pawel (della pwzsolutions.it) ha sapientemente distribuito i compiti tra i vari membri. Ovviamente al sottoscritto, essendo il meno “esperto”, sarebbero toccate le eventuali chiavi WEP degli AP e del Social Engineering con le altre squadre.
Netminders: sfruttare il regolamento
(Roberto aka Shotokan – Squadra Netminders, sponsorizzata da http://www.pwzsolutions.it/)
Buona sera!
Ho appena letto su www.craccaaltesoro.it il post sul 2° server (http://www.craccaaltesoro.it/il-racconto-di-op3n_l4b-dal-bersaglio-uno/)
volevo dirvi, come avevamo già anticipato, che avevo attaccato il secondo server semplicemente lasciando che lo facessero gli altri giocatori, tramite MITM leggevo i pacchetti tra pc e server ed ho notato che qualcuno aveva caricato la c99.php e l’ho utilizzata direttamente [;)]
Una volta ottenuto l’ip, dopo varie disconnessioni dovute a qualche problema tecnico mi sono messo ad attaccare il primo server (172.16.11.1).
Analizzando la pagina ho notato che il cms usato era WebCalendar, così googlando sono capitato in un exploit di tipo RCE ( http://packetstormsecurity.org/files/112332/webcalendar-exec.txt ), che però una volta eseguito mi restituiva un triste timeout.
Così, modificando default_socket_timeout da 5 a 50 ho evitato la disconnessione per i ritardi della rete, ho lanciato cat `find / -iname “indizio”` ed ho ottenuto gli indizi.
Mentre lavoravo sul primo server sento i giocatori di un altra squadra esaltarsi per essere riusciti a bucare il server 2, allora tramite ARP Poisoning mi sono “sostituito” al server 2 e filtrando le richieste con wireshark ho scoperto diverse richieste verso una c99.php caricata.
Prima di andarmene ho eseguito:
touch index.html;
mv c99.php c99,php
così che mi creasse un index vuota nella directory “images” in modo che il contenuto non venisse listato da apache, e infine ho semplicemente ‘reso innocua’ la c99 sostituendo il punto con una virgola.
Intanto Lupo crackava la wep a 128 bit della rete 4, e purtroppo poi per mancanza di batterie & tempo non siamo riusciti a crackare un altra rete (la 3?) di cui avevamo già raccolto 6000 ivs.
Commento di Aspy
Ecco una applicazione interessante del regolamento. Chiudere i buchi, decidendo di perdere un po di tempo (nemmeno tanto poi!) per rallentare gli avversari.
Bellissimo anche, in puro stile hacker, il MITM per carpire informazioni!
Notizie dal primo bersaglio da Smash The Cat!
Qui Federico dal team Smash The Cat per il primo bersaglio!
Per quanto riguarda il secondo server, abbiamo trovato un paio di SQL Injection, di cui una nella form di login che permetteva l’accesso senza credenziali. Poi, una volta loggati, abbiamo utilizzato la form di upload per tirare su almeno un paio di shell in PHP (almeno un paio perché ci stavamo lavorando in più di uno! 😀 ). A questo punto, come Op3n_L4b abbiamo trovato l’indizio nel file /etc/passwd!
Parlando del primo server invece, sulla 80 aveva un’applicazione WEB, WebCalendar 1.2.4, con una vulnerabilità nota. A questo punto è stato sufficiente utilizzare un exploit appositamente scaricato da exploit-db.com per avere anche qui una shell in php. Nella medesima directory era presente un file contenente l’indizio!
E dopo averlo letto, tappa al bar a bere qualcosa e a prendere 5 birre per gli organizzatori! 😀
E questo per il primo bersaglio è tutto! 😀
Commento di Aspy
Un “OOOOMPAAAA!!!!” se lo meritano, sono i vincitori di CAT!!!
cracca al tesoro Genova 2012: bersaglio uno
Eccoci pronti per raccontare qualcosa del bersaglio 1. Già abbiamo in precedenza descritto la locazione degli access point e gli indirizzi ip dei server. Adesso parleremo delle vulnerabilità predisposte.
Entrambi i server del bersaglio 1 erano delle macchine linux, Debian se non ricordo male. Su entrambe era installato un sistema LAMP (Linux, Apache, MySQL, PHP), in pratica erano presenti dei server WEB e proprio in questo servizio avevamo predisposto le vulnerabilità.
Nel server 1 era stata installata l’applicazione WebCalendar 1.2.4 [1].
Nel server 2 era stata installata l’applicazione Galleria, “aggiustata” per l’occasione dal sottoscritto sulla base di “Peruggia” [2], una web application scritta appositamente per essere vulnerabile ed essere utilizzata come pentest lab.
Come avranno fatto Smash The Cat, Netminders, CrackoniShould We Play?, Advanced Persistent Kitten, Op3n_L4b a bucare queste applicazioni? Aspettiamo che ce lo raccontino in prima persona!
Intanto che aspettiamo che le squadre rispondano al nostro appello, perché non provate da soli?
[1] Link https://sourceforge.net/projects/webcalendar/
[2] Link http://peruggia.sourceforge.net/
Qualche dettaglio sui bersagli di Cracca al Tesoro Genova 2012
So bene che alcuni fremono per sapere cosa avevamo preparato. Cominceremo oggi ad alzare i primi veli, premettendo che non tutto sarà svelato (permettetemi il gioco di parole) per lasciare qualcosa alla vostra fantasia e anche ai giocatori della prossima edizione di Cracca Al Tesoro…
1. L’infrastruttura tecnologica e di comunicazione
Come già nelle precedenti edizioni, i server bersaglio sono virtualizzati presso la control room e sono collegati agli access point dislocati nelle varie locazioni tramite vpn gestite dai router SonicWall. Le novità di quest’anno consistevano nel fatto che gli access point utilizzati sono stati dei Nebula e non i classici SonicWall utilizzati dalla seconda edizione in poi e che la rete di trasporto è stata la rete interna di Ente Fiera, in fibra ottica. Il che ha permesso di usufruire di una elevata banda con tutto quel che ne consegue in termini di necessità di contenimento dell’effetto DOS sugli apparati bersaglio.
Ed ecco la posizione degli access point e le squadre che “sono andate a punti”:
- molo darsena: (AP non protetto da crittografia) bersagli bucati da Smash The Cat, Netminders, CrackoniShould We Play?, Advanced Persistent Kitten, Op3n_L4b
- reception: AP con WEP64 bucato da Advanced Persistent Kitten e Vuoto Totale, che bucano anche un bersaglio
- fiera congressi: AP con WEP64 bucato da Smash The Cat che bucano anche un bersaglio, Black Mesa, Vuoto Totale, CracDance
- padiglione marc: AP con WEP128 bucato da Advanced Persistent Kitten, Smash The Cat, CrackDance, Netminders, Crackoni, Should We Play?
- …. hidden…
Di nuovo il discorso “/25” ha fuorviato molte squadre. Lo abbiamo detto più volte, non esistono solo le “/24”, ovvero le subnet con netmask 255.255.255.0
Ci possono essere svariate combinazioni, noi ad esempio abbiamo usato come netmask 255.255.255.128 (la “/25”, ovvero netmask con 25 bit a 1, che consente di splittare una classica rete di classe C, “/24” appunto, in due sottoreti da 128 host ciascuna) , il che ci ha permesso di gestire meglio le vpn. Informazioni si trovano dappertutto in internet. Ad esempio ecco un articolo di Emiliano Bruni http://www.ebruni.it/docs/la_netmask_spiegata_a_mia_figlia/.
Premesso questo, gli indirizzi IP dei vari bersagli erano abbastanza facili da individuare. Ovviamente gli access point erano sull’altra subnet…
- server a) 172.168.11.1 – server b) 172.16.11.2
- server a) 172.168.12.1 – server b) 172.16.12.2
- server a) 172.168.13.1 – server b) 172.16.13.2
- server a) 172.16.14.5 – server b) 172.16.14.10
- …hidden…
Per ora è tutto. La descrizione del primo bersaglio e delle vulnerabilità configurate nella prossima puntata 🙂
foto e video di Cracca Al Tesoro Genova 2012
Aggiornamento del 20 maggio – Ecco le foto!
Foto: Galleria delle foto di Cat Cracca al Tesoro Genova 2012
Video: Il briefing prima del via a CAT 2012 Genova
Link al video del servizio su TG3 Liguria.
Vi aggiorneremo man mano sui nuovi link a disposizione.
L’elenco delle squadre iscritte a Cracca Al Tesoro Genova 2012
Pubblico l’elenco delle squadre che si sono iscritte a CAT Cracca al Tesoro Genova 2012. Alcune squadre si sono iscritte all’ultimo minuto, la mattina di sabato senza fare la preiscrizione sul sito (e questo ha creato qualche scompiglio al desk della reception, avevamo finito i moduli bersaglio! 🙂 ) .
Ben sei squadre da Genova, un record di partecipazione da una singola città. Concorrenti sono giunti anche da Milano, Torino, Roma, Parma, Macerata, Alessandria.
Ecco l’elenco degli iscritti e città di provenienza, in ordine di iscrizione
- Try For Fun – Cormano (MI)
- Vuoto Totale – Torino (TO)
- I Sarchiapones – Roma (RM)
- Netminders – Fidenza (PR)
- Smash The Cat – Torino (TO)
- Op3n_L4b – Genova (GE)
- Host Hunter – Genova (GE)
- AloHomora – Luserna San Giovanni (TO)
- Should We Play? – Genova (GE)
- Prato Hackers – Prato (PO)
- Minecraft – Genova (GE)
- Advanced Persistent Kitten – Torino (TO)
- Crackdance – Genova (GE)
- Black Mesa – Genova (GE)
- Sith Lords – Milano (MI)
- No Space – Macerata (MC)
- Crackoni – Alessandria (AL)
Cracca al Tesoro Genova 2012, in archivio una edizione memorabile!
Memorabile, in primo luogo per la città: bellissima. Per la location, dentro la Fiera che ci ha permesso di utilizzare la propria infrastruttura in fibra per il collegamento dei bersagli alla control room, per il numero di squadre: ben 17 da tutta Italia!
Una edizione combattuta fino all’ultimo minuto; l’hanno spuntata i ragazzi di Smash The CAT con 36 punti che si sono aggiudicati il premio CLUSIT (iscrizione gratuita per un anno e possibilità di seguire tutti i seminari CLUSIT) e 2 router SonicWall, seguiti a pari punti (31) da Netminders e Crackoni (31). Un pari merito che si è risolto a favore dei Netminders perché a differenza degli altri, hanno anche mandato le parole chiave trovate negli indizi via sms alla control rom, (la modalità richiesta dal regolamento per comunicare i bersagli acquisiti) aggiudicandosi i due router wifi Nebula (lo stesso modello di quelli utilizzati nel gioco) messi in palio da Fly Communications mentre i Crackoni hanno vinto un kit internet satellitare Tooway. Ai componenti di entrambe le squadre inoltre va la possibilità di seguire un seminario CLUSIT a scelta.
Stanchi ma soddisfatti, tutti alla festa finale in darsena per bere, mangiare e chiacchierare all’aperitivo-cena offerto dall’organizzazione.
Grazie ancora a tutti, adesso aspettiamo le vostre foto, video e commenti. Noi pubblicheremo la mappatura di rete, i bersagli e le vulnerabilità predisposte.
A presto!