Posts Tagged vulnerabilita
Cracca al Tesoro Genova 2012 Bersaglio due. Setuid, chi era costui?
Posted by aspy in CAT2009 FIRST Edition on 23 Maggio 2012
Ancora un post sui bersagli di Cracca al Tesoro. Parliamo questa volta del bersaglio due, posizionato presso la reception della Fiera. L’access point con SSID “CATGE2012-2” era protetto da una WEP 64bit la cui chiave era “1111111111”.
Il primo server, con indirizzo 172.16.12.1/25, era un sistema linux con porte ssh e web aperte. La vulnerabilità inserita era exploitabile individuando l’utente “guest” con password “guest”.
Nella home dell’utente “guest” si trovava il file “indizio”.
Ma non era tutto qui…
Pensare da hacker… I Vuoto Totale
Paradosso, dei Vuoto Totale
Ho lasciato perdere il primo AP dopo qualche tentativo fallito, vedendo la folla di squadre avversarie che si radunava: tanta gente, poco segnale. Mi sono diretto dalla parte opposta seguendo un’altra frequenza: due turiste, biondissime, evidentemente molto interessate alla mia antenna 😉
La parola a Lupo dei Netminders
Mario aka “Lupo” – Squadra Netminders
Ciao a tutti!
Sento ancora nell’aria tutte le emozioni provate al CAT2012. E’ stata un’esperienza bellissima e anche molto istruttiva, soprattutto per me che non sono “del mestiere” come i miei compagni di squadra e alcuni amici presenti all’evento. Era dal 2009 che avrei voluto partecipare ma per un motivo o per l’altro non ci sono mai riuscito. Quest’anno abbiamo organizzato la squadra alcune settimane prima dell’evento ed eravamo tutti molto carichi di aspettative. Il nostro Caposquadra Pawel (della pwzsolutions.it) ha sapientemente distribuito i compiti tra i vari membri. Ovviamente al sottoscritto, essendo il meno “esperto”, sarebbero toccate le eventuali chiavi WEP degli AP e del Social Engineering con le altre squadre.
Netminders: sfruttare il regolamento
(Roberto aka Shotokan – Squadra Netminders, sponsorizzata da http://www.pwzsolutions.it/)
Buona sera!
Ho appena letto su www.craccaaltesoro.it il post sul 2° server (http://www.craccaaltesoro.it/il-racconto-di-op3n_l4b-dal-bersaglio-uno/)
volevo dirvi, come avevamo già anticipato, che avevo attaccato il secondo server semplicemente lasciando che lo facessero gli altri giocatori, tramite MITM leggevo i pacchetti tra pc e server ed ho notato che qualcuno aveva caricato la c99.php e l’ho utilizzata direttamente [;)]
Una volta ottenuto l’ip, dopo varie disconnessioni dovute a qualche problema tecnico mi sono messo ad attaccare il primo server (172.16.11.1).
Analizzando la pagina ho notato che il cms usato era WebCalendar, così googlando sono capitato in un exploit di tipo RCE ( http://packetstormsecurity.org/files/112332/webcalendar-exec.txt ), che però una volta eseguito mi restituiva un triste timeout.
Così, modificando default_socket_timeout da 5 a 50 ho evitato la disconnessione per i ritardi della rete, ho lanciato cat `find / -iname “indizio”` ed ho ottenuto gli indizi.
Mentre lavoravo sul primo server sento i giocatori di un altra squadra esaltarsi per essere riusciti a bucare il server 2, allora tramite ARP Poisoning mi sono “sostituito” al server 2 e filtrando le richieste con wireshark ho scoperto diverse richieste verso una c99.php caricata.
Prima di andarmene ho eseguito:
touch index.html;
mv c99.php c99,php
così che mi creasse un index vuota nella directory “images” in modo che il contenuto non venisse listato da apache, e infine ho semplicemente ‘reso innocua’ la c99 sostituendo il punto con una virgola.
Intanto Lupo crackava la wep a 128 bit della rete 4, e purtroppo poi per mancanza di batterie & tempo non siamo riusciti a crackare un altra rete (la 3?) di cui avevamo già raccolto 6000 ivs.
Commento di Aspy
Ecco una applicazione interessante del regolamento. Chiudere i buchi, decidendo di perdere un po di tempo (nemmeno tanto poi!) per rallentare gli avversari.
Bellissimo anche, in puro stile hacker, il MITM per carpire informazioni!
Notizie dal primo bersaglio da Smash The Cat!
Qui Federico dal team Smash The Cat per il primo bersaglio!
Per quanto riguarda il secondo server, abbiamo trovato un paio di SQL Injection, di cui una nella form di login che permetteva l’accesso senza credenziali. Poi, una volta loggati, abbiamo utilizzato la form di upload per tirare su almeno un paio di shell in PHP (almeno un paio perché ci stavamo lavorando in più di uno! 😀 ). A questo punto, come Op3n_L4b abbiamo trovato l’indizio nel file /etc/passwd!
Parlando del primo server invece, sulla 80 aveva un’applicazione WEB, WebCalendar 1.2.4, con una vulnerabilità nota. A questo punto è stato sufficiente utilizzare un exploit appositamente scaricato da exploit-db.com per avere anche qui una shell in php. Nella medesima directory era presente un file contenente l’indizio!
E dopo averlo letto, tappa al bar a bere qualcosa e a prendere 5 birre per gli organizzatori! 😀
E questo per il primo bersaglio è tutto! 😀
Commento di Aspy
Un “OOOOMPAAAA!!!!” se lo meritano, sono i vincitori di CAT!!!
Il racconto di Op3n_L4b dal bersaglio uno!
Qui Andrea (White Ninja) del team Op3n_L4b per il secondo server del primo bersaglio. 😉
Onestamente una volta trovato l’ip (con un nmap 172.16.11.0/25, il /25 lo abbiamo trovato inserendo i dati che avevamo su subnet calculator), l’obj è stato raggiunto piuttosto facilmente.
Invece di farci distrarre dalle voci degli altri team che provavano a caricare c99, sono partito a spulciare il codice html della home del web server; c’era un link ad un sospetto file php_backdoor.php dove doveva invece esserci un link ad un’immagine se non sbaglio.
Aggiunto quel file nell’url avevamo di fronte una sorta di shell che ci indicava come effettuare ricerche all’interno delle directory.
Io e Igno, che eravamo sul server 2, cerchiamo subito la directory /media/home.
Troviamo un file CAT che contiene in fondo una scritta:
“andate a vedere il file passwrd cazzo!!!!” 🙂
Troviamo subito il file spulciando qualche cartella, con la differenza che era elencato un file passwrd–
Infatti inserendo quello nell’url avevamo un file di username e password senza indicazioni, tolti i due meno in fondo al nome del file abbiamo trovato il file giusto con indicazione e la password.
Il tutto in 3 minuti probabilmente.
L’indirizzo preciso del file era questo:
http://172.16.11.2/images/php-backdoor.php?f=//etc/passwd
E il file conteneva (più o meno) questo:
“Bravo! ha trovato l’indizio. la parola chiave da comunicare alla control room è VARAZZE.
Se vuoi guadagnare ulteriori punti, fai una foto ad una donna fa un acquisto a MARC e portala allo staff.”
Il team si è poi diviso e mentre io e Igno siamo andati alla disperata ricerca del obj2 (CATGE2012-2) Seppone e Orion si sono dedicati al primo server dell’obj1.. che per questioni di attimi era appena stato patchato da un’altra squadra.. se non sbaglio i Netminders (??). XD
La ricerca dell’obj2 non ha portato buoni frutti, non lo abbiamo trovato..
Alla fine in carenza totale di zuccheri e batterie quasi esaurite abbiamo trovato il 3 e il 4..
Per il 4 abbiamo raccolto un po’ di pacchetti spoofando il mac di un altro client connesso perché con il nostro non c’era verso di ottenerne, ma non c’era più tempo o batteria per aircrack.. 🙁
Il prossimo anno ci presenteremo un po’ più attrezzati a livello hardware, dato che avevamo solo 2 Alfa per 4 pc!.. questo da per scontato che non vediamo l’ora di partecipare al prossimo CAT!!!! 😀
Commento di Aspy
Bravi ragazzi. Avete trovato una delle vulnerabilità disseminate nell’applicazione… Ma ve ne sono altre!
Chi le ha trovate?
cracca al tesoro Genova 2012: bersaglio uno
Eccoci pronti per raccontare qualcosa del bersaglio 1. Già abbiamo in precedenza descritto la locazione degli access point e gli indirizzi ip dei server. Adesso parleremo delle vulnerabilità predisposte.
Entrambi i server del bersaglio 1 erano delle macchine linux, Debian se non ricordo male. Su entrambe era installato un sistema LAMP (Linux, Apache, MySQL, PHP), in pratica erano presenti dei server WEB e proprio in questo servizio avevamo predisposto le vulnerabilità.
Nel server 1 era stata installata l’applicazione WebCalendar 1.2.4 [1].
Nel server 2 era stata installata l’applicazione Galleria, “aggiustata” per l’occasione dal sottoscritto sulla base di “Peruggia” [2], una web application scritta appositamente per essere vulnerabile ed essere utilizzata come pentest lab.
Come avranno fatto Smash The Cat, Netminders, CrackoniShould We Play?, Advanced Persistent Kitten, Op3n_L4b a bucare queste applicazioni? Aspettiamo che ce lo raccontino in prima persona!
Intanto che aspettiamo che le squadre rispondano al nostro appello, perché non provate da soli?
[1] Link https://sourceforge.net/projects/webcalendar/
[2] Link http://peruggia.sourceforge.net/
Qualche dettaglio sui bersagli di Cracca al Tesoro Genova 2012
So bene che alcuni fremono per sapere cosa avevamo preparato. Cominceremo oggi ad alzare i primi veli, premettendo che non tutto sarà svelato (permettetemi il gioco di parole) per lasciare qualcosa alla vostra fantasia e anche ai giocatori della prossima edizione di Cracca Al Tesoro…
1. L’infrastruttura tecnologica e di comunicazione
Come già nelle precedenti edizioni, i server bersaglio sono virtualizzati presso la control room e sono collegati agli access point dislocati nelle varie locazioni tramite vpn gestite dai router SonicWall. Le novità di quest’anno consistevano nel fatto che gli access point utilizzati sono stati dei Nebula e non i classici SonicWall utilizzati dalla seconda edizione in poi e che la rete di trasporto è stata la rete interna di Ente Fiera, in fibra ottica. Il che ha permesso di usufruire di una elevata banda con tutto quel che ne consegue in termini di necessità di contenimento dell’effetto DOS sugli apparati bersaglio.
Ed ecco la posizione degli access point e le squadre che “sono andate a punti”:
- molo darsena: (AP non protetto da crittografia) bersagli bucati da Smash The Cat, Netminders, CrackoniShould We Play?, Advanced Persistent Kitten, Op3n_L4b
- reception: AP con WEP64 bucato da Advanced Persistent Kitten e Vuoto Totale, che bucano anche un bersaglio
- fiera congressi: AP con WEP64 bucato da Smash The Cat che bucano anche un bersaglio, Black Mesa, Vuoto Totale, CracDance
- padiglione marc: AP con WEP128 bucato da Advanced Persistent Kitten, Smash The Cat, CrackDance, Netminders, Crackoni, Should We Play?
- …. hidden…
Di nuovo il discorso “/25” ha fuorviato molte squadre. Lo abbiamo detto più volte, non esistono solo le “/24”, ovvero le subnet con netmask 255.255.255.0
Ci possono essere svariate combinazioni, noi ad esempio abbiamo usato come netmask 255.255.255.128 (la “/25”, ovvero netmask con 25 bit a 1, che consente di splittare una classica rete di classe C, “/24” appunto, in due sottoreti da 128 host ciascuna) , il che ci ha permesso di gestire meglio le vpn. Informazioni si trovano dappertutto in internet. Ad esempio ecco un articolo di Emiliano Bruni http://www.ebruni.it/docs/la_netmask_spiegata_a_mia_figlia/.
Premesso questo, gli indirizzi IP dei vari bersagli erano abbastanza facili da individuare. Ovviamente gli access point erano sull’altra subnet…
- server a) 172.168.11.1 – server b) 172.16.11.2
- server a) 172.168.12.1 – server b) 172.16.12.2
- server a) 172.168.13.1 – server b) 172.16.13.2
- server a) 172.16.14.5 – server b) 172.16.14.10
- …hidden…
Per ora è tutto. La descrizione del primo bersaglio e delle vulnerabilità configurate nella prossima puntata 🙂