Solucionario propuesto por Fernando Quintero (a.k.a @nonroot) al reto Security Challenge #CTF #Web + Premio: Libro Ethical Hacking 2.0.
Como siempre animar y recordar a los recién iniciados y expertos a participar de estos desafíos, pues no hay mejor manera de aprender que enseñando…
Felicitaciones a nonroot quien se convierte en el ganador del libro Ethical Hacking 2.0 de Héctor Jara y Federico Pacheco. Gracias además por compartir ese magnífico solucionario.
Aunque los solucionarios recibidos (que pronto estaré publicando también) no incluyeron el desarrollo de un exploit destaco el solucionario de nonroot debido a que evidencia muchos posibles puntos de intrusión, completamente aplicables no solo a este reto, sino a proyectos reales. Me gustó también los diferentes cuestionamientos que deja al final. Esto gracias a las experiencia recogida durante años en la profesión, sumado a los conocimientos y prácticas en el propio desarrollo de CTF’s. Para quienes no tenían conocimiento les comparto la lista dedicada exclusivamente al aprendizaje mediante el desarrollo conjunto de CTF’s. En este caso CTF Colombia.
Ahora que el solucionario ha sido liberado, dejo las correspondientes referencias del autor que desarrollo esté excelente Web CTF.
Anestis Bechtsoudis - Web oficial del CTF
Al final del solucionario dejo un exploit desarrollado por mr.pr0n que automatiza el proceso. Obviamente realizado una vez analizó en detalle la aplicación e identificó las fallas presentes en la misma.
///////////
Solución por nonroot:
La solución se va escribiendo en el mismo orden en que se van encontrando las cosas, puede parecer que la ruta era obvia y me desvío en otros asuntos, pero así funcionaba la mente en ese momento. La solución del reto me tomó 3 horas aproximadamente porque estuve pensando en posibles rutas que no me llevaron a ningún lado.
A. Lo primero como siempre es descargar la maquina del juego, chequear su integridad y buscar pistas en la descripción del reto que se publicó en el sitio web.
Link: http ://www.sec-track.com/security-challenge-ctf-web-premio-libro-ethical-hacking-2-0
SecTracker> md5sum Web_Sec_Challenge_Img.rar 328ddbf34e00d662ea4c89672dac29d3 Web_Sec_Challenge_Img.rar (OK)
SecTracker>
Pistas:
- Una maquina linux (boot)
- Servicio web corriendo en el puerto 8880 posiblemente (imagen del post introductorio)
- Uso de MySQL (boot de la maquina)
- Nombre de la maquina drunkadm (boot)
B. Hay que encontrar la maquina corriendo en la red local, un barrido de ping NO muestra maquinas activas en la red, es posible que la VM este filtrando.
SecTracker> fping -g 192.168.0.0/24
192.168.0.25 is alive
ICMP Port Unreachable from 192.168.0.152 for ICMP Echo sent to 192.168.0.152
192.168.0.159 is alive
192.168.0.160 is alive
ICMP Port Unreachable from 192.168.0.152 for ICMP Echo sent to 192.168.0.152
192.168.0.1 is unreachable 192.168.0.2 is unreachable
…
Si se observan los 3 tipos de respuesta con la utilidad fping, se pueden tener las maquinas que posibles.
“Is alive” la maquina esta activa y acepta los pings. “is unreachable” la maquina no esta disponible “ICMP port Unreachable” la maquina esta en otro estado (filtrada?), esta es nuestra candidata.
En mi caso la maquina mas sospechosa es 192.168.0.152. Veamos si tiene el puerto web (8880) abierto:
SecTracker> nmap -sS 192.168.0.152 -p 8880
Starting Nmap 5.61TEST4 ( http ://nmap.org ) at 2013-01-22 13:15 EST
Nmap scan report for 192.168.0.152
Host is up (0.00067s latency).
PORT STATE SERVICE 8880/tcp open cddbp-alt
MAC Address: 00:0C:29:26:4B:A8 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 11.36 seconds
SecTracker>
C. Entramos al sitio web y leemos el código fuente en busca de scripts php.
Observamos varios scripts php desde el source: info.php, index.php, upload.php, myphp.php
Empezamos a evaluarlos de forma básica:
- index.php carga el sitio normal
El sitio permite subir imágenes que son desplegadas inmediatamente, las imágenes son almacenadas en el directorio /images/ sobre la raíz del sistema, mas adelante volvemos a esto.
- upload.php requiere el envío de parámetros por POST
http :// 192.168.0.152:8880/myphp.php?id=101
Obtenemos información del sistema, al corrérle SQLMap contra este script nos dice que id no es una variable inyectable.
21:25:18] [WARNING] GET parameter ‘id’ is not injectable
Al cambiar valores del id, obtenemos diferentes respuestas, busquemos algunas mas:
SecTracker>for i in {1..10000}; do wget http ://192.168.0.152:8880/myphp.php?id=$i ; done
Obtenemos un resultado así:
SecTracker>ls -l
…
-rw-r–r– 1 root staff 70 Jan 2 1 2 1:51 myphp.php?id= 1671
-rw-r–r– 1 root staff 70 Jan 2 1 2 1:51 myphp.php?id= 1672
-rw-r–r– 1 root staff 70 Jan 2 1 2 1:51 myphp.php?id= 1673
-rw-r–r– 1 root staff 70 Jan 2 1 2 1:51 myphp.php?id= 1674
-rw-r–r– 1 root staff 70 Jan 2 1 2 1:51 myphp.php?id= 1675
-rw-r–r– 1 root staff 70 Jan 2 1 2 1:51 myphp.php?id= 1676
…
SecTracker>
Las respuestas con 70 bytes son las del mensaje de error, busquemos respuestas diferentes:
SecTracker>ls -la | grep -v “70 Jan”
total 10976
drwxr-xr-x 1346 root staff 45764 Jan 2 1 2 1:47 .
-rw-r–r– 1 root staff 4598 Jan 2 1 2 1:47 myphp.php?id= 101
-rw-r–r– 1 root staff 1326 Jan 2 1 2 1:47 myphp.php?id= 102
-rw-r–r– 1 root staff 11012 Jan 2 1 2 1:47 myphp.php?id= 104
-rw-r–r– 1 root staff 49949 Jan 2 1 2 1:47 myphp.php?id= 108
-rw-r–r– 1 root staff 2031 Jan 2 1 2 1:47 myphp.php?id= 116
-rw-r–r– 1 root staff 3475 Jan 2 1 2 1:47 myphp.php?id= 132
-rw-r–r– 1 root staff 1867 Jan 2 1 2 1:47 myphp.php?id= 164
-rw-r–r– 1 root staff 57314 Jan 2 1 2 1:47 myphp.php?id=99
SecTracker>
Según esto, los id 101, 102, 104, 108, 116, 132, 164 y 99 darán mensajes diferentes.
Con el id=132 logro identificar que la aplicación esta configurando cookies que pueden ser usadas para validar durante el proceso de upload de las imágenes …
Después de las pruebas me di cuenta que no funcionaba en ninguna validación, FAIL 
D. Algo que intento en este punto es tratar de configurar una cookie “trypios” con diferentes valores. Ninguno de los valores configurados funcionó. FAIL
E. Lo que intento a continuación es validar la integridad de las imágenes que subo al sistema, para eso subo una imagen y luego la descargo para verificarla.
SecTracker>md5sum webchall*.png
9937c44d2c0f6a2f11240d8e2b 1069a0 webchall.png (Imagen que subo al sistema)
9937c44d2c0f6a2f11240d8e2b 1069a0 webchall2.png (Imagen que descargo del sistema)
SecTracker>
Con esto compruebo que el sistema conserva la integridad de las imágenes que se suben, pero lo que me llama la atención es el nombre de la imagen cuando sube al sistema, tiene cara de MD5 
Lo primero que intento es generar el hash MD5 de las imágenes que subo al sistema para compararlas con sus respectivos nombres cuando se almacenan, pero los valores no corresponden, entonces empiezo un proceso manual para intentar identificar un patrón.
a.jpg 394659692a460258b45a99f1424ea357.jpg
a.png 32d3ca5e23f4ccf1e4c8660c40e75f33.png
a.gif a7200b4bac77e8804f9e48304a92b6d9.gif
a.jpeg 14a53cac5a312f3d1ad4980fec051d42.jpeg
b .jpg efaf98db2eac3a61946ca0282ae6ddd4.jpg
Los nombres que aparecen en el sistema corresponden a los valores MD5 de los nombres de las imágenes que se suben :
SecTracker>echo -n “a.jpg” | md5sum
394659692a460258b45a99f1424ea357 –
SecTracker>echo -n “a.png” | md5sum
32d3ca5e23f4ccf1e4c8660c40e75f33 –
SecTracker>echo -n “a.gif” | md5sum
a7200b4bac77e8804f9e48304a92b6d9 –
SecTracker>
F. Descargo un shell en php con la intención de hacerlo pasar por una imagen.
El shell lo pueden descargar desde aquí:
http://xploitaday.komodin.org/tools/php-encoder/
G. Como paso siguiente intento subir un shell en php al sistema, pero obtengo un error relacionado con la extensión que uso en el nombre del archivo.
H. Intento camuflar la extensión del shell usando una doble extensión y genero el MD5 en caso de que suba al sistema.
SecTracker>cp shell.php shell.jpg.php
SecTracker>echo -n “shell.jpg.php” | md5sum
809d9ef057f63c676e 1d78dbb7a43826 –
SecTracker>
I. Subo el archivo shell.jpg.php al sistema y no se visualiza ninguna imagen, pero tampoco se genera un error, entonces intento cargar el archivo .php en el directorio /images/.
Con esto tenemos el shell web dentro del sistema.
J. Una vez dentro del sistema empiezo a buscar información como por ejemplo identificar la versión del kernel, verificar si el sistema tiene netcat, gcc, etc.
También busco los usuarios en /home y me encuentro con un usuario bob, como es el único usuario pareciera que tiene algo que ver con el reto.
Los scripts que están en el home del usuario bob requieren de una palabra secreta, cualquier palabra se puede usar pero no producen resultados coherentes (texto plano legible).
K. Sigo explorando buscando las posibilidades de comunicación del usuario bob, por eso intento encontrar archivos que tengan la palabra bob y termino entrar al inbox de correo del usuario en /var/mail/, sin embargo no tengo los permisos para poder leer los archivos, pero sospecho que el usuario puede tener mensajes que ayudan a resolver el tema. FAIL
L. Al no encontrar mucha información por este lado intento abrir puertos en la maquina para conectarme desde la consola (netcat).
Los puertos siguen apareciendo filtrados, lo intento con varios puertos pero obtengo el mismo resultado, por lo que pienso que el sistema debe tener el ip tables habilitado. Buscamos las reglas que deben cargar al inicio del sistema. En /etc/init.d/ encontramos que el archivo firewall.sh tiene permisos modificados y no puedo leerlos, pero eso me da indicios que seguramente si hay un firewall filtrando la salida y entrada de paquetes en puertos diferentes al 22/TCP y al 8880/TCP. FAIL
M. Ya un poco perdido con el asunto empiezo a probar exploits locales (exploits*.c) contra el kernel, exploits contra phpinfo(), contra apache, contra todo lo que se aparezca y nada, no logro escalar privilegios en el sistema, entonces pienso que quizá no sea necesario ya que el reto se trata de una aplicación web. FAIL
N. Vuelvo a la raíz del servidor web a leer detalladamente los archivos que se encuentran allí y veo un archivo que no había visto antes, el archivo /var/www/.proof .
En este archivo se menciona un código secreto, así que supongo que es el código del usuario bob.
O. Pruebo el código en el sistema y NO obtengo resultados correctos.
¿Será que el código está en base64?
SecTracker>echo -n “TGglMUxecj JDSDclN 1Ej ” | base64 -d
Lh%1L^r2CH7%7Q#
SecTracker>
WIN
P. El lugar donde se van a encontrar Alice y Bob es Akti Tompazi 4 , como se puede ver en la siguiente imagen de googlemaps donde se usaron las coordenadas encontradas.
Con esto se termina el reto, pero aún quedan cosas pendientes por investigar:
TODO: COSAS POR HACER
1. Escalar privilegios en el sistema (#).
2. Encontrar las claves de los usuarios root y bob.
3. Examinar si el servicio MySQL (127.0.0.1) tiene información.
4. Examinar si el servicio EXIM (127.0.0.1) tiene información o es vulnerable.
5. Buscar otra forma de explotar el sistema web (vulnerabilidad diferente).
6. Verificar si las librerías de AES usadas para cifrar el mensaj e de bob tienen algún bug introducido que permita romper el cifrado de forma diferente.
7. Identificar el motivo por el cual el archivo .php que se sube en el directorio /images/ del sistema se elimina cada cierto tiempo.
Si tienen alguna duda sobre el solucionario pueden escribir a: fernando.a.quintero (at) gmail (dot) com o contactarme por twitter en: @nonroot
Gracias por el reto!
/////////////////////
Exploit from mr.pr0n
PDF Online:
) debes estar preparado para ser contra-atacado por la misma máquina objetivo. Esto tal cual como si estuviéramos participando en un Wargame contra otros equipos, solo que la máquina ha sido preparada para automatizar ciertos ataques bajo ciertas peticiones… Aquí el autor nos advierte de que no debemos sorprendernos si se nos abre nuestra calculadora o vemos un mensaje diciéndonos que hemos sido “Pwn34d0s”.
