Task # Task #5

Discussion in 'Задания/Квесты/CTF/Конкурсы' started by l1ght, 14 Mar 2019.

  1. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,015
    Likes Received:
    1,363
    Reputations:
    43
    Этоже Ыж
    gurux13, молодец
     
    gurux13 likes this.
  2. gurux13

    gurux13 Member

    Joined:
    4 Feb 2019
    Messages:
    3
    Likes Received:
    11
    Reputations:
    29
    @l1ght, спасибо. Таск отличный :)
    @dooble, @crlf, спасибо и вам!
    Про шестой флаг могу сказать, что иногда у сложных задач есть простые решения :)
     
  3. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    198
    Likes Received:
    669
    Reputations:
    329
    Последняя подсказка добавлена в топик, до конца таска меньше недели. Флаги принимаются до 4 апреля
    Всем удачи ;)
     
    BabaDook and MichelleBoxing like this.
  4. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,015
    Likes Received:
    1,363
    Reputations:
    43
    blya 18+
    сарян error 404
    мя кроет
     
    Franky_T and crlf like this.
  5. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    198
    Likes Received:
    669
    Reputations:
    329
    Ответы принимаются до 16:00 (мск)

    // Закрыто
     
    #45 l1ght, 4 Apr 2019
    Last edited: 4 Apr 2019
  6. Gorbachev

    Gorbachev Active Member

    Joined:
    23 Mar 2017
    Messages:
    237
    Likes Received:
    104
    Reputations:
    58
    Отличный таск получился, интересный, местами чутка сложноватый, но главное, время на решение разгадок не потрачено зря.
    Хочется в очередной раз поблагодарить авторов всех тасков, но конкретно за таски 3,4,5. Идея освящать в тасках малоизвестные хакерские техники - огонь. Некоторые даже толком не гуглятся, но решая головоломки, собирая по кускам информацию, иногда пользуясь подсказками авторов тасков, очень хорошо прокачивается скилл в отдельно взятых направлениях.
    В общем, ещё раз спасибо за вашу креативность.

    А всем остальным, не расслаблять булки. Пятый таск окончен, шестой уже в самом разгаре, не время отдыхать, гоу за новыми флагами :cool:
     
    l1ght likes this.
  7. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    198
    Likes Received:
    669
    Reputations:
    329
    Большое спасибо всем кто участвовал, вы все крутые! репа и ответы подъедут позднее

    рекомендую отличный нестандартный таск #6
    https://forum.antichat.ru/threads/469836/#post-4298661
     
    man474019, dooble and crlf like this.
  8. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,015
    Likes Received:
    1,363
    Reputations:
    43
    Только один кончил таск?
     
  9. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    198
    Likes Received:
    669
    Reputations:
    329
    Верно, официально целиком весь таск закончил только один человек ;)
     
  10. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,015
    Likes Received:
    1,363
    Reputations:
    43
    Все остальные не пацаны. Не взял 6й флаг, не пацан.
    [Подсказал бы что ли на 6й.
     
    #50 BabaDook, 5 Apr 2019
    Last edited: 5 Apr 2019
  11. man474019

    man474019 Member

    Joined:
    31 Jul 2015
    Messages:
    248
    Likes Received:
    71
    Reputations:
    1
    will be write-up ?
     
    BillyBons likes this.
  12. BillyBons

    BillyBons Active Member

    Joined:
    1 Dec 2016
    Messages:
    223
    Likes Received:
    111
    Reputations:
    13
    +1 к просьбе о write-up
     
  13. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    198
    Likes Received:
    669
    Reputations:
    329
    Да, конечно, write-up ниже

    Небывалую упертость в поисках флагов показали Gorbachev, MichelleBoxing, Franky_T, BillyBons отдельное вам спасибо ! Что-то издалека похожее на 5 флагов присылал BabaDook


    Сайт на голом html, открываем панель разработчика. сплошная статика. только один css файл, в котором подгружается картинка из админки

    flag 1.
    /style.css

    Code:
    ...
            background:url(/admin_j458hj45ad/login.jpg)
           /* {flag 1} - hackedbymarysa */
    
    никогда не забывайте просматривать .css и .js файлы, в них можно найти много полезной инфы от админки до скрытых уязвимых сценариев

    flag 2.
    /admin_j458hj45ad/.htaccess
    Code:
    RewriteEngine off
    <Files ~ "^.*">
      Deny from all
    </Files>
    
    <Files ~ "^index\.php3|css|js|png|jpg|gif|html|htm|hta|svg|pdf|txt|zip|rar|doc|xls|tif|tiff|docx|xlsx|ico|swf|php3">
      Allow from all
      Require all granted
    </Files>
    # {flag 2} - marusya4ever
    кривые регулярки - находка для сканнеров

    flag 3.
    /admin_j458hj45ad/upload.php3

    Code:
     if(!isset($_SESSION["admin"])) header("Location: admin_secret_login.php3");
    при попытке открыть upload вас перекидывало на админку. но выполнение сценария продолжалось. не забывайте юзать curl/burp во время пентеста

    решение #1
    решение #2
    flag 4.
    /admin_j458hj45ad/admin_secret_login.php3

    Code:
    function logging($url,$ip){
    ...
    $query  = "SELECT count(*) FROM adminlog WHERE ip='$ip';";
    $query .= "INSERT INTO adminlog VALUES ('$url','$ip');";
    $mysqli->multi_query($query);
    скрытая SQLI. Админ логировал обращение к админке и IP адрес в базу данных, данные брались прямо из хидер заголовка

    kartinka.jpg

    прохождение:
    flag 5.
    SQLI на 99% слепая, даже sleep не помогал участникам определить результат выполнения команды
    Требовалось записать шелл с рутовыми правами без rw дирректорий в файл, залитый с помощью флага #3
    многие не поверили что скуля настоящая, кто-то крашил таблицу, кто-то вообще вырубал mysql с помощью ;SHUTDOWN; (и наблюдал error)
    когда стало понятно, что скуля настоящая

    почти все, кому удалось покорить флаг сделали это через slow_query_log или general_log_file
    условный poc:
    flag 6. Сам флаг создан с правами маруси. Значит нужны права маруси
    Code:
    4901 -rwx------  1 marusya marusya   14 Feb 25 12:45 flag6.txt
    заходим в ее домашний каталог, замечаем что файл
    Code:
    2638459 -rw-r--r-- 1 marusya marusya 204 апр  8 11:38 /home/marusya/checksize.zip
    обновляется каждую минуту
    особо внимательные заметили в процессах запуск
    Code:
    2633670 -rwxr-xr-x 1 root root 59 мар 19 17:02 cron/clear.php
    простым решением было написать логгер в кронтаб
    Code:
    * * * * * ps aux | grep marusya > /tmp/1.txt
    кто-то оказался слишком брутальным
    Code:
    www-data 17323 98.4  0.1  11216  2080 ?        R    21:56   1:10 grep -r marusya /
    видим запуск /usr/bin/checksize от marusya, там:
    Code:
    cd /var/www/html/upload/images/;
    file=/home/marusya/checksize.zip
    zip -r -9 ~/checksize.zip *
    sleep 2
    minimumsize=12000000
    actualsize=$(wc -c <"$file")
    if [ $actualsize -ge $minimumsize ]; then
         wget http://task.antichat.com:10005/cron/clear.php --max-redirect 0 -O /dev/null
    else
        echo "normal size"
    fi
    решение #1
    решение #2
    //добавлено
    про wildcard символ можно почитать
    https://www.hackingarticles.in/exploiting-wildcard-for-privilege-escalation/
    https://www.defensecode.com/public/DefenseCode_Unix_WildCards_Gone_Wild.txt
     
    #53 l1ght, 8 Apr 2019
    Last edited: 8 Apr 2019
    =HALK=, Franky_T, BabaDook and 5 others like this.
  14. BabaDook

    BabaDook Level 8

    Joined:
    9 May 2015
    Messages:
    1,015
    Likes Received:
    1,363
    Reputations:
    43
    Лайту уважуха, крутое задание. +1 в копилку
     
  15. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,787
    Likes Received:
    808
    Reputations:
    856
    Добавьте ссылку на райтап в первое сообщение. Как сделано и в других тасках. Спасибо
     
    _________________________
  16. MichelleBoxing

    MichelleBoxing Level 8

    Joined:
    12 Nov 2018
    Messages:
    14
    Likes Received:
    19
    Reputations:
    43
    Спасибо за таск @l1ght, было очень интересно.
     
Loading...