CTF disponible à cette adresse : https://khaos-drive.mycozy.cloud/public?sharecode=MDguO1eH68Ma
scan nmap habituel :
Aucun port ouvert donc on elargit le scan de ports :
pour pousser plus loin le scan on peut meme faire un
# nmap -sV -sC 192.168.1.23 -p 26921
qui nous revele que l'utulisateur Anonymous peut se connecter
Le port 26921 est ouvert (vsftpd 2.0.8)
On va ecouter sur le port 26921 avec Netcat :
Le message qui apparait : 220 Salut Alice ! Suite a l'attaque sur notre precedent serveur, j'en prepare un nouveau qui sera bien plus securise ! C'est en travaux pour l'instant donc s'il te plait ne touche a rien pour l'instant... Bob
Pour la suite On va se connecter en FTP Avec un Outil comme FilleZilla (celui que j'utilise sur mon kali mais il en existe d'autres) En Anonymous (On à vu que c'etait possible)
On a donc accès à 4 images et a un dossier Serrure ! On les telecharge pour les analyser et voir ce qu'on peut en tirer!
si on rassemble les images pour reconstituer le corps de Chaos nous pouvons dechiffré au milieu :
cle.txt
cette même clé qu'on va mettre dans la serrure et voir ce qui se passe :
Sesame...
nous avons donc un acces http sur le port 26980
avec un misterieux message :
Avec comme code source :
Si on se renseigne un peu sur l'auteur et sur l'origine de son nom on peut tomber sur son propre blog :
Si on met le nom complet de Khaos (c'est a dire : Khaos Farbauti Ibn Oblivion ) dans le fichier cle.txt
Un Formulaire d'upload est soudain apparu :
Apres quelque recherches nous allons devoir uploader 2 fichiers :
- Un .htaccess :
- Un Command-Shell :
Une fois ces 2 fichiers uploader on se rend dans les fichier uploader pour voir notre shell :
http://192.168.1.23:26980/uploads/
et on ouvre notre shell pour pouvoir executer des commandes comme ceci :
on peut ensuite voir une cle rsa ici :
En meme temps, un nouveau port c'est ouvert :
Avec un scan plus poussé nous voyons que c'est un serveur SSH :
Avec notre clé RSA nous tentons de nous connecter sur ce serveur avec les utilsateur connu (Alice ou BOB)
ssh -p 26922 bob@192.168.1.23 -i rsa
Une fois un acces SSH, nous pouvons voir aisément que nous avons affaire à un buffer overflow
Nous commencons par faire un
strings test
Et parmis les reponses de cette commande nous voyons un :
lancement debug
touch /root/authorize_bob
il nous faut donc activer le debug pour que logiquement bob soit authorisé en tant que root sur la machine.
pour ca allons voir l'adresse de la memoire de debug (avec gdb) :
une fois cette adresse memoire copier on va voir à partir de combien de caractere le debordement de tampon ce fait.
le debordement ce fait donc à 21 caracteres.
Nous allons maintenant reprendre notre addresse de Debug afin de l'ajouter à la suite de notre chaine de caractere mais en le convertissant en little Endian ce qui fait : \x20\x48\x55\x55\x55\x55
nous allons donc envoyer ceci :
python -c 'print ("123456789abcdefghijkl"+"\x20\x48\x55\x55\x55\x55")' | ./test
nous voyons bien le lancement du debug
nous pouvons ensuite faire un
sudo su
et nous somme root !
