ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Задания/Квесты/CTF/Конкурсы (https://forum.antichat.xyz/forumdisplay.php?f=112)
-   -   CTF. Hack the Necromancer. Part 2 (https://forum.antichat.xyz/showthread.php?t=1619204)

Vander 04.03.2017 00:30
В этой статье продолжим поиск флагов в уязвимой VM Necromancer.

https://forum.antichat.xyz/attachmen...6614339e0a.png

Сохраняем файл talisman, и меняем ему разрешение. Затем запускаем его:

https://forum.antichat.xyz/attachmen...e17dbd715b.png

При ответе на вопрос, хотим ли мы одеть талисман, ничего не произошло.

Попробуем отладить этот файл с помощью утилиты - отладчика gdb.

Отладчиком называется программа, которая выполняет внутри себя другую программу. Основное назначение отладчика - дать возможность пользователю в определенной степени осуществлять контроль над выполняемой программой, т.е. определять, что происходит в процессе ее выполнения. Наиболее известным отладчиком для Linux является программа GNU GDB.

> gdb /root/talisman

И получим немного информации о функциях программы:

> info functions

https://forum.antichat.xyz/attachmen...c254b870ce.png


Создадим точку восстановления wearTalisman, потому, что после, нам понадобиться одеть талисман.


> break wearTalisman

> run

Затем перейдем к chantToBreakSpell:


> jump chantToBreakSpell

https://forum.antichat.xyz/attachmen...5766498087.png

Нам удалось одеть талисман. Мы получаем наш 4-й флаг и намек повторить слова из флага на UDP порту 31337. Перед этим декодируем из base64 в человекопонятный текст – blackmagic

https://forum.antichat.xyz/attachmen...c9865c0736.png


Получаем 5-й флаг и информацию о директории, которую следует посетить:


> 192.168.0.109/thenecromancerwillabsorbyoursoul

Слово necromancer– является ссылкой, которая предлагает нам скачать файл, сохраним его:

https://forum.antichat.xyz/attachmen...1b80f19836.png

Внизу страницы, так же есть подсказка, указывающая на UDP порт 161 (используется для SNMP) В первую очередь займемся анализом самого файла, для этого необходимо использовать Wireshark. Нужно будет два раза распаковать архив, для того, чтобы добраться до файла с расширением .cap

https://forum.antichat.xyz/attachmen...547d4fe43c.png

При рассмотрении файла, выясняется, что это дамп сигнализации в стандарте IEEE 802.11, а значит, имеет место быть Wi-Fi, возможно это хэндшейк.

https://forum.antichat.xyz/attachmen...437562221b.png

В общем, попробуем расковырять это с помощью aircrack-ng и полюбившимся словарем rockyou.txt.

> aircrack-ng /root/ necromancer.cap -w /usr/share/wordlists/rockyou.txt

https://forum.antichat.xyz/attachmen...0ebe3392db.png


Спустя немного времени, обнаруживается пароль.

https://forum.antichat.xyz/attachmen...015b469499.png

Итак, мы имеем на текущий момент:

· пароль – death2all

· Вероятно открытый 161 порт. Здесь, сделаю отступление:

https://forum.antichat.xyz/attachmen...0c34694254.png

SNMP— стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. К поддерживающим SNMP устройствам относятся маршрутизаторы, коммутаторы, серверы, рабочие станции, принтеры, модемные стойки и другие.

Порт/ID: 161/UDP,162/UDP

Для использования данного порта, а точнее для взаимодействия с ним, нами будет использоваться Net-SNMP — представляет собой набор программного обеспечения для развёртывания и использования протокола SNMP (v1, v2c и v3 и протокол AgentX субагента). Он поддерживает IPv4, IPv6, IPX, AAL5, сокеты доменов UNIX и других протоколов.

Приложения, входящие в Net-SNMP:

· encode_keychange — производит изменение ключа KeyChange в SNMPv3.

· snmptranslate — перевод MIB OID имён между цифровой и текстовой формами.

· snmpget — взаимодействует с сетью, используя SNMP GET запросы.

· snmpgetnext — взаимодействует с сетью, используя SNMP GetNext запросы.

· snmpbulkget — взаимодействует с сетью, используя SNMP GETBULK запросы.

· snmpwalk — получает поддерево управления значений с помощью SNMP GetNext запросов.

· snmpbulkwalk — получает поддерево управления значений с помощью SNMP GETBULK запросов.

· snmpset — взаимодействует с сетью, используя SNMP SET запросы.

· snmptrap — посылать SNMP траппы или информационные сообщения.

· snmpd — SNMP агент, который отвечает на запросы SNMP для данного хоста.

· snmptrapd — демон SNMP, прослушивает SNMP траппы или информационные сообщения, регистрируя их, или воздействует на них.

· snmptest — взаимодействует с сетью, используя SNMP запросы.

· mib2c — утилита преобразования MIB-файлов, которая позволяет перевести MIB-структуру в другие формы, такие как C-код

· tkmib — Perl/Tk интерактивный графический браузер MIB для SNMP.

Продолжаем, с помощью утилиты – snmpwalk:

> snmpwalk-c death2all -v 1 192.168.0.103

https://forum.antichat.xyz/attachmen...39a7eb8f2b.png


Результат – «Закрыто». Пробуем открыть с помощью – snmpset.


> snmpset -c death2allrw -v 1 192.168.0.103 iso.3.6.1.2.1.1.6.0 s Unlocked

https://forum.antichat.xyz/attachmen...d5d9c0bbd6.png

Строка должна принять вид «Unlocked» Теперь выполняем предыдущую команду:

> snmpwalk-c death2all -v 1 192.168.0.103

https://forum.antichat.xyz/attachmen...a65c7b5ea7.png


Счастье, то какое, 7-ой флаг и подсказка, явно указывающая на SSH порт.

7-ой флаг – это хэш MD5. Вытащим из него информацию:

https://forum.antichat.xyz/attachmen...215df5458d.png

В результате получен – demonslayer, который возможно, является паролем или логином к SSH. Пробуем:

> ssh 192.168.0.103

https://forum.antichat.xyz/attachmen...5ee3979a57.png

В качестве пароля он не подошел, значит это логин. Для поиска пароля воспользуемся брутфорсом по словарю rockyou.txt и Metasploit Framework.

> msfconsole

> use auxiliary/scanner/ssh/ssh_login

> set rhosts 192.168.0.103

> set username demonslayer

> set pass_file /usr/share/wordlists/rockyou.txt

> run

https://forum.antichat.xyz/attachmen...806d18a314.png


Используя эти учетные данные, устанавливаем соединение на 22-ом порту:


> ssh demonslayer@192.168.0.103

https://forum.antichat.xyz/attachmen...311669c98f.png


Осмотримся вокруг и обнаруживаем 8-ой флаг, заглянем внутрь.


> ls –a

> cat flag8.txt

Defend yourself! –Стоит рассматривать как localhost на 777 порту.


> nc localhost 777

https://forum.antichat.xyz/attachmen...deccbfd8f0.png

Теперь необходимо ответить на несколько вопросов.

Первый вопрос - Where do the Black Robes practice magic of the Greater Path?

Ответ – Kelewan.

Второй вопрос- Who did Johann Faust VIII make a deal with?

Ответ – Mephistopheles.

Третий вопрос - Who is tricked into passing the Ninth Gate?

Ответ – Hedge.

Попутно собираем флаги.

https://forum.antichat.xyz/attachmen...1784f787f9.png

Последнее предложение дает подсказку. Осмотримся внимательнее еще раз. Вернемся на шаг назад.

> ls –la

> cat .smallvile

https://forum.antichat.xyz/attachmen...1ca21fbcd8.png

Сказано, что мы получили великую силу, значит ли это, что можно использовать sudo?

> sudo –l

https://forum.antichat.xyz/attachmen...5d22493886.png


Значит. Ну и следуя инструкции, заглянем в последний, 11-й флаг на этой машине.


> sudo /bin/cat /root/flag11.txt

https://forum.antichat.xyz/attachmen...8a304a8aae.png

На этом и заканчивается прохождение этой VM. Спасибо за внимание.

Первая часть тут.

Vander 06.03.2017 17:30
Круто и интересно спасибо, @Vander


Время: 14:47