Era un sábado en la tarde cuando se puso en marcha la creación de un par de nuevos retos informáticos en Campus Party, uno que fuera fácil y el otro un poco fácil. Pero que como siempre entretuviera a los concursantes y no los dejara dormir durante las últimas noches del Campus.
Uno de los retos (el fácil) consistía en una maquina Windows 2000 Server con solo algunos parches de seguridad expuesta para todo el mundo, como todos sabrán penetrar una maquina en este estado no es para nada complicado, entonces en que consistía el reto?. El reto consistía en mantener el control de la maquina (0wned) hasta que el reto finalizara. Obviamente los RET mal calculados y los D.o.S tuvieron a fixxxer y p@d@w@n mas ocupados de lo normal.
Un saludo para todos los participantes del wargame (cerca de 30 personas) y gracias por participar. En próximas oportunidades tendremos mucho más.
El reto empezó publicando las pistas en un servidor X prestado por el gordo, el porque del dominio no tiene ninguna explicación, pero quizás se divirtieron mas de lo normal tratando de explotar sus CGIs. :P
Sitio inicial con las pistas del reto
Las pistas concretas, solo dos pistas iniciales, CGI no era una pista XD
Una vez se obtuviera esta información y con las indicaciones dadas por los organizadores, la idea era empezar a resolver el archivo .pcap que se entregaba y tratar de encontrar la bandera.
Lo primero es abrir el archivo .pcap y estudiarlo
Abrir el archivo con wireshark
Seguir las conexiones
Analizar el contenido de las descargas
Una vez pasabamos las pistas falsas intentamos reconstruir la información transmitida, esto lo podemos hacer a mano, exportarlo con el wireshark o usar una herramienta que nos facilite el trabajo.
Con foremost encontramos una imagen jpg
La imagen es un código QR
Con esta herramienta podíamos sacar una imagen de la que se habló en algunas charlas de Campus Party, la imagen en cuestión es un código QR.
Para sacar la información del código QR podíamos usar una herramienta instalada en el sistema, una herramienta online o una herramienta en el celular que decodificara rápidamente el código y nos entregará el texto: Pista(#3): Capture The Flag.
La pista era bastante obvia y no ayudaba mucho, entonces como seguíamos?
El próximo paso era volver a la captura y tratar de sacar mas información, después de perder el tiempo ahí el paso siguiente era tratar de sacarle mas información a la imagen que contenía el código QR. Quizás esteganografía?
Extracción de archivos que estan dentro de la imagen
Con una herramienta para extraer datos de imágenes pudimos sacar un fichero comprimido y luego encontrar un texto plano bastante extraño (criptografía clásica?), por lo tanto el siguiente paso era encontrar una rotación para encontrar el texto real.
rotando el texto de diferentes formas hasta encontrar algo coherente
Al decodificarlo encontrábamos un texto con la siguiente pista(#4):
En este punto los participantes tuvieron que tener en cuenta la pista #2, un rango de direcciones públicas que pertenecía a una de las mesas de la arena.
Lo que se suponía que debían de hacer era escanear ese rango e intentar detectar los sistemas operativos, otros en cambio buscaron la VLAN de la mesa y realizaron un ataque físico. La verdad no se como lo lograron, la maquina del reto estaba bien camuflada y no era fácilmente identificable :P
Maquina objetivo bien camuflada
Si eran juiciosos y hacían el escaneo podían encontrar lo siguiente:
@hacker#nmap -O 186.113.24x.0/24 -oN nmap.txt
@hacker#grep -i openbsd nmap.txt
Running: OpenBSD 4.X
OS details: OpenBSD 4.0 - 4.2
@hacker#
Una maquina de ese segmento tenia instalado el sistema OpenBSD. Inicialmente quisimos montar el juego con un opensolaris, pero lastimosamente no detectaba las tarjetas de red, así que cambiamos de opción y en 6.3 minutos teníamos un OpenBSD 4.7 funcionando como parte del reto ;)
Una vez identificada la maquina en la red, podíamos escanearla, buscar puertos vulnerables e intentar hacerle D.o.S (aunque descalificara), pero lo mejor era seguir las pistas:
Cuales podrían ser los usuarios validos del sistema?, guest?, invitado?, root?, usuario?, usuario10?, usuario1?
Los usuarios tenían la secuencia usuario1, usuario2, usuarioX y las claves eran sus respectivos nombres, mas fácil no podía ser.
En este punto del concurso muchos de los jugadores estaban agotados y decidieron cambiar el premio del reto por una buena dormida.
-3
-4
Cuando los participantes hacían login por SSH a la maquina objetivo encontraban una nueva pista (#5):
El segundo reto (el un poco fácil) consistía en ..., uhmmm, mejor pongo aquí la solución al reto y así se darán cuenta de lo que había que hacer.
Un saludo para todos los participantes del wargame (cerca de 30 personas) y gracias por participar. En próximas oportunidades tendremos mucho más.
INICIO
El reto empezó publicando las pistas en un servidor X prestado por el gordo, el porque del dominio no tiene ninguna explicación, pero quizás se divirtieron mas de lo normal tratando de explotar sus CGIs. :P
Sitio inicial con las pistas del reto
Las pistas concretas, solo dos pistas iniciales, CGI no era una pista XDLo primero es abrir el archivo .pcap y estudiarlo
Abrir el archivo con wireshark
Seguir las conexiones
Analizar el contenido de las descargas
Con foremost encontramos una imagen jpg
La imagen es un código QR
Para sacar la información del código QR podíamos usar una herramienta instalada en el sistema, una herramienta online o una herramienta en el celular que decodificara rápidamente el código y nos entregará el texto: Pista(#3): Capture The Flag.
La pista era bastante obvia y no ayudaba mucho, entonces como seguíamos?
El próximo paso era volver a la captura y tratar de sacar mas información, después de perder el tiempo ahí el paso siguiente era tratar de sacarle mas información a la imagen que contenía el código QR. Quizás esteganografía?
Extracción de archivos que estan dentro de la imagenCon una herramienta para extraer datos de imágenes pudimos sacar un fichero comprimido y luego encontrar un texto plano bastante extraño (criptografía clásica?), por lo tanto el siguiente paso era encontrar una rotación para encontrar el texto real.
rotando el texto de diferentes formas hasta encontrar algo coherente"En esta maquina que no es un Linux y no es un Windows tenemos 10 usuarios creados, accede con uno de ellos."
Muchos de los participantes huyeron en este punto, pues la maquina objetivo no era ni un Windows, ni un Linux, entonces que podría ser?. Para los que han trabajado con otros sistemas operativos saben que existen otros cientos de sistemas diferentes, pero que las posibilidades podrían apuntar a un sistema solaris, opensolaris, MacOSX, sistemas BSD o haiku. Menciono estos porque son los que yo conozco, pero puede ser que alguien quiera montar un plan9 o un AS400 como parte del reto.
En este punto los participantes tuvieron que tener en cuenta la pista #2, un rango de direcciones públicas que pertenecía a una de las mesas de la arena.
Lo que se suponía que debían de hacer era escanear ese rango e intentar detectar los sistemas operativos, otros en cambio buscaron la VLAN de la mesa y realizaron un ataque físico. La verdad no se como lo lograron, la maquina del reto estaba bien camuflada y no era fácilmente identificable :P
Maquina objetivo bien camufladaSi eran juiciosos y hacían el escaneo podían encontrar lo siguiente:
@hacker#nmap -O 186.113.24x.0/24 -oN nmap.txt
@hacker#grep -i openbsd nmap.txt
Running: OpenBSD 4.X
OS details: OpenBSD 4.0 - 4.2
@hacker#
Una maquina de ese segmento tenia instalado el sistema OpenBSD. Inicialmente quisimos montar el juego con un opensolaris, pero lastimosamente no detectaba las tarjetas de red, así que cambiamos de opción y en 6.3 minutos teníamos un OpenBSD 4.7 funcionando como parte del reto ;)
Una vez identificada la maquina en la red, podíamos escanearla, buscar puertos vulnerables e intentar hacerle D.o.S (aunque descalificara), pero lo mejor era seguir las pistas:
" ... tenemos 10 usuarios creados, accede con uno de ellos."
Cuales podrían ser los usuarios validos del sistema?, guest?, invitado?, root?, usuario?, usuario10?, usuario1?
! BINGO !
Los usuarios tenían la secuencia usuario1, usuario2, usuarioX y las claves eran sus respectivos nombres, mas fácil no podía ser.
En este punto del concurso muchos de los jugadores estaban agotados y decidieron cambiar el premio del reto por una buena dormida.
-3
-4"Solo Uno De nosotrOs sabe leer."
Al principio la pista estaba muy confusa, pero después de leerla varias veces se veía claramente la palabra SUDO. Así que este comando era otra pista (#6) mas.
Accediendo con usuario1
Accediendo con usuario 2 y 3
Vamos por el root!El usuario que estaba en el /etc/sudoers era el usuario4 y el comando que se podia usar era el cat. ¿Que harias tu con esto?
Vamos por el shadow, UPS!, OpenBSD tiene es un master.passwd
Siii!!! ya tenemos la clave del root.Alguien intento un ataque de fuerza bruta con todos los usuarios enumerados del sistema?, porque no funcionó la combinación root/usuario4 ?
La respuesta es que en la configuración del SSH se especificaba que solo el root podía entrar desde la maquina local.
@hacker#ssh -l root 186.113.242.209
root@186.113.242.209's password:
Permission denied, please try again.
root@186.113.242.209's password:
...
En el archivo /etc/ssh/sshd_config, incluimos:
AllowUsers root@127.0.0.1 usuario*
Eso significa que el root solo se puede loguear desde la maquina local (thx duma).
Cuando los participantes alcanzaron el r00t de la maquina solo bastaba aprender a usar OpenBSD ...
jajaja
Mentiras, el siguiente paso era encontrar la flag, donde estaba la flag?.
Quien soy yooooo?
I Got the flag!
Bandera a modificar (httpd_flags) y ruta sin permisos a cambiarFelicitaciones al ganador del reto y todos los organizadores del mismo. Y gracias a Campus Party por permitirnos crear este tipo de actividades para que todos los que somos curiosos en estos temas, nos divirtamos.
p@d@w@n, Alberto Gil (organizador del área de seguridad y redes), rmolina (ganador), fixxxer, nonrootFIN
Update: Una nueva foto del team ganador ;)
NeoEcoS, Rmolina, Sparkid
NeoEcoS, Rmolina, SparkidUpdate 2: Si alguien hizo algo diferente (legal o ilegal) jugando en el reto por favor comente este post.
Update 3: Interesados en jugar en los CTF futuros, se esta conformando un equipo Colombia: http://groups.google.com/group/ctf-colombian-team
Update 3: Interesados en jugar en los CTF futuros, se esta conformando un equipo Colombia: http://groups.google.com/group/ctf-colombian-team
4 comentarios:
Falta algo de créditos, Rmolina, Sparkid y yo (NeoEcoS) eramos el team y no sólo dormimos.
xD
@nonr00t: Tu writeup esta mejor, claro, pero aqui esta el mio…
@NeoEcoS: no solo dormias, tambien tratabas de embriagar a una menor… pero bueno, te reivindicaste con lo del sshd…
@nonr00t: ¿Se valia borrar la bandera despues de leerla?… ¿Se valia cambiar los passwords?… ¿Se valia desconectar la maquina de la red y pegarse por cable cruzado?
@nonr00t: frente al update 2, mencionar el laboratorio 66, al que (como mínimo) un 20% de los jugadores le saco provecho…
ufff la verdad estuvo muy bueno y bien organizado gracias @nonr00t..
Eso parecia un Capture de n00b en ves de un CTF a las 5am no quedaba nadie despierto excepto unos pocos.... :)
luego se cayo la makina y a esperar :P
pero bien supuestamente era un CTF rapido pero 12h es rapidito jajaj
Publicar un comentario