Os dejo otro nuevo tutorial sobre la solución al reto que plantean desde VulnHub. Lo primero que nos cuenta su creador es que es muy fan del grupo Pink Floid (the ahí el nombre de la máquina). Así que podemos esperar que alguna de las flags esté relacionada con el grupo, o no. Como de costumbre, empiezo lanzando un nmap a la red para ver cual es la IP de la máquina y después ver que tiene. Pues no tiene nada, al menos a los 1000 puertos más comunes. Vamos a tirarle contra todos. Empezamos bien, nmap no nos dice nada de nada. Rápidamente se me ocurre abrir wireshark a ver si al menos nos saca algo. Pues parece que sí, hay comunicación desde la máquina del reto a la kali por el puerto 1337. Tiro un netcat a ver que nos cuenta. Pues muy bien, ya empiezo a quedarme atascado, mal apaño. Me pongo a buscar información en google sin saber muy bien sobre que buscar y tras 20 minutos perdidos me decido a revisar a fondo el wireskhark. Mira por donde me encuentro con una respuesta de la máquina, que raro ¿no? Le doy a “follow TCP stream” y me encuentro con lo siguiente. Obviamente parece que ha levantado en la máquina un servicio corriendo en el puerto 80. Además, aparece un chorizo de números que pasado de hexadecimal a texto devuelve steg=33115730dbbb370fcbe9720fe632ec05 Como la respuesta es HTTP entiendo que el puerto será el 80. Verifiquemos con nmap primero y después tratemos de acceder via web. Ahora si, nmap nos descubre efectivamente el puerto 80. veamos… Pues estaba en el buen camino, por un lado accedemos a una web con la foto de… taraaaaaan Pink Floyd!, no me lo esperaba xD. Y por otro lado mirando el código, obviamente vemos lo mismo que nos decía Wireshark. ¿Habrá con suerte un robots.txt que nos de alguna pista? Pues parece que no… veamos, ¿qué más podemos ir haciendo? Vale, vamos a lanzar nmap a todos los puertos por si las moscas. Tenemos el puerto 1965 pero no sabemos qué servicio tiene corriendo, así que usemos un poco de “banner grabbing” a ver que conseguimos sacar. Pues ya sabemos que hay un openSSH corriendo. Obviamente ahora necesitamos un juego de usuario/contraseña para poder acceder. Me viene a la cabeza el chorizo que encontramos en el código de la web. steg=33115730dbbb370fcbe9720fe632ec05 La palabra steg que se lee claramente me pega que pueda tener que ver con esteganografía, pero los caracteres alfanuméricos tienen pinta de hash. Por una vez parece que tengo razón y encuentro la palabra divisionbell. Pues ya tenemos algo. Vamos a ver tambien la parte de la imagen, a ver si saca algo más. Tras probar con exiftool como hice en el reto anterior y no sacar nada, decido probar otras herramientas de extracción de datos y me encuentro con steghide. Veamos que tal se porta. Tiro con steghide embed ­cf pink_floyd.jpg ­ef culo.txt como viene en el ejemplo pero nada. Después de un rato mirando la ayuda y el man llego a la conclusión de que lo que estoy haciendo está mal. Dándole vueltas veo que siempre me pide un “salvoconducto” que mal traducido (no mal, pero no todo lo bien que debiera xD) quiere decir pass (ole mis clases de inglés jajaja). Vamos, que nos pide una contraseña de toda la vida. Así que… Vale, ya tengo la key U3lkQmFycmV0dA==|f831605ae34c2399d1e5bb3a4ab245d0 y de paso me anoto el texto por si me vale como pista. Como veo que claramente está delimitado por un | (pipe) la primera parte parece Base64 y la segunda otro hash. Veamos el resultado. SydBarrett y pinkfloydrocks respectivamente es el resultado. Entiendo que user/pass. Vamos a probar ese SSH con el juego de usuario/contraseña que hemos obtenido. Pues va a ser que no, pero al menos nos dice que solo admite sftp. Probemos a ver que pasa. A pesar de mi problema de dislexia xD estamos dentro. Es la primera vez que conecto por sftp así que hago un help para que me muestre los comandos válidos. Como no se como funciona y no encuentro un cat o equivalente, uso get para descargar los archivos que voy encontrando. Pues el fichero bio.txt parece la biografía del grupo, el fichero send­items devuelve un texto en el que dice que ha escondido el “stash” y la imagen con exiftool no parece que tenga nada. Se que “stash” en inglés es alijo o escondite, pero realmente no se a que se refiere. Al abrir el explorador de archivos, veo que la carpeta tiene el icono de estar comprimida pero no aparece la extensión, así que después de probar con tres distintas, a la cuarta di con ello. Ahora mismo me quedo muy pillado porque no se que son los archivos .lsd, así que tiro de mi amigo el LPIC Rodri... Pues a él tampoco le suena así que mal vamos. Vale, solo tardo unos segundos en revisar las últimas “evidencias” y en el correo veo que dice algo así como “cuando lo encuentres, simplemente usa scalpel”. Y es que no aprendo, lo de leer los texto completos no va conmigo xD. Pues nada, a usar scalpel, como ya hice en esta entrada viejuna en el blog. Como decía en esa entrada, modificamos el fichero de configuración de scalpel y le damos chicha. No tarda ni 5 segundos en terminar el proceso, buena herramienta! No aparece que la password es hello_is_there_anybody_in_there. Perfecto, pero la password para que, y mejor aún, con que usuario? ¿será el nombre del señor de la foto? Por si acaso una búsqueda rápida… Por la napia y los pelos parece el bajista Roger Waters xD. Recapitulando, solo hay dos servicios en los que podemos hacer login, el SSH y el Sft, en realidad (en principio) solo el Sftp porque si recordamos, el SSH nos decía que nanai. Después de probar todas las combinaciones posible con el Sftp y no conseguir nada, me paso al SSH por si acaso, aunque no le veo mucho sentido a no ser que una combinación “mágica” de user/pass si esté permitida. Pues era eso jeje. Ya estamos dentro. Listamos ficheros y vemos que hay en passwd. Hay varios usuarios además de root y de los miembros de Pink Floyd. Después de mirar los archivos de Roger intento ver que tienen los otros. Y a la tercera… Brick? como another brick in the wall? mucha casualidad no? xD Parece que es un fichero ejecutable, veamos que nos aporta. Creo que la respuesta a esa pregunta era obvia no? Pero no devuelve nada, o sí? Una forma chula de cambiar de usuario jeje. Veamos que tiene este señor en su home. Una vez más un bio.txt y una imagen. La bio para variar la leo por encima xD. Hoy he aprendido que con el comando file puedes ver que tipo de fichero es. Seguro que cualquiera que lea esto me pondrá de tonto, pero es que soy de Windows jeje. Pues resulta que de chorra he sacado una información que parece valiosa, el fichero .jpg en realidad es un fichero Ogg (de audio). Nos copiamos el fichero por SCP para abrirlo con algún programa de audio. En mi caso uso clementine que es el que más me gusta en linux. En cuanto oyes los 3 primeros segundos de canción te das cuenta de que hay un sonido raro que no cuadra. Creo que puede ser código morse, eso o el batería es malo de cojones y no sabe llevar el ritmo jajaja. A ver como me las arreglo para sacar solo la parte del código morse. Justo ayer hablaba con mi compañero Javi del gran Dani Kachakil que es toda una eminencia en esto de la esteganografía. Después de revisar sus papers, charlas y demás y de no haber encontrado lo que quería me iba a instalar audacity que ya usaba para retocar algunas cosillas de mis grabaciones con la guitarra, pero buscando algún programa más (por aquello de aprender a manejar más herramientas) me encuentro con Sonic Visualizer, vamos a probarla. Me toca pegarme durante una hora con el programa. Seguro que debe haber algún filtro que limpie la melodía principal y deje escuchar mejor el morse… Pero no doy con ello, así que toca afinar el oído. Siguiendo la forma de convertir el morse a texto humano y tras otra hora probando y apuntando cosas, por fin cobran sentido. Tras varias modificaciones de la “salida” creo que lo tengo. .­. .. ­.­. .... .­ .­. ­.. .­­ .­. .. ­­. .... ­ .­­­­ ­­­­. ....­ ...­­ ..­. .­ .­. ..­. .. ... .­ Ahora solo hay que buscar un “decoder” de morse. Podríamos hacerlo con la imagen que puse arriba, pero estoy aburrido ya del morse y e sta es la solución a mis problemas. Me devuelve RICHARDWRIGHT1943FARFISA. Se me ocurre intentar hacer login con la cuenta pero no va. Quizá tenga algo que ver que he puesto la contraseña tal cual en mayúsculas y sea en minúsculas. Efectivamente era eso, no se porqué había pensado que sería tal cual lo sacas del morse. De nuevo al mirar el home del usuario veo que están los ficheros de siempre. la imagen, el fichero bio.txt y el mbox. Primero le hago un cat al mbox que tardo menos que con la foto… Me quedo bastante colgado porque ni la foto ni el mail me parece que den ninguna pista. Después de releer el correo tranquilamente, me da la sensación de que me quieren recordar el comando que usamos al encontrar aquel binario. For now, just use that command I gave you with the menu. Después de darle varias vueltas encuentro y ejecuto /usr/local/bin/shineon lo que me devuelve Tras pulsar en las cuatro opciones, me da que de aquí no saco nada en claro. Le doy una vuelta y se me ocurre mirar el código. Con un cat sale todo malamente, como era de esperar, pero me deja ver que es un programa escrito en C. Veámoslo con s trings. Pues la verdad que no me arroja nada de luz, no tengo ni idea de C, así que toca preguntar a mi compañero Rafa que es un crack (como mola estar rodeado de gente que sabe jeje). Hablando con Rafa me comenta algo sobre las llamadas que debe hacer un programa en C que deben ir con las rutas y eso me recuerda que viendo el código ha visto que la llamada a “mail” no las tiene, y ahí precisamente reside la vulnerabilidad. Rápidamente Rafa se crea otro programa en C para hacer una prueba de concepto y en cosa de 5 minutos lo tiene resuelto. Se nos une Amine, un compañero que es otro fuera de serie y rápidamente llega a la misma conclusión que Rafa sin que le explique nada salvo la temática del juego. Aún habiéndolo resuelto, hay algo que no nos cuadra (y de hecho tengo que mandar un mail al creador del juego para que nos lo aclare) y es ahí donde reside el alma de estos hackers, se cogen el código, lo decompilan y se lían a ver que pasa… Bueno que me voy del tema jeje. El caso es que lo que hace el programa es mostrar un menú con 5 opciones y cada una de ella realiza una acción. La 4 precisamente es la que está mal implementada y a través de ella es con la que podemos escalar privilegios. Después de crear la prueba de concepto, me decido por crear un enlace simbólico de /bin/sh a /tmp/mail, exporto el path y ejecuto el binario. De esta manera consigo hacerme David Gilmour. Acto seguido y como siempre, miro a ver que hay. Y para no perder la costumbre me encuentro con la imagen del usuario, la bio el mbox y en este caso me encuentro un .txt nuevo. Vamos a ver lo primero el fichero anotherbrick.txt a ver si nos da alguna pista En el encontramos pinkfloyd1965newblogsite50yearscelebration­temp/index.php y al procesar la imagen nos devuelve who_are_you_and_who_am_i que tiene pinta de contraseña. Parece ser que es la contraseña del usuario David Gilmore... Así se ve la página de acceso de la nueva web. Después de un rato revisando todos los links y de procesar las imágenes y no encontrar nada, recuerdo que alguna prueba de esteganografía con imágenes hay que variar la luz, espectro, contraste etc para poder ver algo que hay oculto como hice hace tiempo en el blog en esta entrada y en esta otra. Vamos allá. Como no tengo a mano el pc con photoshop me toca instalar gimp en la kali. Abrimos el programa con la imagen y le modificamos los siguientes valores. Vamos a Herramientas → Herramientas de color → Curvas o Colores → Curvas y desde ahí arrastramos con el ratón hacia arriba y a la izquierda de manera que veamos la imagen como la siguiente. De esta manera obtenemos /welcometothemachine y 50696e6b466c6f796435305965617273. Además el chorizo de números pasado de hexadecimal a texto plano es: PinkFloyd50Years Si accedemos a /var/www/htdocs/welcometothemachine vemos que hay un fichero, de nuevo un binario. Ejecutamos el binario, ponemos la contraseña que hemos sacado de la imagen y… Me da la sensación que esta vez no se ha modificado nada en la shell como las otras veces al lanzar el binario, así que hago una búsqueda de los ficheros que se hayan modificado en los últimos 4 minutos para comprobar si ha cambiado algo y veo que se ha modificado etc/sudoers. Que cosa más rara… pruebo a hacer un sudo ­l introduciendo la pass de David Gilmour who_are_you_and_who_am_i No puede ser tan fácil… pruebo con un sudo su y taraaaaannnn!! No se porque me da que después de pegarte con todo hasta volverte loco, las últimas partes parecen demasiado fáciles. Llegados a este punto, solo hago un cd cat flag.txt Y ahí lo tenemos!! Esta máquina tiene cosas chulas de esteganografía, aunque lo del código morse es una fumada muy grande xD. Agradecimientos: A mis compañeros Rafa y Amine, no solo por su tiempo si no por explicarme todos los pasos que iban haciendo con el binario, sois unos máquinas! Al creador de la máquina @xerubus por el currazo del juego. Recursos utilizados: Sonicvisualiser ASCI to HEX GIMP Realizado por Roberto García Amoriz (@1GbDeInfo)
0
Anuncio
Documentos relacionados
Descargar
Anuncio
Añadir este documento a la recogida (s)
Puede agregar este documento a su colección de estudio (s)
Iniciar sesión Disponible sólo para usuarios autorizadosAñadir a este documento guardado
Puede agregar este documento a su lista guardada
Iniciar sesión Disponible sólo para usuarios autorizados