Medium

Mudé el contenido a medium. https://medium.com/@chcx

Writeup shasha.pop.corp haxat0n telef0nica

Fuimos a kakear al edificio de telefónica (scl) a un CTF organizado por dreamlabs. Nos trataron súper bacán, cafecito, pizza, bebidas energéticas, aguita, de todo. buen ambiente y harto kakinggggg :). Andaban las mojojos, las kalila, y a la otra que le dicen.

A continuación les muestro como resolvimos uno de los challenges hasta llegar al mítico id 0.

Lo primero, había un host con poodle que nos daba pistas sobre un wordpress y sus credenciales (?).

                                   Figura 1: msfk0nsole at w0rk.

Obviamente probamos http://afrodita.pop.corp/wp-admin/ con esas credenciales. Había un post privado con un archivo con una clave pública =).

                                   Figura 2: una flagcita pa los cauros

Andabamos motivados y osamos a escalar privilegios. Recordé un par de techs descritas por ahí (https://payatu.com/guide-linux-privilege-escalation/) y se dió la mano de escalar privilegios con sudo.

                                   Figura 3: exploiting sudo rights/user

Entonces metiéndole x aquí y x allá, jugando con PATH incluso, encontramos la flag del papi root utilizando el binario cucaracha (que ejecutaba por detroit un vim). Entonces se le pasó la ruta de la flag como argumento (a cucaracha) y lo abrió con privilegios de id0 sin drama.

... que nos dio los primeros puntitos.

saludines!

N454.

    No me vengan na a decirme que la vulnerabilidad de Struts es nueva (https://www.cvedetails.com/vulnerability-list/vendor_id-45/product_id-6117/Apache-Struts.html). El capo de @julianvilas ya advertía y desglosaba en la rooted del 2015, detalles interesantes acerca del funcionamiento de dicha vuln.

Dicho sea de paso, y dada la popularidad e implicancia que estas vulnerabilidades generan en este mundillo, me puse a advertir a diferentes entidades sobre el riesgo e implicancia que tenía/tiene/tendrá. Así pues, me encontré con varias importantes, pero sin duda, la que más cariño le tome fue la de...

Figura 1: rougenasa (?)

No lo hagan en sus rukas, esto ya fue solucionado y reportado a quien corresponde. 

Figura 2: Request

De este modo, pasó lo siguiente...

Figura 3: ps aux

g0t r00000t? 

Figura 4: nah.

No tuvo sentido la restricción moral autoimpuesta (de intrusear en el host); los SoC reportados no mostraron interés.

El objetivo entonces de colgar esto? Contarle a mis nietos (?) “got shell at na54.g0v” (??????)

Figura 5: delicious < !

PD: IT WAS FIXED.

HackRF One

Figura 1: Great Scott!!!

Estuvimos (con curioso_EAX (?)) probando este gadget (opensource hw) para la transmisión y recepción de señales de radio. Abarca desde 1MHz hasta los 6GHz. De verdad muy interesante para uds los chismosos. Logramos escuchar un par de cosas, como la Radio Corazón (?) y los cantos de unas ballenas (??).

Figura 2: Seriously?

Ponerla a funcionar fué relativamente simple; adjunto tutorial:

https://mborgerson.com/getting-started-with-the-hackrf-one-on-ubuntu-14-04.

Se instalan un par de tools (como hackrf_info), y algunas libs (ldconfig -p|grep -i sdr) que permiten el control de dicho juguete. Se utilizó gqrx (viene por default en kali) que es bastante intuitivo; ajustar frecuencias y jugar con los modos. El poco tiempo que la tuvimos en nuestro poder se logró capturar algunas frecuencias atractivas.

En el marco de pruebas de penetración físicas, existen vectores de ataques llamativos en los cuales se usan estas técnicas de escucha. Adjunto una charla de la Rooted para que se motiven.

Figura 3: Julian Vilas - Deep inside the Java framework Apache Struts regardzz!

Hooking

Me dispuse a resolver un challenge estilo crackme, en el que el binario solicita password (como argumento), sin embargo, la pass no es macoy123.

so... para estirar los dedos y practicar algunas cosillas, establecí como objetivo, probar una tech que se utiliza para el analisis de binarios y reversing denominada hooking. Obsérvese el uso del binario en cuestión

chcx@BAB1LONIA$ file crackme crackme: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.8, not stripped chcx@BAB1LONIA$ ./crackme imn000000000000000000000b Vérification de votre mot de passe.. le voie de la sagesse te guidera, tache de trouver le mot de passe petit padawaan

Figura 1: que es y que hace? Considero relevante observar a que funciones llama, y desde que libs. Esto con la intención de armar un esquema mental de como funciona la aplicación.

chcx@BAB1LONIA$ latrace ./crackme imn000000000000b 4198 __libc_start_main [/lib/i386-linux-gnu/i686/cmov/libc.so.6] 4198 malloc [/lib/i386-linux-gnu/i686/cmov/libc.so.6] 4198 memcpy [/lib/i386-linux-gnu/i686/cmov/libc.so.6] 4198 memcpy [/lib/i386-linux-gnu/i686/cmov/libc.so.6] 4198 strcpy [/lib/i386-linux-gnu/i686/cmov/libc.so.6] 4198 puts [/lib/i386-linux-gnu/i686/cmov/libc.so.6] Vérification de votre mot de passe.. 4198 strcmp [/lib/i386-linux-gnu/i686/cmov/libc.so.6] 4198 printf [/lib/i386-linux-gnu/i686/cmov/libc.so.6] le voie de la sagesse te guidera, tache de trouver le mot de passe petit padawaan 4198 exit [/lib/i386-linux-gnu/i686/cmov/libc.so.6] ./crackme finished - exited, status=0

Figura 3: que libs utiliza?

Tal como se observa, se realiza una llamada a la función strcmp (probablemente para comparar la key ingresada versus la clave correcta). Con esta idea en mente, me dispongo a falsear strcmp para que retorne un valor que sea SIEMPRE verdadero (cero para este caso). Observando el código de fuente de strcmp.c lo modifico, teniendo en cuenta los argumentos de entrada (*s1 y *s2) y su salida (int).

chcx@BAB1LONIA$ cat ztrcmp.c int strcmp(const char *s1, const char *s2){ return 0; }

Figura 4: una copia acme de strcmp. Hecho esto, se compila de forma que pueda ser utilizada como una lib y poder invocarla desde la variable de entorno LD_PRELOAD.

chcx@BAB1LONIA$ gcc -fPIC -shared ztrcmp.c -o ztrcmp.so

Figura 5: compilando like a pro Seteando LD_PRELOAD indico al sistema (antes que todo) cargar una lib. En este caso, la que se ha creado con fines que retorne siempre 0 (verdadero en caso de strcmp)

chcx@BAB1LONIA$ export LD_PRELOAD=$PWD/ztrcmp.so

Figura 6: kamehame... Luego, se ejecuta...

chcx@BAB1LONIA$ ./crackme ims0000000pern0000b Vérification de votre mot de passe.. '+) Authentification réussie... U'r root! sh 3.0 # password: liberté!

Figura 7: haaaaaaa! ahí se ven.

PoC para CVE-2015-3306

Recuerdo haber estado revisando seclists.org y pillarme con este feísimo bug de ProFTPd, el cual permite (sin autenticar) copiar un archivo a un destino en dicho server. Busque alguna tool relacionada y no encontré nada. Para estirar los dedo y aportar con algo a la clicka, desarrolle un script en python que explote dicha vuln.

La idea fue implementar una herramienta que creara una especie de webshell (utilizando técnicas para hacer LFI) o básicamente copiar un archivo de origen a un destino (siempre en el ftp server). El código y el README respectivo en los links. Jah guía.

Figura 1: ok, not.

https://github.com/chcx/cpx_proftpd/

https://packetstormsecurity.com/files/131567