ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Задания/Квесты/CTF/Конкурсы (https://forum.antichat.io/forumdisplay.php?f=112)
-   -   Task #3 (https://forum.antichat.io/showthread.php?t=468333)

dooble 26.01.2019 22:33

Скорее всего это последнее задание из конкретно простых.

Немного сменим направление, чистый веб и никакого программирования.

Задание не придумано, а основано на реальных событиях, поэтому легенда будет такая:

Вас попросили проверить сайт, который вероятно взломали и навешали зловредных js.

Сайт восстановили из чистой копии и попросили найти место, через которое могли его взломать.

Задание:

Сайт: http://task3.antichat.com

Найти уязвимость на сайте, индикатором правильности поиска будет служить флаг md5, но присылать в ПМ форума нужно не его, а само прохождение.

Срок:

две недели.

Прошли:

crlf


l1ght

Gorbachev

grimnir

MichelleBoxing

ZodiaX

p4ulinho

=HALK=

Cybersteger

redscout

gurux13

Franky_T

unstppbl

Stepan999



Прохождения




==

Тот_самый_Щуп 27.01.2019 22:14

Нормальный таск! Сутки прошли, а ещё никто не осилил. Хорошее начало

b3 28.01.2019 02:37

Цитата:

Сообщение от Gorbachev

Нормальный таск! Сутки прошли, а ещё никто не осилил. Хорошее начало

Да просто мы его еще на начали делать #выe6осыотолдфагов

dooble 28.01.2019 08:31

Цитата:

Сообщение от Gorbachev

Нормальный таск! Сутки прошли, а ещё никто не осилил. Хорошее начало

Это же не рафинированный кусок скрипта с уязвимостью, а "реальный сайт", просто на исследование "чего тут вообще есть" нужно время.

Все нормально.

Полезно поковырять для практики, легально разрешили проверить площадку на прочность, но все же не хочется, чтобы на это тратили слишком много времени, лучше поковырять суть задания.

Поэтому небольшие хинты.

У ВП не зря залочена админка.

Ищем другие точки входа.

Многие уже нашли, несколько человек уже даже открыли.

Собственно там и начинается задание, а пока это накладные расходы, свойственные работе на реальных сайтах.

Цитата:

Сообщение от b3

Да просто мы его еще на начали делать
#выe6осыотолдфагов

У олдфагов будет повод убедиться, что один из старых трюков эту дверь тоже откроет.

Есть и еще одна точка входа, для цтфников она практически стандарт, хотя на сайтах почти не встречается.

Короче есть два входа, один да найдете.

Про флаг. Он помечен явно, что это флаг, не ошибетесь.

dooble 29.01.2019 11:02

Времени на анализ и поиск точки входа было достаточно, не хочу чтобы вы убили об этот процесс весь свой запал.

Можно продолжить решать без подсказок (и это самый правильный выбор), а для тех, кто пока не чувствует себя уверенно в поиске - будет спойлер:

.SpoilerTarget" type="button">Spoiler: Осторожно, спойлер - подсказка.
Кроме Вордпресса на сайте, как многие "заметили", есть еще и /phpmyadmin.

Но для входа нужна учетная запись.

Где ее взять?

Для олдфагов сработает некогда дефолтный пароль для pma

pma : pmapass

кстати на реальном сайте сработал именно он.

И следы о нем до сих пор присутствуют в дефолтном конфиге PMA.

Кроме того можно обнаружить файл /phpmyadmin/config.inc.php.bak

dooble 30.01.2019 10:07

Иногда простые задания трудно решают.

Даже топовые ребята.

Возможно не верят в простое решение, если сразу не получилось, то это должно быть чего то очень навороченное.

Может и не в этом дело, но у меня такое бывало.

Хочу еще раз подтвердить, задание очень простое.

Настолько простое, что вплоть до момента публикации боролся с желанием немного его утяжелить, но не позволил себе сделать этого.

Решил, пусть лучше человек 200 - 300 (вебщиков то больше, чем кодеров) решат его и получат немного удовольствия от ощущения того, что вот был тупик, не хватает прав и привычных инструментов, но небольшой финт и все заработало.

Тот_самый_Щуп 30.01.2019 10:56

Ну по количеству прошедших оно сразу видно, насколько простое. Для цветных не спорю, оно может быть и простое, но выкладывается таск для всех желающих, а не только для цветных.

К примеру, файл config.inc.php.bak его нету в известных словарях типа dirbuster, база директорий b000m`a, ArxScan, и так далее, соответственно скан привычными инструментами ничего кроме PMA не найдет.

Лично я на таск забил, потратив достаточно времени на перебор известных багов WP, исследуя REST API, и всевозможные альтернативы для залогинивания, редактирования постов, и так далее.

Потом присутствие /xmlrpc.php который по сути пустой файл, это тоже сбивало с толку, зачем он там? Это финт, или некий тролл трюк, чтобы сбить с толку. Ну и про PMA тоже самое, когда наткнулся на него, первым делом так же подумал, что он для запутывания, увести в другую сторону от реального решения.

В общем лично мне таск не зашел, и по большей части из за потраченного времени. Предыдущие два были по красоте, и проходить их было в удовольствие.

dooble 30.01.2019 11:11

Для вебщика PMA - это подарок.

Ковырять нужно именно его.

А в ВП специально залочил админку и xmlrpc.php, чтобы не убивались об них.

Два дня потратить на разведку сайта - это не много для вебщика, сломаться не должен был, потому как обычное дело.

Если нет такой привычки, вот он удобный случай попрактиковаться.

Задания решаем не столько для того, чтобы попасть в таблицу, сколько для получения новых навыков.

Ну и подсказки выложены, используйте их.

По поводу config.inc.php.bak, пожалуй соглашусь.

Исходил из того, что это стандартная проверка в ctf, не нужны дополнительные инструменты, все решается без сканеров.

Тот_самый_Щуп 30.01.2019 11:23

/xmlrpc.php не лишним было бы заблочить как админку. С админкой всё было ясно с самого начала, а доступный из веба /xmlrpc.php который не реагировал ни на что, сбивал с толку. Возможно только меня, но это как заметка.

crlf 30.01.2019 12:32

Цитата:

Сообщение от dooble

По поводу config.inc.php.bak, пожалуй соглашусь.

По моему, нормальная практика пробивать конфиги по расширениям типа .old, .swp, .php~ . Тулзы типа wfuzz отрабатывают такое за считанные секунды. И если называть это метод CTF-ным, тогда сюда же можно приплюсовать .git, .idea, да и весь брут дир в целом

По мне так pma : pmapass,на свежих версиях, нонсенс)

По сложности, таки да, таск не из разряда Ctrl+C/Ctrl+V

l1ght 30.01.2019 13:13

Цитата:

Сообщение от crlf

По моему, нормальная практика пробивать конфиги по расширениям типа
.old
,
.swp
,
.php~
. Тулзы типа wfuzz отрабатывают такое за считанные секунды. И если называть это метод CTF-ным, тогда сюда же можно приплюсовать
.git
,
.idea
, да и весь брут дир в целом
По мне так
pma : pmapass,
на свежих версиях, нонсенс)
По сложности, таки да, таск не из разряда
Ctrl+C/Ctrl+V

такая практика действительно обычное дело, и

.SpoilerTarget" type="button">Spoiler: осторожно, спойлер
wp-config.php.bak/swp/etc
- распространенный косяк из реальных условий. ctf-ники живут в своем мире и всегда смотрят на три шага вперед, поэтому

.SpoilerTarget" type="button">Spoiler: осторожно, спойлер
config.inc.php.bak или дира pma/admin/
- вполне себе теоретически существующая уязвимость отсылка с pmapass исключительно для олдов, поэтому недовольство Gorbachev обосновано. Желаю докопаться до истины, всем кто не сдается и продолжает решать таск !

//добавил спойлеры,если кто-то только начинает делать таск

crlf 30.01.2019 14:27

Цитата:

Сообщение от BabaDook

На счёт всего остального трай хордер

Ты похоже зарешал?

Цитата:

Сообщение от BabaDook

у неф лойн тоже

прекрати терзать никнейм

BabaDook 30.01.2019 14:57

Цитата:

Сообщение от crlf

Ты похоже зарешал?
прекрати терзать никнейм

Не, ты что, я всё. Потерял интерес.

Jerri 30.01.2019 19:01

А я ведь пытался гуглить что-то вроде phpmyadmin default password)) Правда не нашел того, что надо. Обидно)

Тот_самый_Щуп 30.01.2019 20:12

http://task.antichat.com:10003/?p=1

Флаг нашёл. Да потсоны, таск действительно легкий, там всё очень просто, ещё проще чем предыдущие таски. Постоянно так делаем в повседневной жизни

Поскольку про pma юзверя я был не в курсе, а файл config.inc.php.bak я своим сканнером не нашёл, заявлять что прошел таск не буду. Но было довольно любопытно.

dooble 30.01.2019 20:54

Цитата:

Сообщение от Jerri

А я ведь пытался гуглить что-то вроде phpmyadmin default password)) Правда не нашел того, что надо. Обидно)

Да, информация не гуглится, больше из практики.

В разное время срабатывали комбинации

pma : пусто

pma : pma

pma : pmapass

Сейчас это скорее всего не актуально.

l1ght 30.01.2019 23:37

Цитата:

Сообщение от Jerri

А я ведь пытался гуглить что-то вроде phpmyadmin default password)) Правда не нашел того, что надо. Обидно)

Цитата:

Сообщение от dooble

Сейчас это скорее всего не актуально.

фишку с аккаунтом php : pmapass нельзя назвать не актуальной: советую взять на заметку, потому что на практике такая вещь встречается. она не теряет своей актуальности, ввиду того что создание аккаунта pma описано в официальных манах как самого pma

https://docs.phpmyadmin.net/en/latest/setup.html (раздел Manual configuration)

так и в сотни других инструкций по установки этого по: https://wiki.archlinux.org/index.php/phpMyAdmin

на форуме эта фишка упоминалась очень давно, поэтому и помнят только старые пользователи. узнать о ней можно было собственно скачав движок с офф сайта изучив config.sample.inc.php/doc/sql/examples

Тот_самый_Щуп 30.01.2019 23:47

l1ght,у тебя репутация 272 ук рф

По таску, Sqlmap уже в третий раз выручает

l1ght 30.01.2019 23:52

Цитата:

Сообщение от Gorbachev

l1ght,
у тебя репутация 272
ук рф

да чтоб у тебя sqlmap перестал вставать на иньекции за такие рофланы

rudi 31.01.2019 01:32

WordPress стоит версии WordPress 5.0.3

Хотел попробовать уязвимость REST API

что то вроде POST запроса

http://task.antichat.com:10003/index...s/1337&id=1qwe

Но уязвимость исправлена в WordPress версии 4.7.2.

Тот_самый_Щуп 31.01.2019 03:32

rudi, там и phpmyadmin версии 4.7.5, а pma пользователь имеется. Таск полон чудес, не вешай нос.

Для стимуляции интереса к таску, можно чутка почистить ряды цветных.

Говорят, после этого творческий интерес моментально просыпается, и глядишь ещё штук 5 альтернативных решений будет найдено.

MichelleBoxing 31.01.2019 13:24

Цитата:

Сообщение от l1ght

на форуме эта фишка упоминалась очень давно, поэтому и помнят только старые пользователи. узнать о ней можно было собственно скачав движок с офф сайта
изучив config.sample.inc.php/doc/sql/examples

не знаю насколько это работает на практике, но когда все наиболее распространенные пароли, которые я знаю закончились, я пошел ставить phpmyadmin, чтобы посмотреть, какие вообще файлы он там по дефолту ставит, и в именно в конфиге эта пара как раз и присутствовала закоментированная.

а вот с дальше пока ничего не получается...

crlf 31.01.2019 19:51

Цитата:

Сообщение от l1ght

- вполне себе теоретически существующая уязвимость

Пробежался по небольшому количеству доменов. Вполне себе практически существующая уязвимость

.SpoilerTarget" type="button">Spoiler: Осторожно! Только для тех, кого дома не ждет семья!
Внимание! Attention!

Материалы предоставлены исключительно в ознакомительных целях!

Materials provided for informational purposes only!


.SpoilerTarget" type="button">Spoiler: Открыть на свой страх и риск!
http://jiem.org/config.inc.php.old

http://taiwan-city.com/config.inc.php~

http://plasson.com.au/config.inc.php.bak

l1ght 31.01.2019 21:22

crlf,

Цитата:

Сообщение от l1ght

такая практика действительно обычное дело, и
Spoiler: осторожно, спойлер
wp-config.php.bak/swp/etc
- распространенный косяк из реальных условий.

повторюсь, конфиги .bak/swp/(2)/.svn/git/тратата самое обычное дело. ты их и покидал в топик. config.inc.php.bak в пма такая же теоретическая ситуация как и pma/admin/ (скинь сюда или в личку живой пример такого бага, если не считаешь его теоретическим )

что бы не флудить: также помимо бекапов, временных файлов, часто в цмс и фраемворках файл с настройками подключения к бд бывает "типа защищен" (каким-нибудь .htaccess) или вообще никак не защищен. например в laravel по дефолту он (.env) лежит на каталог выше проекта. но разработчики любят размещать сайты в субдирах, или менять вебдиру (google:"index.of" ".env").

//edit

p.s. опа, еще один коллега по 272

crlf 31.01.2019 22:02

Цитата:

Сообщение от l1ght

повторюсь, конфиги .bak/swp/(2)/.svn/git/тратата самое обычное дело. ты их и покидал в топик.

Цитата:

Сообщение от l1ght

config.inc.php.bak или дира pma/admin/

Цитата:

Сообщение от l1ght

скинь сюда или в личку живой пример такого бага, если не считаешь его теоретическим

Окей, по конфигу, проехали. А вот с pma/admin/, знать бы на что грепать, а так не вопрос, дело времени, извращенцев то хватает. Есть идеи?

Цитата:

Сообщение от l1ght

но разработчики любят размещать сайты в субдирах, или менять вебдиру (google:"index.of" ".env")

По этому поводу и CVE есть https://www.cvedetails.com/cve/CVE-2017-16894/

Цитата:

Сообщение от l1ght

p.s. опа, еще один коллега по 272

О как, апасно однако

BabaDook 31.01.2019 22:08

1.zip или www.zip часто выручали

Цитата:

Сообщение от crlf

Окей, по конфигу, проехали. А вот с
pma/admin/
, знать бы на что грепать, а так не вопрос, дело времени, извращенцев то хватает. Есть идеи?
По этому поводу и CVE есть
https://www.cvedetails.com/cve/CVE-2017-16894/
О как, апасно однако

Он про репутацию

crlf 31.01.2019 22:15

Цитата:

Сообщение от BabaDook

Он про репутацию

С репутацией всё в порядке, стараюсь её не портить!

Just 4 lulz http://www.recam.org/pma/admin/

Тот_самый_Щуп 31.01.2019 22:58

Вы только своими списками и идеями по файлам\директориям не забывайте делиться

Списки можно мне в личку, дополню свою базу, и в обратку поделюсь с вами, там я тоже много чего из своей практики руками добавил.

PS: базы от wfuzz, и расширенные базы от dirbuster это откровенный мусор, большинство паттернов в реальности никогда не встретятся, поэтому загружать на скан несколько десятков метров шлакобаз, идея так себе.

grimnir 01.02.2019 00:48

Прошел таск .Таск просто охеренен!

MichelleBoxing 01.02.2019 09:01

Цитата:

Сообщение от MichelleBoxing

а вот с дальше пока ничего не получается...

получилось наконец, таск супер!!

пока проходил, много всего нового для себя узнал

rudi 01.02.2019 11:09

Имеется БД по адресу

http://task.antichat.com:10003/phpmyadmin/

Но она пустая. следовательно сайт выводит информацию на свои страницы не используя этой базы, значит где то должна быть еще одна база...

p4ulinho 02.02.2019 12:46

Таск супер, заставил напрячь извилины)

dooble 02.02.2019 12:48

У цветных зафиксиована подсказка, уравняем шансы:

.SpoilerTarget" type="button">Spoiler: Подсказка
В ПМА сильно урезаны права и кажется, что ничего сделать нельзя.

С этим вопросом надо как-то разобраться.

=HALK= 02.02.2019 18:45

Done

rudi 03.02.2019 00:34

а кто такие цветные?

Кстати, сайт легко положить запросом

python doser.py -t 1100 -g 'http://task.antichat.com:10003/?s=cs...c++dscs+sdc+sd'

Предварительно скачав

https://github.com/Quitten/doser.py



Тот_самый_Щуп 03.02.2019 01:27

Цитата:

Сообщение от rudi

а кто такие цветные?
Кстати, сайт легко положить запросом
python doser.py -t 1100 -g 'http://task.antichat.com:10003/?s=cs...c++dscs+sdc+sd'
Предварительно скачав
https://github.com/Quitten/doser.py

Зачем такие сложности? Поменяй пароли у my и pma, сложность прохождения сразу возрастет, и тогда точно справится сильнейший.

BabaDook 03.02.2019 02:52

Цитата:

Сообщение от rudi

а кто такие цветные?
Кстати, сайт легко положить запросом
python doser.py -t 1100 -g 'http://task.antichat.com:10003/?s=cs...c++dscs+sdc+sd'
Предварительно скачав
https://github.com/Quitten/doser.py

Красава, проси терь деньга за уязвимость

dooble 03.02.2019 08:40

Цитата:

Сообщение от rudi

а кто такие цветные?
Кстати, сайт легко положить запросом
python doser.py -t 1100 -g 'http://task.antichat.com:10003/?s=cs...c++dscs+sdc+sd'
Предварительно скачав
https://github.com/Quitten/doser.py

Площадки подняты для удобства решающих.

Но могу предложить решать задания только на localhost - настраивайте задания сами и ддосьте на здоровье.

Вроде умный парень.

?

dooble 03.02.2019 09:05

BabaDook, это задание прям для тебя.

Ты можешь его решить.

Включайся, самому понравится, когда решишь.

Вообще то, после подсказки - решение становится очевидным.

Надо просто посмотреть в указанную сторону и проверить, как дела обстоят на самом деле.

В общем, еще человек 200 - 300 могут решить спокойно.

BabaDook 03.02.2019 09:10

Цитата:

Сообщение от dooble

BabaDook, это задание прям для тебя.

Ты можешь его решить.

Включайся, самому понравится, когда решишь.

Вообще то, после подсказки - решение становится очевидным.

Надо просто посмотреть в указанную сторону и проверить, как дела обстоят на самом деле.

В общем, еще человек 200 - 300 могут решить спокойно.


Не, я же дно. Я такое не решаю. я только могу /robots.txt


Время: 10:33