Thinking outside the box

[pyth0n3]

Target: securitychannel.tk

Obiectiv:

Obtineti access , extrageti toate datele din database.

Time:24h

F.A.Q Pyth0n3 raspunde:

*: Pot folosi tool-uri care executa comenzi in mod automat fara nici un rost?

Pyth0n3: Nu deoarece vei lua ban automat in cateva secunde.

Asta doar pt faptul ca trebuie sa iti pui mintea la contributie.

*: Ce se intampla daca fac DOS?

Pyth0n3: Daca faci DOS nu vei obtine rezultatul iar eu nu voi face disclosure la sfarsitul challenge-ului.

*: Pot folosi metasploit?

Pyth0n3: Nu stiu daca are rost.

*: Care e versiunea de database ?

Pyrh0n3: mysql-server-5.0.77-4.el5_6.6

*: Care este username-ul de la databaseP

Pyth0n3: username=me

*: Care este password-ul de la database?

Pyth0n3: pasword=abc123

*: Pe ce server ruleaza?

Pyth0n3: CentOS release 5.5 (Final)

*: Ce porturi deschise sunt?

Pyth0n3: 80/tcp open http

443/tcp open https

22/tcp open ssh

*: Ce versiune de PHP ruleaza?

Pyth0n3: php-5.1.6-27.el5_5.3

*: Ce Webserver ruleaza?

Pyth0n3: httpd-2.2.3-45.el5.centos.1 (Apache)

*: Ce protectie are webserverul?

Pyth0n3: Mod_security ,Mod_Evasive

*: Ce alta protectie mai este in sistem ?

Pyth0n3: Un IDS host based

*: Ce tool-uri pot folosi in mod inteligent ?

Pyth0n3: Creierul

Daca sunt alte intrebari , sunteti liberi sa le scrieti

Thanks goes to Synthesis for application coding!

[Edit] Careva a bagat sqlmap

Uitati-va cum arata log-urile

ip - - [07/Jul/2011:21:50:05 +0200] "GET /index.php?page=challenge%27%20AND%20208%3DCAST%28CHR%2858%29%7C%7CCHR%2898%29%7C%7CCHR%28118%29%7C%7CCHR%28103%29%7C%7CCHR%2858%29%7C%7C%28SELECT%20%28CASE%20WHEN%20%28208%3D208%29%20THEN%201%20ELSE%200%20END%29%29%3A%3Atext%7C%7CCHR%2858%29%7C%7CCHR%28109%29%7C%7CCHR%28119%29%7C%7CCHR%28113%29%7C%7CCHR%2858%29%20AS%20NUMERIC%29%20AND%20%27jpJh%27%3D%27jpJh HTTP/1.1" 403 211 "-" "sqlmap/0.9 (http://sqlmap.sourceforge.net)".

Edited July 8, 2011 by pyth0n3

[sado]

LE: Daca ajungi la sabie , e ok sau ai luat-o pe drumul gresit?

Edited July 7, 2011 by beaubere

[pyth0n3]

@beaubere Depinde cu ce ai ajuns acolo , cu bicicleta sau cu ma?ina.

Hint: The application have a misconfiguration

Va trebui sa modifica?i stilul vostru normal de a ataca

Nu folosi?i metode cu care sunte?i obi?nui?i zi de zi schimba?i tactica de a gîndi.

Analiza?i aplica?ia ,analiza?i aplica?ia (e un lucru pe care nimeni nu il face)

Nu arunca?i query sql inutile, nu scana?i în mod inutil , cauta?i peste tot, cauta?i unde nu a?i cautat .

Ce poate fi prost configurat de obicei în aplica?ii de acest gen ?

Sunt cîteva lucruri pe care le pute?i deduce ,analiza?i-le ?i ve?i g?si r?spunsul .

Obtineti acces && extrageti datele,

Oricum nu exclud un parametru vulnerabil de input pe undeva .

Ca sa ai acces iti trebuie un shell dar e logic ca nu are rost sa spargi sshd decat doar sa te loghezi cu un user

existent

Ca sa extragi datele trebuie sa poti avea intrun fel acces la dat!base.

Dar cine cauta va gasi tot ce trebuie , sit-ul e public deci

informatiile sunt in mana voastra.

__________Countdown_________

Edited July 8, 2011 by pyth0n3

[pyth0n3]

De data asta prefer sa nu fac disclosure ,deci finalul e f?r? video , dar voi pune la dispozi?ie tool-urile ?i înc? aproximativ o ora de timp

Pentru a rezolva challenge-ul ave?i nevoie de urm?toarele:

1.Firefox (sau oricare alt browser)

2.LiveHttpHeader (sau oricare alt http editor)

3.Hackbar

4.Putty (optional pt cei care au windows)

5.Putin creier

Punctele 2. si 3. pot fi înlocuite cu BurbProxy sau Paros Proxy (optional)

Punctul 5. nu poate fi înlocuit .

[Edit] Game Over !

The cookie was misconfigured !

Edited July 8, 2011 by pyth0n3

[sado]

CUrios sunt daca a extras cineva datele..si mare curiozitate procedeul folosit ...

metoda incercata de mine a fost:

1.Mysql database replication aka alt ip fata de cel al websiteului..(culmea, am aflat abia cand am dat ctrl+click pe home si m-a dus pe alt site clona)

2.putty connect prin ipv6 catre ip 2

3.(Shet)M-am blocat la user si pass..

Chiar as vrea sa stiu cum trebuia procedat..

Oricum , acest tip de challenger este super tare ..inveti multe chestii , pana in masura in care inveti singur propriile metode de "hack"

[nedo]

fss, cu cookie-ul? Si eu care credeam ca e ceva cu openssh-ul.

Intrebare de noob: Openssh accepta orice user? adica daca dau spre exemplu ssh asdasfasga@site.com el imi accepta userul respectiv, dar nu si parola.

in cookie nu era decat id= cod lung.

Guess, this is out of my league.

[pyth0n3]

Openssh accepta orice user? adica daca dau spre exemplu ssh asdasfasga@site.com el imi accepta userul respectiv, dar nu si parola.

In general Openssh vine configurat in asa fel incat sa foloseasca modulul PAM (Pluggable Authentication Module) , oricum nu e exclus sa foloseasc? si altceva (spre exemplu Kerberos )

Datele de acces vin trecute prin PAM care le controleaz? în baza unor directive specificate in fi?ierul de configurare a modulului respectiv .

Bineîn?eles se pot specifica intro lista userii care au dreptul la acces prin directiva allow user chiar în fi?ierul de configurare sshd.

Oricum daca tu faci login cu un user care nu este in lista sau ma rog, nu este prezent in sistem ssh genereaza o eroare , de obicei in /var/log/auth.log de tipul:

Jul 9 21:41:46 mc sshd[3149]: Failed password for invalid user asdasfasga from 127.0.0.1 port 46185 ssh2

Oricum daca user-ul este inexistent password-ul va fi si el in automat gresit ( fiind inexistent)

Presupunem ca ii vom da un user existent dar vom gresi password-ul , va genera o eroare de genul:

Jul 9 21:44:04 mc sshd[3184]: Failed password for pyth0n3 from 127.0.0.1 port 42859 ssh2

In acest caz user-ului nu ii vine atribuit nici un fel de prefix de tipul invalid fiind un user existent in sistem si prezent in lista allow users

Edited July 9, 2011 by pyth0n3