Damn Vulnerable Challenge

[pyth0n3]

Target:Down

Status:Game Over

Obiectiv:

Ob?ine?i codul serial de 12 caractere pentru a intra in posesia premiului

Hint: Codul se afla pe serverul target

Trimite?i codul serial la adresa mea de mail (o g?si?i în semn?tur?) folosind cheia mea publica PGP

Nu voi lua in considerare email-urile in clar text.

Nu va voi r?spunde dac? nu va l?sa?i cheia voastr? publica .

In cazul in care sunt mai multi care rezolva challenge-ul vom trece la un alt nivel unde doar unul din voi va putea lua premiul.

In cazul in care nimeni nu rezolva challenge-ul premiul va r?mîne pentru urm?torul challenge.

Nivel:

Mediu (de?i as spune ca nu e complicat)

Information gathering:

PORT STATE SERVICE

22/tcp open ssh

80/tcp open http

443/tcp open https

Webserver Apache 2.2.3

Mod_security

Mod_evasive

Host-based Intrusion Detection System

About:

In challenge a fost introdusa o simpla tehnica pentru a bloca "no skills but prebuild tools"

In acest mod va trebui sa lucra?i cu creierul cand folositi un tool , fara ajutorul vostru nici un tool automat fie el comercial sau freeware nu va fi de folos.

Challenge-ul a fost construit pentru voi , asadar nu pentru tool-uri automatice

Nu va fi de folos sa folosi?i scannere de vulnerabilit??i automatice ca spre exemplu (Nessus,Acunetix) deoarece luati ban automat (doar pentru faptul ca incarcati banda si il consider DOS)

Daca faceti DOS adio premiu final , asadar daca folositi creierul v-am dat posibilitatea sa obtineti ceva.

Note:

In cazul in care ati facut dos, sau orice fel de alt exploit care va produce un reboot, serverul va intra in lockdown (va bloca orice fel de conexiune inbound )

Aici ave?i Game Over

Thanks:

Thanks goes to tdxev for support and application coding!

Premiu final:

Usb Fingerprint reader

Features:

* USB Fingerprint reader

* Up to 10 sets fingerprint enrollment

* Multi-Factor Authentication

* Advanced Password Management

* AIAC: Advanced image auto-calibration technology

* Secure and Powerful Computer Protection

Daca aveti intrebari , s-au comentarii in legatura cu subiectul deschis puteti apasa butonul reply

Edited August 1, 2011 by pyth0n3

[BogdanNBV]

pai e o prostie faza cu: "Nu va fi de folos sa folosi?i scannere de vulnerabilit??i automatice ca spre exemplu (Nessus,Acunetix) deoarece luati ban automat (doar pentru faptul ca incarcati banda si il consider DOS)

Daca faceti DOS adio premiu final , asadar daca folositi creierul v-am dat posibilitatea sa obtineti ceva."

am incercat 2 chestii si deja nu mai pot accesa siteul, deci in concluzie e un cacat si nu, nu cu unelte magice care fac treaba, am incercat ceva manual si am luat ban.

[Silviu]

In legatura cu cheia ta publica, link-ul nu e bun:

Not Found

The requested URL /paper/python3aka.asc was not found on this server.

Apache/1.3.39 Server at co.cc Port 80

[adi003user]

The same as bogdannbv

You don't have permission to access /index.php on this server.

doar am dat asa de control un ../../../../../../../../etc/passwd%00 si mio taiat craca.

LE. desigur ca am intrat dupa o vm cu vpn. trebuie sa facem cate un request de pe fiecare vpn/proxy in parte? )

Edited July 31, 2011 by adi003user

[BogdanNBV]

@adi003user LOL exact asta faceam si eu

[Dragos]

Nu e LFI. Deci nu mai incercati asta.

[pyth0n3]

@silvian0 fixed

@bogdannbv The Quieter You Become The More You Are Able To Hear

Banul e temporar 10 minute si e pentru dos (dos nu inseamna numai syn flood)

Edited July 31, 2011 by pyth0n3

[adi003user]

deci e sqli... incerc diseara

[Wav3]

+--------------------------------------------------+

| code by : tdxev |

| team : www.insecurity.ro | Romanian Security Team - [ Security Research ] v.2.0 Alpha |

| version : 2011.07.24 |

+--------------------------------------------------+

de ce si isr ?

[pyth0n3]

Hint: Codul serial este în urm?torul format xxxx-xxxx-xxxx

[Zatarra]

Nu stiu ce info ai dat tu acolo, daca e local sau nu, dar mie imi da asta..

Not shown: 998 filtered ports

PORT STATE SERVICE

80/tcp open http

443/tcp closed https

[Wav3]

Pune si tu un form sa verificam codul in caz ca il gasim. Ca poate unii mai luam si prin incercari (pe baza de noroc) si sa nu postam fiecare cod

[BogdanNBV]

@Zatarra este si 22 deschis

[Zatarra]

@Zatarra este si 22 deschis

La voi poate

Edit: Mdea.. not bad ;-)

Edited July 31, 2011 by Zatarra

[pyth0n3]

Imagina?i-va o companie care a f?cut un sofware ?i de?ine codul sursa , voi va trebui sa sa îl ob?ine?i , diferen?a e ca în acest caz fura?i doar licen?a.

Serverul e public împreun? cu informa?iile de pe el si sufer? de acelea?i probleme de care si alte servere sufer? doar ca nu va spune unde il doare.

Edited July 31, 2011 by pyth0n3

[Zatarra]

Imagina?i-va o companie care a f?cut un sofware ?i de?ine codul sursa , voi va trebui sa sa îl ob?ine?i , diferen?a e ca în acest caz fura?i doar licen?a.

Serverul e public împreun? cu informa?iile de pe el si sufer? de acelea?i probleme de care si alte servere sufer? doar ca nu va spune unde il doare.

Gata, mi-am dat seama, ms pt hint . Glumeam.. e o informatie foarte importanta.. pacat ca nu stiu eu vulnerabilitati de InterfatãPânzã

[Flubber]

Tot incercati sa obtineti diferite hint-uri, in zadar! Timpul este pretios.

[pyth0n3]

Hint: Unde vin stocate datele pe server?

[parazitul29]

pe ce sistem de operare e serverul?

[sado]

centos presupun

[parazitul29]

ca tot s-a terminat challenge ,care era solutia? ca eu am ajuns pana la page=/etc/ si imi dadea apache test page si am incercat totate combinatiile de locatii si n-a iesit nimic daca era /etc/ in locatie afisa test page

deci cum se rezolva?

[tiodr]

S-a zis ca nu e LFI, ce cauti cu page=/etc/ ?

[pyth0n3]

Information gathering

Un lucru important intro aplicatie web based atunci cand se face un pentest sau ma rog un atac este acumularea informatiilor.

Cu cat mai multe informatii vin obtinute cu atat se poate crea un plan mult mai clar de atac.

Dupa cum ati vazut un atacker reuseste sa obtina access la diverse target-uri doar daca gaseste vulnerabilitatea si reuseste sa o exploateze

In 90% din cazuri un atacker intalneste urmatoarea situatie:

Un target cu un parametru vulnerabil si un cod potrivit pentru a fi injectat (google dork)

Aceste cazuri le voi denumi "tab completion" (type part of a command name and hit TAB and you get its matches)

Challenge-ul pe care l-am creat a avut un parametru vulnerabil la SQL Injection.

Poate va intrebati care ar fi fost procedura pentru a obtine access

In primul rand identificarea parametrilor intrun request fie el GET sau POST sau chiar oricare altul.

Trebuie tinut cont ca unii sau chiar to?i parametrii pot fi necesari pentru a executa atacuri de diverse tipuri.

Un alt lucru care trebuie tinut cont este ca trebuie identificati toti parametrii chiar dac? sunt codati sau criptati.

Se va controla si (Set-Cookie header) deoarece multe vulnerabilitati pot fi incluse in acesti parametrii

Ceea ce trebuie cautat este parametrul care vine procesat de catre aplicatie si va fac un simplu exemplu:

Aici am lua exemplul din challenge:

Cookie: PHPSESSID=ut4q1ocqqd4il5i744mc9hhhu7; data=Mzc%3D

1.Un parametru poate fi modificat si trimis inapoi catre server in acelasi timp se observa raspunsul .

data=Mzc (%3D)-> e urlencoded si este echivalent la "="

Valoarea completa poate fi vazuta asa "Mzc=" si as spune ca e base_64 iar in cleartext are valoarea "37"

Ce s-ar intampla daca am face un reply cu

Cookie: PHPSESSID=ut4q1ocqqd4il5i744mc9hhhu7; data=

Unde data este "blank" f?r? nici o valoare.

2. data este echivalent cu id-ul userului iar daca valoarea vine eliminata userul dispare

Acest parametru poate fi folosit pentru atac (spre exemplu multe siteuri care se ocupa de vînz?ri online sunt vulnerabile la sql injection , iar injec?ia se poate face prin unul dintre ace?ti parametrii )

Modificînd valoarea se poate ob?ine acces cu un alt user bineinteles fiecare valoare va trebui codata in base_64 si trimisa înapoi.

Challenge-ul putea fi rezolvat folosind un browser si un http editor cu suport request reply

fara ca injectia sa fie blocata de catre WAF sau HIDS.

Proof Of Concept Video

Cum am zis si am sa ma tin de cuvant , premiul ramane pentru urmatorul challenge iar daca cineva il rezolva il va obtine.

Thanks again to tdxev for the support!

Edited August 1, 2011 by pyth0n3

[pr00f]

@ pyth0n3 :

Acest videoclip este privat.

Ne pare r?u.

// Da, merge, mul?umesc.

Edited August 1, 2011 by pr00f

[pyth0n3]

@pr00f ar trebui sa mearg? acum