Привет,
античатовец! Мне сказали здесь собраны лучшие ИБ специалисты, и они смогут мне помочь.
Дело в том, что мой
Сайт: http://task5.antichat.com
Взломали неизвестные хакеры, а я не могу понять как!
Возможно именно ты, %username% мне поможешь.
Злоумышленники ничего не испортили, но сильно наследили: после них остались метки (всего
6, присылай их в личку), обрывки перфокарт и логи обращения к шеллам.
Все шеллы удалены, осталось найти уязвимости!
Задание:
Сроки:
Сообщение от
None
три
недели.
Сообщение от
None
В теме не флудим, подсказки разрешены только от ТС, ответы присылаем в ПМ. Ответом будет считаться флаг и каким способом вам удалось его получить.
Задание линейное, не трудное, все этапы рассортированы по сложности от очень простого к более редким вещам.
Поскольку задание предусматривает заливку шеллов и даже больше, просьба обойтись без вандализма на площадке.
Не оставляйте минишеллы и шеллы без пароля, это позволит не испортить прохождение другим искателям.
Хинты:
.SpoilerTarget" type="button">Spoiler: 4 flag, хинт #1
Как стало известно от первоисточника: кошка-админ внимательно следит за безопасностью сервера, поэтому
логирует все попытки входа в админку
.SpoilerTarget" type="button">Spoiler: 4 flag, хинт #2
Привет! Спасибо всем, кто помогает вычислить хакера. Благодаря вам, удалось узнать его имя - Маруся. Узнав его имя, получилось засечь его IP и свежие обращения к серверу по имени в логах. Вот выдержка из них, возможно она вам как-то поможет !
Код:
185.98.6.66 - - [19/Mar/2019:11:09:59 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 540 "-" "Marusa/5.0 (WindowsFuture NT 15.0; Win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:11 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 545 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:15 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3?username=test'&realm=ADMIN AREA&nonce=5c84f4cac9da4&url=/admin_secret_login.php3&response=edbf607287ed31322f414b5b2e85327e&opaque=083d15b45f53f59b2c020d5d95563e1e&qop=auth&nc=00000003&cnonce=34af9eb675b7cb93 HTTP/1.1" 401 545 "-" "Marusa/5.0 (WindowsFuture NT 10.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:23 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 540 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:51 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 543 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:28:55 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 721 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:30:14 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 805 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:30:49 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 760 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:31:08 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 791 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:34:20 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 805 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
.SpoilerTarget" type="button">Spoiler: flag#5 hint#1
Выражаю благодарность всем, кто помог найти опасную уязвимость. Уязвимость будет устранена.
Но одно остается непонятным: Как злоумышленник смог проникнуть в систему? Ведь на сервере нет ни одной папки доступной для записи
Код:
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Grants for task@localhost |
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| GRANT SELECT, INSERT, PROCESS, FILE, REFERENCES, SHOW DATABASES, SUPER, CREATE TEMPORARY TABLES, EXECUTE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, EVENT, CREATE TABLESPACE ON *.* TO 'task'@'localhost' IDENTIFIED BY PASSWORD '*E29EBDED21FD7A48CADCDD74A4CF7101562B2A7A' |
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)
Код:
cooladm@vuln:/var/www/html$ find . -user www-data -type d -ls
57647506 20 drwxr-xr-x 174 www-data www-data 20480 мар 26 09:53 ./upload/images
.SpoilerTarget" type="button">Spoiler: flag#5 hint#2
Хочу сказать спасибо участнику с ником
gurux13 , он прислал ссылку на статью
https://vds-admin.ru/mysql/sistemnye...era-fail-mycnf
и дал подробный ответ на вопрос:
Сообщение от
None
Как злоумышленник смог проникнуть в систему? Ведь на сервере нет ни одной папки доступной для записи
Первые, покорившие флаг:
1. MichelleBoxing
2. MichelleBoxing
3. MichelleBoxing
4. joelblack
5. gurux13
6. gurux13
Прохождение задания тут
Древовидный вид