14.03.2019, 13:28
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.12.2006
Сообщений: 195
С нами:
10227206
Репутация:
2163
|
|
Привет, античатовец! Мне сказали здесь собраны лучшие ИБ специалисты, и они смогут мне помочь.
Дело в том, что мой
Сайт: http://task5.antichat.com
Взломали неизвестные хакеры, а я не могу понять как!
Возможно именно ты, %username% мне поможешь.
Злоумышленники ничего не испортили, но сильно наследили: после них остались метки (всего 6, присылай их в личку), обрывки перфокарт и логи обращения к шеллам.
Все шеллы удалены, осталось найти уязвимости!
Задание:
Сроки:
Сообщение от None
три
недели.
Сообщение от None
В теме не флудим, подсказки разрешены только от ТС, ответы присылаем в ПМ. Ответом будет считаться флаг и каким способом вам удалось его получить.
Задание линейное, не трудное, все этапы рассортированы по сложности от очень простого к более редким вещам.
Поскольку задание предусматривает заливку шеллов и даже больше, просьба обойтись без вандализма на площадке.
Не оставляйте минишеллы и шеллы без пароля, это позволит не испортить прохождение другим искателям.
Хинты:
.SpoilerTarget" type="button">Spoiler: 4 flag, хинт #1
Как стало известно от первоисточника: кошка-админ внимательно следит за безопасностью сервера, поэтому логирует все попытки входа в админку
.SpoilerTarget" type="button">Spoiler: 4 flag, хинт #2
Привет! Спасибо всем, кто помогает вычислить хакера. Благодаря вам, удалось узнать его имя - Маруся. Узнав его имя, получилось засечь его IP и свежие обращения к серверу по имени в логах. Вот выдержка из них, возможно она вам как-то поможет !
Код:
185.98.6.66 - - [19/Mar/2019:11:09:59 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 540 "-" "Marusa/5.0 (WindowsFuture NT 15.0; Win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:11 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 545 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:15 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3?username=test'&realm=ADMIN AREA&nonce=5c84f4cac9da4&url=/admin_secret_login.php3&response=edbf607287ed31322f414b5b2e85327e&opaque=083d15b45f53f59b2c020d5d95563e1e&qop=auth&nc=00000003&cnonce=34af9eb675b7cb93 HTTP/1.1" 401 545 "-" "Marusa/5.0 (WindowsFuture NT 10.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:23 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 540 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:10:51 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 543 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:28:55 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 721 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:30:14 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 805 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:30:49 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 760 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:31:08 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 791 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
185.98.6.66 - - [19/Mar/2019:11:34:20 +0000] "GET /admin_j458hj45ad/admin_secret_login.php3 HTTP/1.1" 401 805 "-" "Marusa/5.0 (WindowsFuture NT 15.0; win15; x256)"
.SpoilerTarget" type="button">Spoiler: flag#5 hint#1
Выражаю благодарность всем, кто помог найти опасную уязвимость. Уязвимость будет устранена.
Но одно остается непонятным: Как злоумышленник смог проникнуть в систему? Ведь на сервере нет ни одной папки доступной для записи
Код:
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Grants for task@localhost |
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| GRANT SELECT, INSERT, PROCESS, FILE, REFERENCES, SHOW DATABASES, SUPER, CREATE TEMPORARY TABLES, EXECUTE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, EVENT, CREATE TABLESPACE ON *.* TO 'task'@'localhost' IDENTIFIED BY PASSWORD '*E29EBDED21FD7A48CADCDD74A4CF7101562B2A7A' |
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)
Код:
cooladm@vuln:/var/www/html$ find . -user www-data -type d -ls
57647506 20 drwxr-xr-x 174 www-data www-data 20480 мар 26 09:53 ./upload/images
.SpoilerTarget" type="button">Spoiler: flag#5 hint#2
Хочу сказать спасибо участнику с ником gurux13 , он прислал ссылку на статью
https://vds-admin.ru/mysql/sistemnye...era-fail-mycnf
и дал подробный ответ на вопрос:
Сообщение от None
Как злоумышленник смог проникнуть в систему? Ведь на сервере нет ни одной папки доступной для записи
Первые, покорившие флаг:
1. MichelleBoxing
2. MichelleBoxing
3. MichelleBoxing
4. joelblack
5. gurux13
6. gurux13
Прохождение задания тут
__________________
Я так же грустен как орангутанг
Сидящей пред галдящею толпою
Суровый житель отогретых стран
Коварно преданный разлуке и покою
Ему и мне насмешница судьба
Дала для жизни крохотную клетку
Нам предстоит в ней долгоя хотьба
За тертую морковь, и за конфетку..
|
|
|
14.03.2019, 14:48
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
С нами:
5797046
Репутация:
40
|
|
Спасибо. Круто
|
|
|
|
14.03.2019, 19:54
|
|
Новичок
Регистрация: 03.06.2010
Сообщений: 21
С нами:
8389843
Репутация:
0
|
|
хм... одни html страницы, такое ощущение что тут нет php кода
а если нырнуть на внутреннюю страницу, будет надпись что сделано с использованием технологий uCoz
|
|
|
|
14.03.2019, 20:38
|
|
Участник форума
Регистрация: 30.12.2016
Сообщений: 218
С нами:
4931606
Репутация:
138
|
|
Задание у Лайта получилось не "лайтовое", в нем заложен потенциал хардкорного, который не стали реализовывать по совету главного бета-тестера: "Это задание, а не реальный сайт и может не хватить мотивации для прохождения".
Поэтому пару мест облегчили, одно не стали закручивать и задание стало доступным для прохождения на уровне "Ветеран" или на уровне "Молодец!".
Причём "Ветеран" не вывезет всё на старом багаже, а вот "Молодец!", который с большой буквы и с восклицательным знаком - пройдёт однозначно и с удовольствием.
Как минимум три места порадуют некоторой неожиданностью (может и больше).
И воспринимается, все же, скорее как реальный сайт, чем как задание.
Вот просто рекомендую к прохождению, и молодым и старым.
==
И, наверное, поскольку это задание сложное, можно оценивать его частями, скажем первые три флага - одна часть, дальше каждый флаг - самостоятельный этап.
Отписывайтесь в теме каждый раз, как прошли следующий этап.
|
|
|
|
15.03.2019, 20:42
|
|
Постоянный
Регистрация: 08.07.2015
Сообщений: 501
С нами:
5710646
Репутация:
24
|
|
Не получается расширение отбросить (
|
|
|
|
16.03.2019, 00:50
|
|
Участник форума
Регистрация: 23.03.2017
Сообщений: 265
С нами:
4812086
Репутация:
119
|
|
|
|
|
|
16.03.2019, 01:37
|
|
Постоянный
Регистрация: 20.02.2016
Сообщений: 862
С нами:
5383766
Репутация:
4
|
|
Сообщение от l1ght
↑
View attachment 6999
Привет,
античатовец
! Мне сказали здесь собраны лучшие ИБ специалисты, и они смогут мне помочь.
Дело в том, что мой
Сайт: http://task5.antichat.com
Взломали неизвестные хакеры, а я не могу понять как!
Возможно именно ты, %username% мне поможешь.
Злоумышленники ничего не испортили, но сильно наследили: после них остались метки (всего
6
, присылай их в личку), обрывки перфокарт и логи обращения к шеллам.
Все шеллы удалены, осталось найти уязвимости!
Задание:
Сроки:
Правила простые, они исторически сложились на площадках античата и рдота:
Задание линейное, не трудное, все этапы рассортированы по сложности от очень простого к более редким вещам.
Поскольку задание предусматривает заливку шеллов и даже больше, просьба обойтись без вандализма на площадке.
Не оставляйте минишеллы и шеллы без пароля, это позволит не испортить прохождение другим искателям.
Прошли:
Ereee поздравляю ) Грац !)
|
|
|
|
16.03.2019, 01:49
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
С нами:
5797046
Репутация:
40
|
|
Сообщение от CyberTro1n
↑
Ereee поздравляю ) Грац !)
С чем если не .secret
|
|
|
|
16.03.2019, 10:32
|
|
Постоянный
Регистрация: 20.02.2016
Сообщений: 862
С нами:
5383766
Репутация:
4
|
|
|
|
|
|
16.03.2019, 12:36
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.12.2006
Сообщений: 195
С нами:
10227206
Репутация:
2163
|
|
Сообщение от rudi
↑
хм... одни html страницы, такое ощущение что тут нет php кода
а если нырнуть на внутреннюю страницу, будет надпись что сделано с использованием технологий uCoz
Где-то должна быть админка, но ее тяжело найти с помощью брута
__________________
Я так же грустен как орангутанг
Сидящей пред галдящею толпою
Суровый житель отогретых стран
Коварно преданный разлуке и покою
Ему и мне насмешница судьба
Дала для жизни крохотную клетку
Нам предстоит в ней долгоя хотьба
За тертую морковь, и за конфетку..
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
