CTF : Broken-2020: 1

CTF : Broken-2020: 1

Catch the flag trouvé sur Vulnhub

https://www.vulnhub.com/entry/broken-2020-1,470/

Proposé pour les débutants avec trois flags annoncés user/intermédiaire/root.

J’ai perdu des screenshots désolé si il y en a moins que d’habitude.

L’index de l’url une fois la VM lancée

J’ai lancé Legion afin de scanner l’ip

J’ai lancé Dirbuster pour identifier les /dir/

J’ai lancé aussi :

nmap -T4 -p- -A 192.168.1.47

Les renseignements intéressants étant :

22 – ssh – Openssh 7.9p1 Debian 10+deb10u2 (protocol 2.0)

80 – http – Apache/2.4.38 (Debian)

/images/

/cms/

/cms/index.php

En fouillant, j’ai remarqué une proposition d’installation de CMS sur /cms/index.php.

J’ai tenté de le manipuler – mais gros troll voici le résultat que l’on obtient :

J’ai relancé un dirbuster vu que les chemins avaient légèrement été bousculé par ce defacement

Et au passage on chope le premier flag :

Dirbuster me trouvera /cms/cc/

En y regardant de plus près [F12] – Le GET donne :
/cms/cc/?ip=$adresseip$&port=$port$

J’ai tenté quelques injections sans succès – J’ai donc essayé de voir ce que faisais réellement « hack », en lançant un serveur http et en le ciblant :

python -m SimpleHTTPServer

Le dossier dans lequel je up mon serveur contient un reverse_php.php

Je lui donne alors 192.168.1.43 et le port 8080

Et dans sur mon serveur je constate que GET tente d’accrocher à un fichier nominatif /e8114ea84d875(…)f20.sh

J’ai donc juste créer un fichier avec le même nom en .sh avec netcat sur le port 1234.

J’ai clique sur « HACK » pour joindre mon fichier et YES il est upload sur le serveur ^_^

Mes trouvailles sous l’user « www-data » (Juste les droits du serveur vu qu’on a été up par lui … on voyage en cd.ls.echo ca reste sommaire)

Le premier flag – Je pensais trouver un vrai flag, mais il semble que ce soit le 1 –
Le second flag et regardez bien le SCRIPT avec les droits RWX malgré notre « statut »
Le troisième flag !
un pstree pour vérifier ce que le serveur fait tourner
Hack.sh et ses tourments
load.sh
La solution à notre problème de droits

On va éditer /home/alice/script/log.py et lui dire upload un nouveau netcat en port 1235 par exemple.

Clear.log nous informe que CRON lance un script toutes les minutes pour activer le .py.

On se met en écoute sur le 1235 et on devient l’user « Alice » ce qui nous ouvre donc de nouvelles possibilités, comme éditer le fichier path.txt

En lisant les notes.txt, on tombe sur une demande signée « root » expliquant à Alice qu’ils ont été hacké, et il faut que Alice prépare le dossier /backup/ et colle l’URL dans path.txt, le script fera le reste.

Il suffit à ce moment d’éditer le fichier en ajoutant /root/, il faudra attendre que Cron se décide à bouger (environ une minute).

Et on est projeté en full privilège. Bon par contre j’ai perdu une dizaine de screenshot, j’ai eu la mauvaise idée de mettre une partie sur ma VM et une partie sur ma machine physique.

J’ai strike ma VM entre temps … C’est con 😀

Le dernier flag – je n’ai pas la preuve – Mais c’est un ordinateur en ASCII, avec un congratulation for the root flag ! Et une demande de soutien en BITCOIN.

Voilà voilà pour la prochaine je ferais gaffe aux screenshots.

By dn|5

2 Replies to “CTF : Broken-2020: 1”

    1. Oh génial ça ! 😀

      Merci à toi d’être passé faire coucou !!! Je me suis bien amusé sur ton CTF.

      Continue c’est vraiment intéressant.