CTF : KFIOFan 1

CTF : KFIOFan 1

KFIOFan lien du CTF à DL

https://www.vulnhub.com/entry/ctf-kfiofan-1,260/

La VM est en route avec son IP déjà visible et un login qui n’est pas admin@admin (j’en teste toujours une vingtaine très basiques dans le doute).

J’ai ouvert le site à l’adresse ip et automatiquement on se mange l’authentification Apache.

C’est juste de la logique si on ferme l’Authentification, on voit un html qui reprend le nom de l’user : Bob.

Pour le password il semble être aléatoire selon les coordonnées longitude/latitude que j’ai calé dans OpenStreetMap pour avoir un nom de ville Française. (Perso j’ai dû essayer 7 villages et 1 plus grosse ville qui semble être le bon choix).

Bon j’ai dû faire le CTF en plusieurs fois car je me suis cassé les dents avec LEGION (sous Kali) qui m’a trouvé plein de pages inutiles – dont un accès DotClear pour se log … Erreur de débutant ? J’en sais rien pour l’instant, mais j’ai passé plusieurs heures à tenter des choses avec les propositions de searschploit et mes lectures des différentes pages.

Pour le coup, j’ai trouvé deux flags et j’ai joué avec la recherche.

Recherche qui est sensible à l’injection.

Alors comme les injections ne sont pas ma spécialité, je dois avouer que je tente pas mal de manipulation tout en essayant de comprendre.

aa%" union select table_name, column_name from information_schema.columns;#

Après coup vue en code source ça permet de voir les noms véritables plutôt que 4 à 5 fois dc_comment par exemple.

On trouvera ssh_keys qui est la table qui nous intéresse.

Injection de

aa%" union select * from ssh_keys;#

aa% » pour engager l’injection d’une union qui sélectionnera TOUT (*) dans la table qui nous intéresse (ssh-kheys) et on cloture avec (;) (#)

Le dièse fait passer tout ce qui est derrière en commentaire et donc ça l’efface et ça ne s’exécute pas.

La recherche nous ressort un nom et une clef privée.

Cliquez sur « alice » la clef est là, il suffit de la copier coller dans un fichier .txt. (Ma clef est dans « kkk ») – (N’y voyez rien de raciste je nomme tout mes fichiers « k » pour « ok » mais comme j’ai déjà « k » et « kk » … ouais je suis bordelique).

Direction terminal :

ssh alice@192.168.1.34 -i kkk

Hop on est connecté sauf que le « TIC TAC TIC TAC » ne me plait pas du tout …

Après un kick-time j’ai compris le tic tac … c’est relou, j’ai heureusement eu le temps de faire quelques tests et d’aller fouiner sur le net après une escalation de privilège.

En tant sudo -l on reçoit une note disant que la seule commande sudo autorisée à l’user « alice » est awk.

Moteur de recherche : escalation privilege awk

La commande passe nickel et très rapidement … c’est génial 🙂 Je suis ROOT.

Voici les flags que j’ai trouvé à savoir que j’ai trouvé tout les flags … sauf le 1, que j’ai trouvé en dernier haha 😀

CTF très sympa, j’ai juste un truc à dire : Je n’aime pas les paramètres aléatoires !!! Pour me venger j’ai rm -rf /* la vm.

Merci à Khaos pour son CTF 🙂 https://www.twitch.tv/khaos_farbauti/videos

by Dnl5