Reto restablecido a comerlaaa!

Como el nombre lo dice deberan obtener el flag y enviarmelo por MP, cortito y al pie.

Enjoy!

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ganadores:

1- overxfl0w13
2- PerverthsO
3- hdbreaker

Primero que nada para subir una shell por mysql se necesitan un par de factores.

1- El usuario que corre en la db tiene que tener privilegios de FILE para poder hacer uso de la sentencia into outfile o into dumpfile.

2- Encontrar un directorio con permisos de escritura donde volcar la shell.

Si no me equivoco creo que hiciste uso del flag --sql-shell pero para eso las stacked queries tienen que estar soportadas en el servidor, un ejemplo de stacked queries.

http://evil.com/?id=1; select database(); select user()-- --

Fijate los privilegios con los que cuenta el usuario, ya que estas usando sqlmap podes verlo con el flag --privileges.

Otro truquito!

rm .bash_history
ln -s /dev/null .bash_history

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
COmo uno podria saber sis esta infectado de cualquier botnet o ser una maquina zombie
Algunos COnsejillos

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login Interceptar el trafico con algun sniffer es una buena manera, el zbot se comunica por http, directo con el gate.php que es el encargado de obtener los reportes del mismo, la comunicacion va encriptada en RC4.

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login jeje la estoy pensando, aunque la botnet practicamente esta muerta.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Yo un día robé una botnet que tenía algún sistema de la interpol infectado, aún guardo las capturas de pantalla
Y respeto al aporte, insuperable muy bien estructurado y un contenido excepcional, me quito el sombrero ante usted.

Buena! @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, pasa las capturas seria interesante echarle un ojo, saludos!

Quien no fantaseo alguna vez con tener miles y miles de ordenadores bajo su poder?, no me refiero con el objetivo de desatar un caos o incluso robar masivamente información, sino para simplemente, tener el profundo sentimiento de "control". O hablando desde el otro "lado" a quien no se le ocurrio la idea de desbaratar botnets alguna vez?, cazarlas por el simple echo de ver que ahí adentro, descubrir el numero de  maquinas que cayeron bajo su poder? y quizá hasta tomar el control?. Bueno, este post va dedicado a esta ultima fantasía.

Como encontramos una botnet?

Vamos a lo primero, para cazar una botnet hay que localizarla, existen diversos servicios online que se dedican al traceo de estas, en los que se publican el path del C&C, información de los ejecutables usados para la infección, el tipo de botnet, etc.


Cybercrime-tracker


La cual mantiene archivado una gran diversidad de malware como la botnet Blackhole, Citadel, Zeus, Pony, IceIX, VertexNet entre otras.


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otra de gran utilidad es You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login contando con un tracker para la Zeus, Feodo, Palevo y la SpyEye.


Posiblemente existan otras listas de botnets, pero por el momento son las unicas que conozco.

También podemos hacer uso de algún motor de búsqueda como google. Implementando uno que otro google dork llevándonos por las estructura del panel que deseemos localizar, por ejemplo, la ruta del C&C por defecto en la botnet Zeus es el siguiente: /cp.php?m=login.

inurl:/cp.php?m=login

De ahí en mas podríamos ir variando, ya que probablemente el responsable haya echo algunas modificaciones al script, incluso cambiado el nombre, en fin todo va en el ensayo y error. Tal vez nos topemos con alguna que otra semi camuflada.

inurl:/adm.php?m=login

intext:"Remember (MD5 cookies)" ext:php

Hosting1

Partamos por el punto de que una botnet puede estar montada en un:

-Servicio de hosting free
-Servicio de hosting pago
-Hosting hacked
-VPS

En mi caso se hallaba alojada en lo que parecía ser un servicio de hosting pago, llamémoslo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.


A simple vista me atrevía a decir que el encargado del malware obtuvo acceso ilícito, por lo que lo mas seguro es que la web presentara alguna que otra vulnerabilidad que me permitiese la entrada, si es que no fue parcheada por el atacante, para alejar a los curiosos.

Realmente aun quedaba alguna que otra brecha.


Fijémonos haber que hay detrás del panel.



Un upload bastante jodido y otra SQLI. Luego de realizar varios intentos decidí dejar de lado la subida de ficheros, pero si podía inyectar comandos en la db, solo tenia que buscar la tabla con las credenciales de la botnet.


Por desgracia no había rastros de la Zeus.


Lo mas probable es que corra con un usuario diferente.


Después de navegar por la aplicación, me encontré con la zona de acceso a clientes.


Evidentemente trabajaba con otro user ya que las credenciales del formulario no estaban en la anterior base de datos. Así que me registre para ponerme en busca de alguna inyección u otra abertura que me de acceso.
Al rato termine por darme por vencido y decidí ir por otra via, enumerar los dominios en el servidor, tratar de acceder mediante alguno de ellos y así escalar hasta You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.



Evilnet

El proveedor de hosting, llamémoslo "Evilnet", por motivos obvios no voy a dar nombres. Evilnet ofrece servicio de hosting, diseño y programación web, varios dominios que pertenecen a Evilnet, usan la misma estructura de CMS, el mismo con el que corre nuestro hosting1.com  por  acá tenemos otro similar y por supuesto junto con la misma SQLI


Si no leíste el articulo "Engañando al WAF con XMP" podes ingresar al siguiente You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login donde detallo como conseguí acceso al servidor mediante You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Siguiendo con el apartado cabe destacar algo interesante que me encontré mediante la recolección de información:

    -Ambas webs usan el mismo password en el formulario de administración.

    -Ambas webs cuentan con el mismo password en la base de datos (el mismo que usan para acceder al panel, no es joda!).


Parece que el administrador de Evilnet no tiene buena memoria y prefiere usar la misma llave para todo, podría apostar que este "descuido" por llamarlo de manera elegante, se repite en los demás dominios bajo su autoría. Con este criterio quien sabe, si llegara a probar, hasta me podría cargar el facebook y el twitter del admin o hasta la sesión ssh personal, espero no llegarle hasta abajo de la cama jeje!.

Pero en fin ya estaba dentro de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, solo me faltaba escalar hasta You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, lo primero que hice fue tratar de leer el fichero de configuración de la botnet que se encuentra en el directorio base /system/config.php, mediante la creación de un enlace simbólico, pero para mi mala suerte no funciono. Entonces recordé el descuido del administrador e intente ingresar con la llave maestra por así decirlo, mediante otro usuario en la db que pertenezca a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, por lo que veía, la estrutura de nombres tiene la siguiente regla:

"Nombre que hace referencia al dominio"_XXXXXXX

ya había intentado loguearme como hosting1_xxxxxxx, entonces fui probando diversas combinaciones de usuarios.

Hasta que logre ingresar como hosting1 solamente, el cual tenia acceso a todas las dbs dentro de la aplicación.


Ya habiendo identificado la preciada base de datos.


Restaba consultar las credenciales en la tabla cp_users y rogar obtener el hash md5 en claro.


Afortunadamente el hashe del admin estaba presente en md5online.




La Zeus

Una vez dentro termine un poco decepcionado al respecto, creí que podía encontrarme con una mayor cantidad de bots, y para peor no había uno solo en pie.


Aunque contaba con una respetable cantidad de reportes sobre credenciales pop3 y http.


Una cosa interesante, es que el reports path de la botnet apuntaba al home de hosting1.


Por lo tanto podía navegar libremente a través del file browser y descargar ficheros a diestra y siniestra.


De no haber sido así, solo tenia que ir a options y editar el path con tantos directorios transversales sean necesarios para llegar al home.




Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aca les dejo los solucionarios de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que me fueron enviados, para quienes no lograron llegar al final o los que no encontraron la forma de avanzar en el desafio. Me hubiese gustado que al menos uno fuese de autoria hispana, pero bueno, la proxima sera, ya que pienso sacar una futura version de esta VM.

Aviso! si no conocias Darknet, tomate un tiempo para jugar con ella antes de leer alguno de los papers.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Enjoy!

Buen post!, guias en español ahí sobre el xxe, yo escribi una hace unos meses.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Te dejo otra que tiene muy buena pinta tambien.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Me encontraba tratando de acceder a un hosting por X motivos, digamos que había "algo" interesante para llevarlo a uno a meterse donde no lo invitan, probablemente mas adelante le dedique un apartado en este blog a ese "algo", pero por ahora se los dejare picando. Una vez que había logrado evadir el formulario de autentificación que me llevaba a la zona del admin lo demás parecía sencillo, subir shell mediante uno de los uploads. Había dos tipos: de imagenes y de ficheros pdf.


Este ultimo no realizaba ningún tipo de control sobre la extención del archivo que se le pasaba, pero al momento de enviar la shell era redirigido hacia una respuesta 406.



Al comienzo creí que el WAF filtraba funciones peligrosas como popen, system, shell_exec, etc, pero a medida que probaba me fui dando cuenta de que no permitía la inclusión de los tags <? ?> directamente. Cada vez que trataba de evadir las restricciones para colar mi código seguía recibiendo el cachetazo en seco del 406, cuando se me ocurrió que podía desactivar ModSec con un .htaccess fue en vano, el 406 seguía ahí. Así que ya en las ultimas a punto de desistir tuve la idea de embeber codigo php en el EOF de una imagen del tipo png, y si!, finalmente había subido exitosamente la shell!, pero al momento de llamarla no se ejecutaba!, ¿por qué?.


Por lógica no tendría que haber problema, se tendrían que visualizar los caracteres ilegibles seguidos de mi webshell, esto ya me estaba frustrando. Supuse que quizá se trataba de algún tag abierto dentro del source de la imagen, así que me puse a relojear el code para encontrarme con una cadena que llamo poderosamente mi atención.




XMP es un estándar ISO creado por adobe para el registro de metadatos en formato XML en archivos pdf e imágenes.

Para cerciorarme de que el WAF realmente no restringía el pasaje de la cadena <?xpacket begin="" id="W5M0MpCehiHzreSzNTczkc9d"?> decidí subirla en limpio.


Evidentemente había logrado insertar los tags sin recibir un 406 a cambio!, por supuesto al momento de ejecutar el script aparecía un error de sintaxis debido a que lo que se encontraba entre <? ?> no se trataba de una estructura PHP valida, solo faltaba saber ¿hasta que punto controlaba el WAF la regla de la cabecera XMP?.

Jugando un poco con el string a través de ensayo y error, llegue a la conclusión de que los tags podían incluirse siempre y cuando se respete la siguiente regla.

<?xpacket ?>

Entonces para disfrazar esta oportunidad y que mi script pasara desapercibido ante ModSec, se me ocurrió crear una función llamada xpacket que iba a contener la instrucción a ejecutar, en este caso descargar una webshell en el servidor.


De esta manera logre hacer a un lado las restricciones para tener una consola de comandos web limpia dentro del hosting.


Probablemente existan muchas otra maneras de saltarse el firewall web, pero esta me pareció de los mas interesante, además de que surgió de la persistencia con un toque de suerte

Saludos!

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No hay de que man! la idea es enroscarse!. Igual estoy seguro de que encontraste algo a lo cual no le prestaste la debida atencion 

No buscaste bien entonces 

La persistencia bloguera no es mi fuerte y ya hacia rato que no publicaba nada nuevo, de a lapsos durante el tiempo libre me vi enfocado a la creación de una nueva VM que pudiera ser digna del nivel de #Vulnhub, creo que me acerque lo mas que pude, nació así Darknet, una maquina virtual vulnerable para el desarrollo de laboratorios 100% Secsignal!.

Que nos tiene preparado Darknet?

No me gusta hacer spoiler y sobre todo de un reto de estas características, así que voy a tratar de ser lo mas escaso posible al tratar de describirla. Darknet tiene un poco de todo, una salsa con un toque de enrosque y frustración que espero lleve horas de migrañas y diversión para el que se atreva a conquistar sus aposentos.
Como se acostumbra el objetivo sera leer el contenido del fichero /root/flag.txt, obviamente una vez escalado los privilegios necesarios para cumplir con el cometido.


La imagen podrán montarla con VirtualBox. La maquina posee DHCP activo así que una vez lista asignara automaticamente una ip de red, el paso siguiente sera identificar el objetivo y  descubrir el/los servicio/s para que comience el juego. Buena suerte!.

Si desean enviar sus solucionarios en formato pdf pueden hacerlo a la siguiente dirección: s3csignal[at]gmail[dot]com

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Disfruten!

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Algo asi

<html>
<head></head>
<body>
<script type="text/javascript">
function load_html(){
    var xml=new XMLHttpRequest();
    if(xml){
        xml.open("GET", "code.txt", false);
        xml.send(null);
        document.getElementById('test').innerHTML=xml.responseText;
}
}
window.onload=load_html;
</script>
<div id="test"></div>
</body>
</html>

Con AJAX tranquilamente podes hacerlo

Phone Botnet  donde?? ¬¬

CitarHalf Scan [OPEN/CLOSED PORT]
El funcionamiento principal es realizar un three-way handshake pero sin completar el total de la conexión.
Ej; El emisor envía un paquete SYN (Comienza la conexión) en caso de que el puerto este abierto el receptor(servidor) enviaría un SYN+ACK, por último el emisor envía un RST+ACK para terminar la conexión.

Corrección: Si el puerto esta abierto, en el tercer paso, el cliente envia un ACK no un RST+ACK.

Primero que tipo de ataque? man in the middle hay varios, tenes: arp poisoning, dhcp spoofing, icmp redirect, port stealing.

No hay que crear nada, simplemente ejecutar el binario con el exploit correspondiente para que el mensaje de salida sea "You Fucked me!".