Muchas gracias, ya sacaron los creadores uno nuevo, voy a ver si logro pasarlo y tratare de aportar nuevamente.

Greets!

Bienvenido Tio. Jeje.. Un saludo por alla.

Bueno consideraba postearlo en (Wargames y Retos), pero también considerando que es un walkthrough quizás también sirve como un Tutorial de Hacking/Pentest y para aquellos que no entiendan o estén perdidos prefieren seguirlo paso a paso a medida que leen como un tutorial, por eso es que me decidí a postearlo acá, si consideran los admins en que debería ir a Wargames, todo bien y disculpen.


Bueno hace unos días aburrido me puse a bajar este CTF llamado PWNLAB desde la siguiente dirección: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Necesitaran VirtualBOX - OVA para correrlo, sin mas preámbulos, intentare detallar de manera reducida y directa como logre pasarlo. (Algunos tests los saltie para no escribir de mas ya que no me brindaron lo que necesitaba para avanzar y llegar al bendito flag).

~ Comenzando:
En mi caso la ip del servidor victima es 192.168.0.106. Veamos que puertos tiene abierto, utilizando nmap:


Bien como vemos tiene algunos puertos interesantes entre los que se destaca el HTTP y el MYSQL. Podríamos intentar desde el inicio tirarle un BruteForce al login, pero por como venia la prueba quería intentar otras vías de acceso, suponía que tendría que darme algún conocimiento el avanzar de otro modo a diferencia de algo tan sencillo como bruteforcear jeje.



Bastante sencilla la web, tiene solo tres links, el home, login y el upload. Como dije antes, realice varias pruebas, ninguna satisfactoria, hasta que me puse a mirar bien. Al momento de llamar algunos de esos links por ejemplo HOME, o LOGIN, el path luce de esta manera:

http://192.168.0.106/?page=login

Ese ?page=login me recuerda a como explotaba años atrás al famoso LFI / RFI. Con la ayuda de este site y debido a varias pruebas que no resultaron positivas, logre poder idear el método para avanzar. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Se trata de pedir ayuda a los Wrappers o 'envoltorios, empaquetadores' en castellano. PHP acepta una serie de wrappers para distintos protocolos de tipo URL, estos permiten trabajar con funciones del sistema de archivos. Los Wrapper soportan varios filtros que pueden ser aplicados a un determinado recurso que le pasemos, en este caso como dice el site ese, podríamos probar con la función 'convert.base64-encode' y ver que pasa, la estructura quedaría asi y se la paso via BurpSuite en mi caso je.

http://192.168.0.106/?page=php://filter/read=convert.base64-encode/resource=login

Bien, la respuesta es rápida y con buenos resultados. Si usamos un poco la lógica, la función convert.base64-encode, nos dice que el resultado lo codificara en base64. Si este resultado lo pasamos al decoder, nos da lo siguiente:



Esta mostrándonos codificado el código fuente de "login.php". Tambien vemos que existe el archivo de configuración llamado "config.php", veamos que contiene:





Volvemos a tener los mismos resultados, el resultado codificado en base64 y al decodificarlo, surprise!, el acceso al server mysql. "La contraseña fue censurada, no es la verdadera, solo por jodido y para que no sean tan vagos jeje".

Una rápida conexión desde el cliente mysql en la terminal nos confirma el acceso:



Navegamos por la DB hasta llegar a lo que nos interesa...

$ mysql> show databases;
$ mysql> use Users;
$ mysql> show tables;
$ mysql> select * from users;

Y el resultado:



Nice, los resultados están en base64, seguimos.. opto por loguearme como KANE jeje.
Una vez logueados, estamos listos para poder subir archivos.. pero antes podríamos ver el codigo fuente de "upload.php" verdad?. Una vez mas el wrapper nos ayudara:



Obtenemos respuesta codificada y al pasarlo por el decoder, obtenemos el codigo fuente, lo que resalto a continuación es interesante, ya que de ello depende como se nos limitara nuestro archivo que subamos via el Upload.php:



Como vemos, se subirá a la carpeta upload/. Y las extensiones están limitadas a jpg, jpeg, gif y png. Bueno, necesitamos buscar la manera, de intentar subir algún archivo 'malicioso', que nos permita tomar control del sistema, y luego de alguna manera poder invocarlo para darnos ese bendito acceso.

Por mi parte lo que intente hacer fue buscar una shell de conexión inversa, la cual guarde como w0t.gif recordemos que solo 4 extensiones eran posibles y permitiría subir. Tambien pueden crear la shell inversa con metasploit, a libre criterio.

Vamos a Upload y probemos subir la imagen:



"Error 002", wtffffff??.. jeje.

Por lo visto, logra darse cuenta que no es un archivo GIF razo.. podemos bypassear de la siguiente manera, ingresando el encabezado GIF justo antes del comienzo de el codigo PHP de la shell:



Le damos a upload nuevamente y ahora si logramos bypassearlo, en mi caso se encuentra el archivo en el siguiente path:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Seguimos.. ahora tenemos que buscar el modo en que el codigo php, el de nuestra shell, se ejecute.. ya investigamos login.php, upload.php y config.php.. nos resta lo fundamental, index.php jej.

GET /?page=php://filter/read=convert.base64-encode/resource=index

Nos arroja el resultado codificado en base64, decodificamos y obtenemos algo interesante:



Vemos ese parametro "lang" seteado en la Cookie. Investiguemos un poco mas:



Bingo!, mediante la Cookie podemos realizar un LFI (Local File Inclusion). Por ende si podemos ver el /etc/passwd, tambien podríamos ejecutar nuestra shell de conexión inversa verdad?. Vamos a intentarlo, primero dejamos un netcat escuchando localmente en el puerto 4444, que este fue el puerto que personalice la shell para que se conecte.



Como vemos en la parte de abajo en BurpSuit explotamos el LFI y en la parte de arriba en la terminal vemos como el netcat que estaba a la escucha recibe una conexión entrante... jeje.



Vemos que no podemos ingresar a la carpeta de Kane, somos www-data y el comando "su kane" para cambiar de usuario no funciona. Por lo tanto tenemos que acomodar la shell correctamente, importando bash con un script python.

$ python -c 'import pty; pty.spawn("/bin/bash")'

Ahora si tenemos bash y procedemos a loguear con el usuario Kane, utilizamos la password mysql de antes para loguear.



Vemos que no tenemos mucho en la carpeta /home a excepción de un archivo llamado msgmike, el cual tiene un interesante detalle y es que tiene el bit SUID activado bajo el usuario MIKE.

Corremos msgmike:

$ ./msgmike

Y nos devuelve el siguiente mensaje de error:

cat: /home/mike/msg.txt: No such file or directory

Nos damos cuenta que ejecuta 'cat' pero al parecer no con un path absoluto. Entonces pensamos que podríamos manipularlo y lograr escalar privilegios. (Referencia a tener en cuenta: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, referencia 2) repasen su ingles jeje)

Vemos que tenemos en PATH:

kane@pwnlab:~$ echo $PATH
echo $PATH
/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

Bien suponiendo que se empaparon en el tema del link que pase y sobre PATH e IFS Exploit, lo que hago es exportar en PATH lo siguiente:

kane@pwnlab:~$ export PATH=.
export PATH=.
kane@pwnlab:~$ echo $PATH
echo $PATH
.

Una vez que le pasamos el valor a PATH, procedemos a crear un file llamado CAT, que contendra /bin/sh, mediante el cual al ejecutar ./msgmike, deberiamos escalar privilegios:



Como vemos en la imagen, con whoami verificamos que somos Kane, luego creamos el archivo cat y le damos permisos. Al ejecutar msgmike escalamos privilegios a mike, gracias al SUID.

Continuamos... estamos cerca.

Nos vamos hacia nuestro nuevo /home/mike, y verificamos que tenemos otro file, llamado msg2root.. comprobamos de que se trata:

mike@pwnlab:/home/mike$ file msg2root
file msg2root
msg2root: setuid, setgid ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=60bf769f8fbbfd406c047f698b55d2668fae14d3, not stripped

Ok, tenemos otro file con SUID, esta vez de "ROOT". jeje.. Al ejecutarlo, vemos que hace un echo de todo lo que tipeamos:



Al verificar con strings msg2root vemos que lo que hace es lo que esta en evidencia, realiza un stdin y stdout con /bin/echo. Por ende si cortáramos el mensaje, con ";" y escribimos una segunda orden como por ejemplo con el comando "pwd", tendría que funcionar y darnos el path:



Y efectivamente funciono, considerando el bit suid activado, procedo a verificar si esta netcat en el sistema, e intento abrir una nueva shell para escalar privilegios a Root :

(Pantalla desde la shell inveresa en el sistema victima)


(Pantalla desde la terminal atacante el cual corre netcat en el puerto 8000, esperando conexion de la victima)


Tambien podriamos haber realizado un 'cat' desde msg2root hacia /root/flag.txt, era el modo facil, jeje, pero al saber que estaba netcat, fue un plus. De esta manera se finaliza con el CTF. Cualquier duda, simplemente preguntar.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La realidad es que hoy en dia TOR no es tan seguro como la historia lo pone. Yo que vos no me fiaria. 
Si tengo que darte un consejo te recomendaría una VPN paga, donde el analisis lo hagas tanto tecnicamente como a nivel pais, leyes y politicas de privacidad que este trate. Ni de casualidad tampoco esas vpn's gratuitas.

Usa OpenVPN con AES-128 / SHA1 / RSA-2048... ahí estaríamos hablando de algo serio.

De todas maneras, depende lo que quieras hacer. Y el riesgo que eso implique. Si es un simple escaneo de puertos, podes 'torificar' el nmap con proxychains o torify a menos que despues tumbes todo el sistema jeje. Todo depende del grado de paranoia y el objetivo que tengas.

Saludos.

Se refiere a un mail corporativo o 'casero'. Aunque el sinónimo de casero sea mio jeje. Explicitamente nessus dice que no acepta No "Free or ISP Email Addresses".

Saludos.

Dale nomas, todo lo que sea para aportar bienvenido. Si necesitas una mano tan solo avisa.

Saludos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Antes que todo un cordiar saludo amigo mio, ami tambien me encanta esta serie que tanto drama,intriga,y conocimientos informaticos que lleva. He navegado y he encontrado la pagina perfecta para ver esta serie tan magnifica.

aqui te dejo el url : You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Buena web, un poco de publicidad al principio. Pero he usado esa para ver toda la primer temporada. Y parte del principio de la segunda jeje.

No es tan asi, y depende mucho la manera en que se formatea y que tecnica se usa. Generalmente la gente realiza un Format Quick, o formateo rapido en Windows. Es posible recuperar algunos archivos, como te digo depende mucho la manera en que se formatea, no es lo mismo un format quick que un formato a a low level.

Adjunto un post donde te dice aprox 10 programas para recuperar software y al parecer son gratuitos: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No se sinceramente la efectividad que tengan, pero con probar o al menos tener una idea de arranque supongo que servira.

Saludos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
no interesa el lenguaje gracias por e enlce pero no me deja entrar el antivirus

Es muy logico que no te deje y lo detecte como posible amenaza. Es un subdominio dedicado y con material de Malware. Jeje.
Desactivalo, o en el peor de los casos miralo con una maquina virtual.

Bienvenido!..

No se que tipo de falla estaras buscando, pero creo que se hacia donde apuntas, aunque en este caso, el error que estas teniendo es con el manejo de DBG.

El problema de no rastrear ese codigo que parece ser importante el "aaaac0de20x1" en la funcion strcpy es porque justamente no estas traceandola.

Estas enfocando tu breakpoint a main, cosa que esta bien pero estas olvidandote de hacer un punto de ruptura en strcpy tambien. Veamos.. considero que estas en 32bits, voy a cambiar de arquitectura solo por vos jeje.

$> gdb -q a.out

(gdb) b 5
(gdb) b strcpy (aca es donde rompes en strcpy)
(gdb) b 7 (en el printf)
(gdb) b 8 (antes de finalizar)

(gdb) r

Para en el primer breakpoint en mi caso 0x80483c0.

(gdb) c

Breakpoint 5, 0xb7f074f2 in strcpy ()......

Aca es donde no habias llegado, y claramente como dice, se hizo la ruptura en strcpy, fijate bien que el breakpoint es distinto debido a que procede de una biblioteca cargada. Si probas con un backtrace..:

#0 0xb7f074f2 in strcpy ()..
#1 0x80483c0 in main ()...

Ahi te muestra como en la pila esta el strcpy arriba, luego cuando encuentre el RET vuelve al main().

x/15i $eip

(con esto ves las 15 instrucciones siguientes que va a recorrer $eip)

Y luego que encuentra el RET... de nuevo a:

#0 0x80483c0 in main ()...

Espero haberte ayudado.
Enjoy.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Yo creo es bueno que ya cierren Tor y dejen descansar ese tipo de conexión anónimas... a mí me tocó lo último de Tor y fue interesante, pero desde que se dió a conocer mundialmente, no faltan los youtuberos que sacan a la luz todo lo que allí encuentran, también lo que quieren ser famosos y hacen sus páginas onion para salir en con Dross, además ya hay un tráfico excesivo por lo mismo de los niños ratas... bueno, ya se acumuló una cantidad enorme de mierda en esa red que ya no sirve para nada, más que para los pseudo-anonymous, youtuberos y los que quieren bajar programas usando proxy's

Ojala le den descanso, hagan que a la gente se le olvide que eso existe, y creen una nueva versión mejorada para los usuarios que disfrutan y saben para que sirve eso.

Eso es algo complicado. Es dificil de discriminar a gente que quiere utilizarlo para 'el bien' y gente que lo usa para 'el mal', o en su mejor caso youtubers diciendo huevadas jaj. Es dificil creer que una red en la cual esta tan expuesta mediaticamente y genera tanto misterio, no este "pinchada" por gente esperando a cazar.
La mayoria de los gobiernos tienen agentes infiltrados, sin ir mas lejos un buen caso y documental es el de "Silk Road y el pirata Roberts".. toca mucho el negocio, mercado negro bajo TOR.

Sacando eso, creo que TOR para uso 'anonimo' como ciudadano, sin exponer datos sensibles como tarjetas, etc etc, me parece util.

Saludos.

Mas allá de que figure o no en la web esa, verificalo de esta manera:
Supongo que estas corriendo bajo un Linux, en mi caso un Debian/Ubuntu o derivados:

Pone en modo monitor la placa;
$> sudo airmon-ng start wlan0
(te va a levantar una interface nueva posiblemente con otro nombre en mi caso mon0:

Verifica y reza que injecte:
$> sudo aireplay-ng -9 mon0

Si todo va bien deberia salir algo similar.. "Injection is Working..."

20:44:34  Trying broadcast probe requests...
20:44:34  Injection is working!
20:44:35  Found 8 APs

20:44:35  Trying directed probe requests...

Saludos.

Bienvenido. Sentite libre de preguntar tus dudas, siempre y cuando antes una pasada por Google no la resuelva

Saludos.

xD

Welcome back.

Concuerdo a Epsilon, podrias ampliar mas los detalles, sin exponer tanto la info de tercero pero si los detalles del ataque para mayor conocimiento de gente que no pueda seguirte mucho, de todas maneras te felicito.

Saludos!

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Cual aplicación? El post habla sobre como romper el login de aplicaciones para android.

Saludos,
ANTRAX

Se refiere a la "BUS CRACKER" xD

Saludos.

Cuando te referis todo tipo de escaneo? podrias especificar cuales?. Probaste desde el simple escaneo fragmentado, hasta cambiar el MTU SIZE?. Creando falsos señuelos?.

Con detallar un poco mas ayudaria a todos poder darte una mejor respuesta.
Saludos.

Como es la respuesta que te da especificamente.. si se trata de algun proxy corporativo intenta identificarlo y verificar si hay algun modo de bypassearlo. Podrias usar un VPN para bypassear el posible router.

Saludos.

A que te referis con 'marca de internet'!?.. no logro entenderte. Hay varios vpns privados de pago. Solo basta googlear y salen los mas populares.

Saludos.