domingo, 6 de abril de 2014

RootedArenaCTF: Stargate Infinity [100pts].

Stargate Infinity (100pts):
-You must connect to arena2.rootedcon.es. The info provided can help you.
-Find out, and tell us the name of the person who opens the door.

Provided files :

etc_passwd.txt (0.31 KB)

Solution:

El reto nos propone que nos conectemos a “arena2.rooted.es” y el documento que se nos entrega contiene la siguiente información: 
 
peter:x:1001:1001:,,,:/home/peter:/bin/bash
charly:x:1002:1002:,,,:/home/charly:/bin/bash
paul:x:1003:1003:,,,:/home/paul:/bin/bash
steve:x:1004:1004:,,,:/home/steve:/bin/bash
marc:x:1005:1005:,,,:/home/marc:/bin/bash
jules:x:1006:1006:,,,:/home/jules:/bin/bash
thomas:x:1007:1007:,,,:/home/thomas:/bin/bash

Podemos deducir de los 'hints' que uno de estos nombres nos abrirà la puerta.

El primer paso que llevamos a cabo es un escàner de puertos básico de la maquina 'arena2.rootedcon.es'. Ejecutamos el comando 'nmap -sV arena2.rootedcon.es' y obtenemos:

Nmap scan report for arena2.rootedcon.es (144.76.104.50)
Host is up (0.15s latency).
rDNS record for 144.76.104.50: neko.rootedcon.es
Not shown: 992 filtered ports
PORT STATE SERVICE VERSION
25/tcp open smtp Postfix smtpd
53/tcp open domain
80/tcp open http nginx 1.2.1
443/tcp open http nginx 1.2.1
587/tcp closed submission
8181/tcp open ssl/http Apache Tomcat/Coyote JSP engine 1.1
9998/tcp open irc
9999/tcp open irc ratbox, charybdis, or ircd-seven ircd
Service Info: Hosts: listas.rooted.es, ircd.rootedcon.es

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 32.79 seconds

Vemos que no hay ningun puerto dedicado al protocolo ssh, por ello vamos a seguir escaneando la màquina un poco màs en profundidad. Vamos a explorar todos los puertos ( ya que nmap por defecto escanea unicamente los primeros 1000 puertos), vamos a ejecutar el comando 'nmap -sV -p 0-65535 arena2.rootedcon.es' ya que el màximo de puertos que tiene una màquina es 65536 (216). Con este comando obtenemos:

Nmap scan report for arena2.rootedcon.es (144.76.104.50)
Host is up (0.14s latency).
rDNS record for 144.76.104.50: neko.rootedcon.es
Not shown: 65522 filtered ports
PORT STATE SERVICE VERSION
25/tcp open smtp Postfix smtpd
53/tcp open domain
80/tcp open http nginx 1.2.1
443/tcp open http nginx 1.2.1
587/tcp closed submission
7029/tcp closed unknown
7890/tcp closed unknown
8181/tcp open ssl/http Apache Tomcat/Coyote JSP engine 1.1
9998/tcp open irc
9999/tcp open irc ratbox, charybdis, or ircd-seven ircd
22445/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0)
22998/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0)
22999/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0)
24445/tcp closed unknown
Service Info: Hosts: listas.rooted.es, ircd.rootedcon.es; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1258.45 seconds

Service Info: Hosts: listas.rooted.es, ircd.rootedcon.es

Vemos que hay 3 puertos dedicados al servicio ssh escuchando. Probamos los usuarios que tenemos en el fichero suministrado 'etc_passwd.txt' utilizando el nombre y contraseña en los tres puertos.

Vemos que en el puerto 22445 utilizando el nombre “thomas” y la contraseña “thomas” tenemos acceso al servidor. Como vemos:



Una vez dentro, abrimos el archivo “/etc/passwd” y su contenido es:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
Debian-exim:x:101:103::/var/spool/exim4:/bin/false
statd:x:102:65534::/var/lib/nfs:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
peter:x:1001:1001:Peter Kingsley,,,:/home/peter:/bin/bash
charly:x:1002:1002:Charly Darwin,,,:/home/charly:/bin/bash
paul:x:1003:1003:Jean-Paul Sartre,,,:/home/paul:/bin/bash
steve:x:1004:1004:Stephen Hawking,,,:/home/steve:/bin/bash
marc:x:1005:1005:Marc Rowlands,,,:/home/marc:/bin/bash
jules:x:1006:1006:Jules Verne,,,:/home/jules:/bin/bash
thomas:x:1000:1000:Thomas Jefferson,,,:/home/thomas:/bin/bash

Vemos en la ultima linea que el nombre completo del usuario con el qual hemos podido acceder es “Thomas Jefferson”, por tanto ya tenemos el flag.

Flag: Thomas Jefferson
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)