:apture The Flag
tait une fois, dans l'autre pays des banques et chambres de compensation, une conférence bien sympathique 'ck.lu). Lors de la précédente édition, un clone du nain Gimli organise à la dernière minute un « capture the 7 » (CTF), jeu où il s'agit de passer différentes épreuves pour prendre le contrôle d'une.machine. Le challenge nmence dans 30 minutes. Mais,.pas le temps d'attendre, on va « tester» le formulaire d'inscription:
n aime: <iframe src="http://hacker.joe.justgotowned.com">
tact: J34n-K3vln
la suffit à L, R et F : ils créent la « team Bisounours » pour montrer à tous les /4m3rZ présents qui sont les J du net. Le formulaire est retiré pour quelques minutes..
vous passe les 3 premiers niveaux, les Bisounours prennent la tête tout de suite pour ne plus la IÎjcher.
Inalons juste un premier travers dans la configuration du serveur:
"
J://191.168.1.135/cgi-bin/stagel?message=../../../../../etc/passwd
~uipe récupère ceci:
akme:' :1001:1001: stage1="g5MwXojjEaglzZm3JsUPEg==" :/home/breakme:/home/ctf /kensh.py is, en plus, elle récupère aussi lemaster.passwd (tiens, un FreeBSD 1):
J://191,168.1,135/cgi-bin/stagel?message=/etc/master.passwd
FreeBSO:src/etc/master.passwd,v1.391004/0B/0111:33:47markmExp$
t :$I$EqnlMOxK$mpszXwuYlKbcLOtrNlwwRB:B: B:: B:B :Char1ie :/root:/usr/10cal /bin/bash
",,]
$./.
TI1:$l$cg$FU8moKe1TXUTsceY4WAH/:1BB4:11BB::B:B:Team-Hackers:/home/teaml:/usr/sbin
-, ."'}cf'
n1:$1$6xEY8UYU$F67iwz8LvAhF6CFyMWamX.:1BB5:l1BB::B:B:RedTeam:/home/team1:/usr/sbin,ogin"
1#
n21:$lltH$lgkm5kHr1dktOYmOLeWik.:1BB6:11BB::B:B:bisounours:/home/team21:/usr/sbin/nolagin
~ "-7
ln donne un bon coup de main pour casser le mot de passe du compte br eak . ('. )... et des lcurrents :-) Passons au niveau suivant, avec un binaire à analyser: un stack overflow ap~ . ' hentification.
)blème, personne ne parvient à s'authentifier sur le serveur. L:équipe, vers 1h du matin, crois" rganisateur qui dise qu'il a oublié de créer les comptes 1Il répare cela... mais l'heure et l'urgence lui font commettre quelques eurs, nous y reviendrons. L:exploit finit par marcher, et signalons la performance:
- explore la machine sous toutes ses coutures.
=
analyse le binaire et explique l'exploit.=<code l'exploit... en NASL !
m de tel qu'unremotesur un FreeBSD à 1h du matin pour briller en société 1Bon, hop, l'équipe a la main sur
;erveur et, là, c'est le drame... :-D
cherchantun peu,ils trouventun
.
forward dans le compte ctf qui reçoit les mails de validations, qui renvoie mails vers un script StageParser,py (et là, Python, c'est bon 1):JtStageParser,py
ge_keys= ["3akRQxNE8S9f4ITv7YBgOA==","g5MilXojjEagLzZm3JsUPEg==",
...
],HAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHA ! Moment d'extase du genre « cri de la base SAM traverse le réseau » :-) Bon, ben voilà, le challenge est terminé... ou presque, gnark gnark gnark ! Étape vante, prendre le contrôle de la base de données:
n=db.cannectluser="raat", passwd="superchallenge", host="1acalhast",db="teamsubmit"1 elques minutes plus tard, la page de résultats affiche:
ge 7(1)
bisaunoursli)@FriOct2B03:13:37EOT20B6
,st bon, la team peut aller se coucher et reprendre des forces. Le lendemain, elle réalise que les adversaires nt pas encore avancé. Sauf que... vers midi, l'infàme RedTeam (qui avait perdu son mot de passe la veille et ui les Bisounours l'avaient sympathiquement redonné) vient de valider le niveau 6 : c'est la guerre!
s héros se reconnectent sur la machine, avec le compte RedTeam,grâce à son exploit en NASL. Sauf que cette J, ils sont root sur la machine (alors qu'hier, ils n'arrivaient pas à passer root). En fait, la RedTeam a trouvé script Python SetUID root, qui leur a permis d'exécuter un chmod+s /bin/sh et, donc, la team Bisounours n pot ÉNORME de bénéficier de leur shell root.
Jf, les Bisounours ne veulent pas se faire passer devant. Mesure 1, bloquer l'accès: echo exit> /home/
Jm2/.shrc.
ps, pardon, on n'a pas fait exprès:) Ils peuvent toujours se connecter avec le compte d'une autre team. Ils lt bons chez RedTeam. Ils doivent aussi avoir cassé d'autres mots de passe.
sont bons et joueurs, comme les Bisounours. Et là, ça dérape complètement:
Les Bisounours font un chflags schg <database> (en gros, on ne peut plus modifier le fichier), puis passent secureleve/2.
La RedTeam change la page HTML qui affiche les résultats et crée un niveau 8 virtuel qu'ils viennent de ider.
Les Bisounours passent au plan B : installation d'un serveur web avec sa propre page web de résultats:
;1 Stage Inat for tiny girls) 11) Junaurs (i) @Fri Oet 1B 18:16:35 EOT1006 ge 8(11
Teamli)@FriOct2BI8:16:36EOT2006
ARP spoofing massif sur tout le réseau pour rediriger le trafic vers cette page.
là, ça tourne à la guerre totale. Les Bisounours ont malencontreusement cassé le fichier master.passwd,le 'veur de base de,données est corrompu, toute connexion vers le serveur se prend un RST. Bref, ça barde!
,rvention malheureuse de l'équipe FrenchFries qui croit que les 2 autres équipes ont effacé des fichiers sur
;erveur: ils lancent un rm - rf /. Fin du jeu, le serveur n'est plus bon à rien... comme les joueurs, trop morts fatigue et de rire.
>ralités:
. Les Bisounours ont gagné.
. Ne laissez jamais un Bisounours dans votre dos... ou sur votre machine.
Jt ça pour dire que ce jeu était un excellent exemple de la meilleure manière de faire de la sécurité. Les équipes 3ient des joueurs avec des profils très différents, mals elles ont su utiliser les connaissances et la malice de 3cun de manière trés complémentaire. Ne croyez pas les gens qui prétendent pouvoir tout faire en sècurité, ça xiste pas (c'est comme les antivirus qui protègent de 100% des virus connus et inconnus). Accessoirement, ck./urevient en octobre prochain :-) Heureusement, pour attendre jusque-là, il y a aussi SSTIC qui arrive.
fin, pour ceux qui ont pu avoir des places:..
dernier mot à propos de travail en équipe: je tiens à remercier particulièrement Guillaume Arcas, elle Apvrille et Victor Vuillard pour leur aide à la confection de ce numéro.
nne lecture,
.
Fred RaynalCRYPTOGRAPHIE [10 - 15]
> Des souris et des chats:
attaques et contre-attaques de RSA sur cartes à puce
DOSSIER [16 - 63]
[ Le risque VolP J
> Les protocolesVolP : H.323 & SIP /16 -7 25
> VolP : risques et contre-mesures / 26 -7 32
> Authentification dans SIP
et présentation du projet SIP.edu / 35 -7 40
> La plate-forme WHIZ :
simuler et étudier les attaques VolP / 42 -7 54
> Convergence Fixed-Mobile : UMA (Unlicensed Mobile Access) sur le devant de la scène? / 56 -7 63
~ FICHE TECHNIQUE [72 - 79]
> Fiche pratique: sécuriser un poste client Windows XP SP2 / 72 -7 75
> Attaque sur les VLAN « Yersinia »./ 76 -7 79 3:
~.
w
FOCUS [80 - 82]
~ ~
5' ,
00 ';"
