Sekitar awal Desember 2020, sebuah Slack DM datang dari seorang teman bernama
@timwr yang tinggal di Inggris.
Sebenarnya di penghujung tahun 2019, saya ditanya apakah saya ingin melakukan CTF ini
bersama-sama, tetapi saya minta maaf karena saya bukan CTF Pro Player dan saya tidak
begitu tertarik dengan CTF.
Tapi pada hari ini, tidak ada yang bisa dilakukan, dan saya hanya terjebak di kamar saya
karena korona, jadi saya tertarik, jadi saya mencobanya.
@timwr
@lucyoas
@xaitax
@314ckC47
1. Setiap tim dilengkapi dengan satu Kontainer Kali Linux dan satu Kontainer Ubuntu.
2. Kali Linux dan Ubuntu ada di jaringan yang sama.
3. Menyediakan informasi untuk mengakses Kali Linux. (IP, Kunci SSH)
4. Menggunakan Kali Linux, kendalikan setiap layanan yang terbuka di Ubuntu atau
dapatkan informasi dan temukan Bendera.
Jika Anda pernah mencoba CTFs lain, Anda mungkin tidak asing dengan CTF jenis
ini. Karena saya melakukan...
Tetapi ketika saya menaruh informasi lingkungan ini di kepala saya, saya melihat niat untuk
mengajukan pertanyaan. 'CTF dalam lingkungan yang mirip dengan pekerjaan hacking
tiruan yang sebenarnya' diidentifikasi sebagai tujuan dari CTF ini.
Tantangan
Deskripsi masalah di bawah ini didasarkan pada Slack Message dan Blurred Memories.
Port 80 terlihat sangat enak, jadi ketika saya mendekatinya, HTML menautkan ke beberapa
file gambar.
File gambar aneh.
Saat saya melihat file gambar EXIF 4 ini , saya menerima pesan dari anggota tim.
Anda dapat memecahkan masalah dengan cara ini, dan saya akan memperkenalkan satu
masalah menarik yang saya pecahkan.
Seorang anggota tim menemukan ID/Kata Sandi layanan SSH (port 9009) melalui substitusi
acak. Saat mengakses informasi akun, shell bash dibuka, dan kami harus menemukan
target serangan.
Jika program itu dibalik, itu adalah program yang hanya membandingkan nilai ID/Password
dengan string yang ada dalam biner dan menghasilkan True/False.
Manai tidak menggunakan tema IDA 1.
Namun, salah satu fiturnya adalah file log yang berisi input pengguna dapat ditulis di lokasi
yang diinginkan...
Dengan menggunakan ini, saya dapat memperoleh shell root sebagai berikut.
Sebenarnya, saya menghabiskan cukup banyak waktu untuk mencari tahu ini.
hasil
Untuk mengevaluasi CTF ini terlebih dahulu, mungkin sulit untuk beradaptasi dengan CTF
Player Jeopardy yang ada. Ini karena penugasan acak atau sejumlah posting
diperlukan. Namun, apa yang saya pikirkan melalui pengalaman praktis adalah bahwa
sejumlah posting dan substitusi acak sebenarnya diperlukan. Karena itu, menurut saya
konsep KKP ini sangat baik dan saya bisa belajar banyak.
tempat ke-3!
Tidak banyak peretasan sistem, jadi saya tidak bisa menyelesaikan banyak
masalah... Akhirnya mendapat juara 3 Sebenarnya, pertanyaan yang paling penting adalah,
tidak masalah apa hadiah ke-3 itu? Jadi saya memeriksa ... Bukankah tempat ke-3
mendapatkan kartu hadiah Amazon senilai $100 dan HackTheBox VIP+ senilai 3
bulan? Nah, pada postingan review berikutnya, saya akan mengulas HackTheBox.
Referensi