Kolejny opis przejścia maszyny wirtualnej. Tym razem maszyna skonfigurowana do znalezienia 6 flag. Klimat bardzo mi przyjazny, gdyż opiera się o serię filmów Avengers o kamieniach nieskończoności. Tutaj wcielamy się w postać samego Thanosa, który poszukuje kamieni aby zgładzić połowę wszechświata. Pomóżmy zatem Thanosowi, aby wypełnił swoje przeznaczenie. Moja maszyna jest już zainstalowana i uruchomiona na VirtualBoxie. Jej pulpit logowania wygląda następująco:

Pora zbadać maszynę pod kątem posiadanego adresu IP oraz otwartych portów TCP/UDP.

Adres IP badanej maszyny to 192.168.1.105, teraz skanuję skanerem nmap.

Na podstawie badania skanerem nmap dostajemy pierwszą flagę, kamień umysłu: MINDSTONE:{4542E4C233F26B4FAF6B5F3FED24280C}. Host posiada kilka otwartych portów tj. 22,80,443,8080.

Zaczynamy badanie od odwiedzenia strony na porcie 80, tj. http://192.168.1.105:

Zakładka na stronie o nazwie Aether zawiera quiz:

AVENGERS QUIZ

Computers tells us Binary is the path to Reality.

1. In The Beginning, There Are 3 Infinity Stones On Earth. True False
2. At The End There Are 2 Survivors Left On Titan. True False
3. Thanos Already Had The Power Stone When He First Appeared. True False
4. The Tesseract Contains The Reality Stone. True False
5. The Dwarf On Nidavellir Is Played By Peter Dinklage. True False
6. Red Skull Is The Guardian Of The Space Stone. True False
7. Thor’s New Hammer Is Called Stormbuster. True False
8. Rocket Is The Only Guardian Of The Galaxy To Survive the Snap. True False

Można na nie odpowiedzieć True lub False, zatem prawidłowe odpowiedzi to : 1 False, 2 True, 3 True, 4 False, 5 True, 6 False, 7 False oraz 8 True, co daje ciąg cyfr 01101001.

Gdybym jednak się pomylił to stworzyłem sobie słownik, aby sprawdzić wszystkie kombinacje.

Tym razem miałem rację, sprawdźmy zatem co jest pod adresem http://192.168.1.105/01101001/
Znajduje się tam plik hints.txt, który zawiera kod brainfuck.

Po zdekodowaniu na stronie https://www.dcode.fr/brainfuck-language
posiadamy parę login i hasło o treści: admin:avengers

Zanim przejdę dalej to sprawdzę czy istnieją jakieś ciekawe katalogi na stronie www:

Sprawdzamy zawartość powyższych katalogów, najpierw images:

Teraz img, tutaj znajduje się plik space.jpg, mamy zatem teserakt

Pobieram go na lokalny komputer komendą wget http://192.168.1.105/img/space.jpg, a następnie sprawdzam co to za plik:

file space.jpg
space.jpg: JPEG image data, JFIF standard 1.01, aspect ratio, density 1×1, segment length 16, comment: „SPACESTONE:{74E57403424607145B9B77809DEB49D0}”, baseline, precision 8, 768×432, components 3

Zdobyłem flagę z kamieniem przestrzeni, to druga flaga.

Postanawiam sprawdzić kolejny katalog, tym razem jest to wifi

Zawartość pliku txt zawiera następujący tekst:

Zatem musimy ponownie użyć programu do tworzenia słownika haseł o nazwie crunch, po ciągu znaków gam jest jedna duża litera, dwie cyfry, dwa małe znaki oraz rok ukazania się pierwszej części avengersów, wpisujemy komendę:

Dzięki temu posiadamy słownik do złamania pliku reality.cap, pobieramy plik : wget http://192.168.1.105/wifi/reality.cap, a następnie łamiemy hasło przygotowanym słownikiem:

Zdobywamy hasło do przejętej paczki, to gamA00fe2012

Wróćmy teraz do strony na porcie 8080, to Jenkins. Tutaj możemy wykorzystać parę admin:avengers do zalogowania się.

Udało się zalogować do Jenkinsa, zatem dane do logowania są prawidłowe, sprawdźmy czy uda się wykorzystać exploita aby dostać się do terminala tej maszyny.

Z powyższej listy interesuje mnie exploit/multi/http/jenkins_script_console, użyjmy go zatem:

Udało się wejść do maszyny.Mamy okrojonego basha, zatem należy zastosować poniższą sztuczkę:

Kamień rzeczywistość jest już w naszym posiadaniu.

Skoro posiadamy dostęp do konsoli maszyny to pora na powiększenie uprawnień, najprostszym sposobem jest znalezienie plików zawierających bit SUID w uprawnieniach, zatem:

Z powyższej listy ciekawy jest plik znajdujący się w katalogu opt.

Wykonanie skryptu powoduje pokazanie się kamienia czasu, super. W tym katalogu jest również plik morag.kdbx, który może dać rozwiązanie na konto logowania się na maszynę.Kopiujemy plik na maszynę z Kali Linux:

Należy wydobyć ciąg hasła z bazy,

Hasło do konta w bazie danych login morag to princesa. Aby uruchomić program do odczytu bazy danych posiadając hasło musiałem zainstalować aplikację keepass2:

Uruchomiona aplikacja pokazała dwie ważne informacje:

Pierwszy to kamień mocy, drugi to zakodowany ciąg znaków base64.

Pora zalogować się na maszynę przy pomocy posiadanych uprawnień.

Przełączenie się na konto roota możliwe jest wyłącznie poprzez usługę ftp.

Posiadamy zatem konto roota, sprawdźmy jego katalog domowy.

CTF zakończony, posiadamy wszystkie flagi. Pozostaje pstryknąć palcami….