10615
HTBSanthackclaus CTF 2018 - Mission Impossible 1 (forensic)
Building our profile
Premièrement il nous faut déterminer le type de notre fichier.
switch :: pain ~/ctf/santack2018/MI1 $ file challenge.elf
challenge.elf: ELF 64-bit LSB core file x86-64, version 1 (SYSV)
switch :: pain ~/ctf/santack2018/MI1 $ strings challenge.elf | egrep '^Linux.*[0-9.]{3,}.*SMP'
Linux version 3.16.0-6-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.2 (Debian 4.9.2-10+deb8u1) ) #1 SMP Debian 3.16.57-2 (2018-07-14)
Linux version 3.16.0-6-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.2 (Debian 4.9.2-10+deb8u1) ) #1 SMP Debian 3.16.57-2 (2018-07-14)
switch :: pain ~/ctf/santack2018/MI1 $ strings challenge.elf | grep PRETTY_NAME
PRETTY_NAME="Debian GNU/Linux 8 (jessie)"
C'est un dump mémoire d'un Debian 8 (Jessie). Malheureusement je n'ai trouvé aucun profile Volatility correspondant sur internet donc j'ai dû créer le mien. On m'a souvent dit que c'était une étape chiante, je confirme qu'à moitié car il faut créer une VM à partir de la bonne iso avec une version de kernel exactement identique, ici Debian 8, version 3.16.0-6, disponible sur le site de Debian en net install pesant quelques centaines de mo.
Une fois installé on vérifie bien que la version du kernel est exactement : 3.16.0-6 avec un uname -a. Une fois la machine préparée il nous faut télécharger 2 / 3 babioles utiles :
sudo apt install volatility dwarfdump build-essential linux-headers-$(uname -r)
cd /usr/share/volatility/tools/linux
make
zip debian8.zip /usr/share/volatility/tools/linux/module.dwarf /boot/System.map-3.16.0-6-amd64
Cette commande permet de créer le profile Volatitliy pour cette version de Debian. Il suffira ensuite de glisser le fichier debian8.zip dans /usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/ pour ma part.
switch :: pain ~/ctf/santack2018/MI1 $ volatility -f challenge.elf --profile=LinuxDebian811x64 linux_banner
Volatility Foundation Volatility Framework 2.6
Linux version 3.16.0-6-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.2 (Debian 4.9.2-10+deb8u1) ) #1 SMP Debian 3.16.57-2 (2018-07-14)
Investigations
La première chose à faire et de trouver les dernières commandes exécutées avec linux_bash
switch :: pain ~/ctf/santack2018/MI1 $ volatility -f challenge.elf --profile=LinuxDebian811x64 linux_bash
Volatility Foundation Volatility Framework 2.6
Pid Name Command Time Command
-------- -------------------- ------------------------------ -------
1867 bash 2018-12-16 16:17:45 UTC+0000 rm flag.txt
1867 bash 2018-12-16 16:17:45 UTC+0000 ls
1867 bash 2018-12-16 16:17:45 UTC+0000 ls
1867 bash 2018-12-16 16:17:45 UTC+0000 sudo reboot
1867 bash 2018-12-16 16:17:45 UTC+0000 zip -r -e -s 64K backup.zip *
1867 bash 2018-12-16 16:17:45 UTC+0000 cat /dev/urandom > flag.txt
1867 bash 2018-12-16 16:17:45 UTC+0000 cd /var/www/a-strong-hero.com/
1867 bash 2018-12-16 16:17:45 UTC+0000 sudo reboot
1867 bash 2018-12-16 16:17:49 UTC+0000 cd /var/www/a-strong-hero.com/
1867 bash 2018-12-16 16:17:49 UTC+0000 ls
1867 bash 2018-12-16 16:18:09 UTC+0000 find . -type f -print0 | xargs -0 md5sum > md5sums.txt
1867 bash 2018-12-16 16:18:10 UTC+0000 cat md5sums.txt
Cependant la timeline ne semble pas être respectée, essayons une autre méthode.
switch :: pain ~/ctf/santack2018/MI1 $ volatility -f challenge.elf --profile=LinuxDebian811x64 linux_enumerate_files | grep bash_history
Volatility Foundation Volatility Framework 2.6
0xffff88003cdf4898 10097 /home/evil-hacker/.bash_history
switch :: pain ~/ctf/santack2018/MI1 $ volatility -f challenge.elf --profile=LinuxDebian811x64 linux_find_file -i 0xffff88003cdf4898 -O bash_history
switch :: pain ~/ctf/santack2018/MI1 $ cat bash_history
sudo reboot
cd /var/www/a-strong-hero.com/
ls
zip -r -e -s 64K backup.zip *
ls
cat /dev/urandom > flag.txt
rm flag.txt
sudo reboot
Tout n'y est pas mais c'est déjà plus logique. On voit qu'une archive multipart (-s) a été créée et qu'elle contient notre flag.txt.
La commande find . -type f -print0 | xargs -0 md5sum > md5sums.txt, va nous permettre de récupérer la liste des fichiers présents dans /var/www/a-strong-hero.com/ et donc aux cotés de flag.txt dans l'archive.
Le contenu de flag.txt est ensuite overwrited avant d'être supprimé, puis la machine reboot pour supprimer toute traces de ce fichiers en mémoire.
Récupérons maintenant le contenu de md5sums.txt
switch :: pain ~/ctf/santack2018/MI1 $ volatility -f challenge.elf --profile=LinuxDebian811x64 linux_enumerate_files | grep md5sums.txt
Volatility Foundation Volatility Framework 2.6
0xffff88001e61f0c8 261718 /var/www/a-strong-hero.com/md5sums.txt
switch :: pain ~/ctf/santack2018/MI1 $ volatility -f challenge.elf --profile=LinuxDebian811x64 linux_find_file -i 0xffff88001e61f0c8 -O md5sums.txt
57c57e1f05f763892c8ac5e5e320a388 ./backup.z03
194577a7e20bdcc7afbb718f502c134c ./jcvd-website/js/.DS_Store
4becdc9104623e891fbb9d38bba01be4 ./jcvd-website/js/bootstrap.min.js
895323ed2f7258af4fae2c738c8aea49 ./jcvd-website/js/jquery-1.11.3.min.js
8015042d0b4ac125867af5b096b175ce ./jcvd-website/js/bootstrap.js
853e870c06a9640f81e8c1af2d2bba25 ./jcvd-website/js/custom.js
90e29070de7dcd28a451465ec74047be ./jcvd-website/js/ie10-viewport-bug-workaround.js
9cda9e740bbf260a190f4041132b5105 ./jcvd-website/js/jquery.easing.min.js
43e5dec37a6f7ffbf1706855fb05ab95 ./jcvd-website/.DS_Store
af40dfa2736ae815ed3b46fa73fd6f96 ./jcvd-website/images/concert.jpg
194577a7e20bdcc7afbb718f502c134c ./jcvd-website/images/.DS_Store
df60d79970dd2d551270a08d385896c5 ./jcvd-website/images/microphone.jpg
00642b16baba8c167489c0052233b1a1 ./jcvd-website/images/iphone.jpg
9178b5599157c55a5c2f8ba74c6f1c8e ./jcvd-website/images/header.jpg
c90979c47c4debc2ef6289e83fbc479e ./jcvd-website/images/writing.jpg
a0511c8d5181dc1add9f1d44aaa2a334 ./jcvd-website/images/pencil_sharpener.jpg
6f250457e1eb30b6fc8dd97685f91e4e ./jcvd-website/index.html
e18bbf611f2a2e43afc071aa2f4e1512 ./jcvd-website/fonts/glyphicons-halflings-regular.ttf
448c34a56d699c29117adc64c43affeb ./jcvd-website/fonts/glyphicons-halflings-regular.woff2
fa2772327f55d8198301fdb8bcfc8158 ./jcvd-website/fonts/glyphicons-halflings-regular.woff
f4769f9bdb7466be65088239c12046d1 ./jcvd-website/fonts/glyphicons-halflings-regular.eot
89889688147bd7575d6327160d64e760 ./jcvd-website/fonts/glyphicons-halflings-regular.svg
194577a7e20bdcc7afbb718f502c134c ./jcvd-website/css/.DS_Store
957474c344c7131fb8e093449cc4893a ./jcvd-website/css/bootstrap.css
81bc943c9854d26040b6b2ce65641471 ./jcvd-website/css/custom.css
5d5357cb3704e1f43a1f5bfed2aebf42 ./jcvd-website/css/bootstrap.min.css
dd3aa992145286544c200b2f0f5743bc ./backup.z09
9fd94a0acb91bd0c9ff041b765b6e9dc ./backup.z06
d48829a806651ba8248c97dff073ec2e ./backup.z04
0548eb2c5d6a028d35d854dd81358be5 ./backup.z01
0ede2c77cf4633756e77148fe9f6eb97 ./backup.zip
18e00022bd3becb300f93b2b22933d48 ./backup.z08
2e3f70c94f921ef88d4966fab665bb47 ./md5sums.txt
7e792a0bb7a847b6da3fdcef162417e0 ./backup.z07
33d2e741f2b37377405284a010153155 ./backup.z05
60e129d4b37ada2be7254db4f1215f05 ./backup.z02
Ainsi on remarque deux choses :
- Le fichier backup.zip est split en 10 parties (backup.z0* + backup.zip)
- Le zip contient également un site web et des images
Nous allons donc reconstruire ce zip.
End-of-central-directory signature not found
Je vais pas vous le cacher j'en ai pas un chier pour reconstruire ce zip, j'avais de la merde un peu partout sur moi mais j'ai quand même réussi.
La première étape va être de récupérer les 10 parties du zip.
switch :: pain ~/ctf/santack2018/MI1 $ volatility -f challenge.elf --profile=LinuxDebian811x64 linux_find_file -i offset -O zip/backup.z0*
switch :: pain ~/ctf/santack2018/MI1/zip $ cat backup.z01 backup.z02 backup.z03 backup.z04 backup.z05 backup.z06 backup.z07 backup.z08 backup.z09 backup.zip > tmp.zip
switch :: pain ~/ctf/santack2018/MI1/zip $
switch :: pain ~/ctf/santack2018/MI1/zip $ unzip -l tmp.zip
Archive: tmp.zip
warning [tmp.zip]: zipfile claims to be last disk of a multi-part archive;
attempting to process anyway, assuming all parts have been concatenated
together in order. Expect "errors" and warnings...true multi-part support
doesn't exist yet (coming soon).
warning [tmp.zip]: 589824 extra bytes at beginning or within zipfile
(attempting to process anyway)
Length Date Time Name
--------- ---------- ----- ----
30 2018-12-16 16:57 flag.txt
0 2018-12-16 15:51 jcvd-website/
0 2018-12-16 15:51 jcvd-website/js/
6148 2018-12-16 15:51 jcvd-website/js/.DS_Store
36816 2018-12-16 15:51 jcvd-website/js/bootstrap.min.js
95957 2018-12-16 15:51 jcvd-website/js/jquery-1.11.3.min.js
68890 2018-12-16 15:51 jcvd-website/js/bootstrap.js
79 2018-12-16 15:51 jcvd-website/js/custom.js
641 2018-12-16 15:51 jcvd-website/js/ie10-viewport-bug-workaround.js
5564 2018-12-16 15:51 jcvd-website/js/jquery.easing.min.js
12292 2018-12-16 15:51 jcvd-website/.DS_Store
0 2018-12-16 15:51 jcvd-website/images/
37682 2018-12-16 15:51 jcvd-website/images/concert.jpg
6148 2018-12-16 15:51 jcvd-website/images/.DS_Store
52003 2018-12-16 15:51 jcvd-website/images/microphone.jpg
49276 2018-12-16 15:51 jcvd-website/images/iphone.jpg
91733 2018-12-16 15:51 jcvd-website/images/header.jpg
26267 2018-12-16 15:51 jcvd-website/images/writing.jpg
133773 2018-12-16 15:51 jcvd-website/images/pencil_sharpener.jpg
7384 2018-12-16 15:51 jcvd-website/index.html
0 2018-12-16 15:51 jcvd-website/fonts/
45404 2018-12-16 15:51 jcvd-website/fonts/glyphicons-halflings-regular.ttf
18028 2018-12-16 15:51 jcvd-website/fonts/glyphicons-halflings-regular.woff2
23424 2018-12-16 15:51 jcvd-website/fonts/glyphicons-halflings-regular.woff
20127 2018-12-16 15:51 jcvd-website/fonts/glyphicons-halflings-regular.eot
108738 2018-12-16 15:51 jcvd-website/fonts/glyphicons-halflings-regular.svg
0 2018-12-16 15:51 jcvd-website/css/
6148 2018-12-16 15:51 jcvd-website/css/.DS_Store
147430 2018-12-16 15:51 jcvd-website/css/bootstrap.css
8335 2018-12-16 15:51 jcvd-website/css/custom.css
122540 2018-12-16 15:51 jcvd-website/css/bootstrap.min.css
--------- -------
1130857 31 files
Bon nous avons notre petit zip tout beau, tout propre. Dézippons le :
switch :: pain ~/ctf/santack2018/MI1/zip $ unzip tmp.zip
Archive: tmp.zip
warning [tmp.zip]: zipfile claims to be last disk of a multi-part archive;
attempting to process anyway, assuming all parts have been concatenated
together in order. Expect "errors" and warnings...true multi-part support
doesn't exist yet (coming soon).
warning [tmp.zip]: 589824 extra bytes at beginning or within zipfile
(attempting to process anyway)
file #1: bad zipfile offset (local header sig): 589828
(attempting to re-compensate)
[tmp.zip] flag.txt password:
Ah oui l'options -e, lors de la création du zip.
Notre zip est chiffré et en plus zip à l'air de nous dire que notre zip contient des erreurs, anyway ça marchera quand même ..
AHAHAHAHAHAHA. non.
Error: unknown signature (ZIP file may be corrupt)
J'ai cherché environs 20/30 minutes, voir si le password n'était pas caché quelque part en mémoire (j'ai compris l'utilité des reboot après) et à coups de strings | grep, du forensic quoi ..
Mais rien, puis je me suis rappelé d'une attaque sur les fichiers zip que j'ai déjà utilisé lors du BreizhCTF. L'utilitaire PKcrack fait des merveilles de ce coté : https://www.unix-ag.uni-kl.de/~conrad/krypto/pkcrack.html
Il nous suffit de 4 choses :
- Le zip chiffré, bah ouais .. logique ..
- Le chemin vers un fichier de ce zip chiffré que l'on possède
- Un zip contenant un fichier connu du zip chiffré
- Notre fichier connu du zip chiffré
Rappelons nous, notre archive contient également des images, je me suis donc empressé de récupérer jcvd-website/images/concert.jpg. Puis j'ai lancé PKcrack avec la commande suivante :
switch :: pain ~/ctf/santack2018/MI1/zip $ ~/tools/bruteforce/pkcrack/bin/pkcrack -C tmp.zip -c jcvd-website/images/concert.jpg -P essaie.zip -p concert.jpg
Read unknown signature: 0x7a254d90
Error: unknown signature (ZIP file may be corrupt)
J'ai donc rapidement jeté un oeil au fichier zip précédément créé
switch :: pain ~/ctf/santack2018/MI1/zip $ xxd tmp.zip | head
00000000: 504b 0708 504b 0304 0a00 0900 0000 2b57 PK..PK........+W
00000010: 904d 257a 05ee 2a00 0000 1e00 0000 0800 .M%z..*.........
00000020: 1c00 666c 6167 2e74 7874 5554 0900 03e2 ..flag.txtUT....
00000030: 7516 5c16 7616 5c75 780b 0001 04e9 0300 u.\.v.\ux.......
00000040: 0004 e903 0000 e8e3 42c0 ef41 80c8 3eb6 ........B..A..>.
00000050: 956e f8ca 97c7 7112 6e17 16f1 25aa 9ab8 .n....q.n...%...
00000060: d82d 5c31 08ad 4f6b 5471 f996 16b6 dd90 .-\1..OkTq......
00000070: 504b 0708 257a 05ee 2a00 0000 1e00 0000 PK..%z..*.......
00000080: 504b 0304 0a00 0000 0000 7b4e 904d 0000 PK........{N.M..
00000090: 0000 0000 0000 0000 0000 0d00 1c00 6a63 ..............jc
La signature est mauvaise, en effet, on fixe ça rapidement (j'ai utilisé HxD)
switch :: pain ~/ctf/santack2018/MI1/zip $ ~/tools/bruteforce/pkcrack/bin/pkcrack -C hell2.zip -c jcvd-website/images/concert.jpg -P essaie.zip -p concert.jpg
Files read. Starting stage 1 on Mon Dec 24 17:26:20 2018
Generating 1st generation of possible key2_37569 values...done.
Found 4194304 possible key2-values.
Now we're trying to reduce these...
Lowest number: 935 values at offset 30502
Lowest number: 916 values at offset 30485
Lowest number: 879 values at offset 30446
Lowest number: 873 values at offset 30444
Lowest number: 872 values at offset 30443
Lowest number: 852 values at offset 30442
Lowest number: 848 values at offset 30433
Lowest number: 841 values at offset 30426
Lowest number: 807 values at offset 30420
Lowest number: 732 values at offset 30417
Lowest number: 722 values at offset 30416
Lowest number: 712 values at offset 30414
Lowest number: 693 values at offset 30412
Lowest number: 668 values at offset 30411
Lowest number: 627 values at offset 30364
Lowest number: 586 values at offset 30362
Lowest number: 562 values at offset 30360
Lowest number: 528 values at offset 30359
Lowest number: 512 values at offset 30356
Lowest number: 511 values at offset 30354
Lowest number: 510 values at offset 26624
Lowest number: 496 values at offset 26622
Lowest number: 461 values at offset 26621
Lowest number: 437 values at offset 26618
Lowest number: 376 values at offset 26617
Lowest number: 365 values at offset 26616
Lowest number: 347 values at offset 26615
Lowest number: 338 values at offset 26614
Lowest number: 301 values at offset 26611
Lowest number: 296 values at offset 26608
Lowest number: 286 values at offset 26602
Lowest number: 274 values at offset 26601
Lowest number: 272 values at offset 26595
Lowest number: 270 values at offset 26594
Lowest number: 264 values at offset 26549
Lowest number: 261 values at offset 26526
Lowest number: 242 values at offset 26524
Lowest number: 224 values at offset 26517
Lowest number: 219 values at offset 26508
Lowest number: 210 values at offset 26505
Lowest number: 200 values at offset 26504
Lowest number: 195 values at offset 26470
Lowest number: 182 values at offset 26460
Lowest number: 164 values at offset 26459
Lowest number: 163 values at offset 26447
Lowest number: 159 values at offset 26446
Lowest number: 153 values at offset 26374
Lowest number: 143 values at offset 26372
Lowest number: 139 values at offset 26371
Lowest number: 137 values at offset 26364
Lowest number: 133 values at offset 26358
Lowest number: 122 values at offset 26332
Lowest number: 118 values at offset 26330
Lowest number: 110 values at offset 26329
Lowest number: 95 values at offset 26268
Done. Left with 95 possible Values. bestOffset is 26268.
Stage 1 completed. Starting stage 2 on Mon Dec 24 17:26:47 2018
Ta-daaaaa! key0=751f036a, key1=397078fa, key2=d156dfac
Probabilistic test succeeded for 11306 bytes.
Ta-daaaaa! key0=751f036a, key1=397078fa, key2=d156dfac
Probabilistic test succeeded for 11306 bytes.
Ta-daaaaa! key0=751f036a, key1=397078fa, key2=d156dfac
Et pafff nous avons nos 3 clés : key0=751f036a, key1=397078fa, key2=d156dfac. Je vous invite à lire le PDF que j'ai mis dans mes sources qui explique très bien à quoi servent ces clés.
J'ai perdu 2 / 3 heures à attendre que PKcrack me sorte le mot de passe, mais bon avec les clés c'est inutile ..
switch :: pain ~/ctf/santack2018/MI1/zip $ /tmp/pkcrack/bin/zipdecrypt 751f036a 397078fa d156dfac hell2.zip final.zip
switch :: pain ~/ctf/santack2018/MI1/zip $
switch :: pain ~/ctf/santack2018/MI1/zip $ unzip final.zip
Archive: final.zip
warning [final.zip]: zipfile claims to be last disk of a multi-part archive;
attempting to process anyway, assuming all parts have been concatenated
together in order. Expect "errors" and warnings...true multi-part support
doesn't exist yet (coming soon).
extracting: flag.txt
creating: jcvd-website/
creating: jcvd-website/js/
inflating: jcvd-website/js/.DS_Store
inflating: jcvd-website/js/bootstrap.min.js
inflating: jcvd-website/js/jquery-1.11.3.min.js
inflating: jcvd-website/js/bootstrap.js
inflating: jcvd-website/js/custom.js
inflating: jcvd-website/js/ie10-viewport-bug-workaround.js
inflating: jcvd-website/js/jquery.easing.min.js
inflating: jcvd-website/.DS_Store
creating: jcvd-website/images/
inflating: jcvd-website/images/concert.jpg
inflating: jcvd-website/images/.DS_Store
inflating: jcvd-website/images/microphone.jpg
inflating: jcvd-website/images/iphone.jpg
inflating: jcvd-website/images/header.jpg
inflating: jcvd-website/images/writing.jpg
inflating: jcvd-website/images/pencil_sharpener.jpg
inflating: jcvd-website/index.html
creating: jcvd-website/fonts/
inflating: jcvd-website/fonts/glyphicons-halflings-regular.ttf
inflating: jcvd-website/fonts/glyphicons-halflings-regular.woff2
inflating: jcvd-website/fonts/glyphicons-halflings-regular.woff
inflating: jcvd-website/fonts/glyphicons-halflings-regular.eot
inflating: jcvd-website/fonts/glyphicons-halflings-regular.svg
creating: jcvd-website/css/
inflating: jcvd-website/css/.DS_Store
inflating: jcvd-website/css/bootstrap.css
inflating: jcvd-website/css/custom.css
inflating: jcvd-website/css/bootstrap.min.css
switch :: pain ~/ctf/santack2018/MI1/zip $ cat flag.txt
IMTLD{z1p_1s_n0t_alw4y5_s4fe}
switch :: pain ~/ctf/santack2018/MI1/zip $
The flag is : IMTLD{z1p_1s_n0t_alw4y5_s4fe}