Defcon 2015 résolution heapsoffun

La semaine dernière, plusieurs ingénieurs de SCRT ont participé aux qualifications du CTF Defcon avec l’équipe 0daysober, qui a terminée 10ème et se qualifie donc pour la finale ! Ce post décrit deux des épreuves résolues, knockedup et heapsoffun.

Heapsoffun

If you have been knockedup then you know what to do. Perhaps try "tirer"
sha1sum heapsoffun 5ee5b2cde811e617cd789c73c1d8d2d9e8b27c36
Yes we know the flag is owned by root.

Un challenge pwnable de 4 points faisable après knockedup.

tldr; un challenge de reverse de 1 point permettant d’ouvrir 2 ports en fonction d’une séquence de paquets envoyée sur des ports UDP.

Continue reading Defcon 2015 résolution heapsoffun

Insomni’hack finals – CTF results

Here is the final scoreboard for Insomni’hack 2015!
Congratz to Dragon Sector for winning again this year!

1 Dragon Sector 6035
2 StratumAuhuur 5725
3 int3pids 4800
4 KITCTF 4135
5 0x8F 4105
6 dcua 3255
7 penthackon 3135
8 mushdoom 2660
9 BullShitsecurity 2350
10 RGB 2070
11 13NRV 2060
12 Porc Scanner 2020
13 sec-cured 1780
14 OWE 1645
15 FIXME 1590
16 N05L33P 1515
17 pycured 1470
18 HacKazaar 1265
19 UndefinedBehavior 1265
20 Samurai 1265
21 SeBC 1235
22 Old legends 1230
23 pinkBull 1230
24 waspo 1205
25 Barbah4ck3R2D2 1165
26 H314 1105
27 /dev/null 1055
28 pilons-de-poulet 1030
29 cr4zyg04t0verfl0w 920
30 pic0wn 870
31 NoPwnNoCookie 860
32 […] 845
33 /null/uppercase 810
34 EpsiH4ck 790
35 Soft qui peut 785
36 /null/lowercase 635
37 hard 615
38 C8H10N4O2 480
39 sh0tnb33r 470
40 BlackFox 430
41 KAOS 430
42 unlockedwheel 365
43 vuk 365
44 Epic Hack Battelle 350
45 whoaim 350
46 0x90 310
47 /dev/lowercase 190
48 V3sth4cks153 190
49 eint0 175
50 morb{H}ack 175
51 The_iNeXplication 175
52 theciso 55
53 test 55
54 seultout 55
55 SnakeFeet 55
56  <h1>si 55

The scores have been sent to CTFtime.
Below are some quick stats on the number of solves for each task:

Exploit:
mastermind 9
smtpwn 5
Sql inject flow 2
The Firm(ware) 0
Jurassic Sparc 0
SH1TTY 0
Forensic:
ZoomIn 43
Lost In Memories 26
Elysium ropchain analysis 1
Hardware:
1-2-3-4 3
Mobile:
iBadMovie Season 1 40
iBadMovie Season 2 20
InsomniDroid Phase 1 0
InsomniDroid Phase 2 0
Network:
TimeToLeak 10
Hollywood network 0
Reversing:
Swordfish 43
Swordfish_passwd 12
Shellcoding:
blue pill 8
tldr 6
Web:
n00bs gonna win! 56
Smell of the lamp 32
Hacker News 30
Serial Hackers 19
Smelly lamp got makeup 4
Hacker Idol 2
Jack the clicker 1
Hack like it’s 1999! 0

As you can see a few tasks were not solved during the CTF, so we will try to publish some writeups to explain our solutions, stay tuned!

Insomni’App, le CTF de l’AppSec 2014

Pour son édition 2014, l’Application Security Forum en partenariat avec Insomni’hack propose un CTF (Jeopardy-style) d’une durée de 2 heures qui se déroulera le 5 novembre entre 17 et 19h.

Le principe est de résoudre des épreuves dans différents domaines (web, reverse engineering, cryptographie et autres) pour gagner des points . Le vainqueur sera celui qui, à la fin du CTF, aura amassé le plus de points. Il remportera un IPad Mini d’une valeur de 320 frs. Les 2ième et 3ième recevront une YubiKey NEO.

Il s’agit d’un concours individuel, les inscriptions sont d’ores et déjà ouvertes et accessibles ici. Le nombre de place est limité à 80 !

The “Bourne” Ultimatum *

Cet article a pour but de résumer brièvement les informations utiles sur la faille ShellShock. Il n’a toutefois pas pour objectif d’être exhaustif (les informations varient encore en fonction des sources et l’état de correction de cette faille, ainsi que des celles qui en découlent n’est pas forcément encore très clair).

Informations générales

Une faille dans le programme BASH (Bourne Again Shell) a été trouvée.
Cette vulnérabilité permet d’injecter du code dans des variables d’environnement. Ainsi, lorsqu’un programme appellera le shell système, ce code sera exécuté.

Le risque est particulièrement présent sur les scripts CGI accessibles en WEB. Les en-têtes HTTP étant passées dans l’environnement (HTTP_USER_AGENT, etc.), cette vulnérabilité pourrait être exploitée si le script appelé contient lui-même du code effectuant un appel système (system(),popen(), backticks “`”, etc.) De plus, la vulnérabilité est présente seulement si /bin/sh est un symlink vers /bin/bash

Considérons l’exemple suivant appellé en CGI et non pas via mod_php:

<?php
system("cat /var/log/auth.log | grep root");
?>;

Bien qu’il n’y ait pas de paramètre, il est possible d’exécuter du code en définissant une en-tête HTTP telle que

test: () { ignored;}; cat /etc/passwd

L’en-tête test sera passée dans l’environnement du shell appelé par la commande system().

Cette faille peut être testée avec la commande:

$ env var='() { ignore this;}; echo vulnerable' bash -c /bin/true

Cependant, ce premier patch est incomplet. Il est donc toujours possible d’exploiter cette faille avec la commande suivante :

$ env var='() {(a)=>' bash -c "echo date"; cat echo
bash: var: line 1: syntax error near unexpected token `='
bash: var: line 1: `'
bash: error importing function definition for `var'
Fri Sep 26 15:22:39 CEST 2014

Si la date s’affiche, la vulnérabilité est toujours présente.

Normalement, la plupart des distributions Linux ont publié des correctifs, y compris pour la deuxième faille.

Aussi, les distributions Debian et Ubuntu ne sont pas vulnérable dans une configuration par défaut car /bin/sh est un symlink vers /bin/dash.

Fortinet

La société Fortinet a publié une liste des produits affectés par cette vulnérabilité : http://www.fortiguard.com/advisory/FG-IR-14-030/

– FortiAnalyzer (versions 5.0.X and 5.2.0) – authentication required to exploit
– FortiAuthenticator – authentication required to exploit
– FortiDB
– FortiManager (versions 4.3, 5.0.X and 5.2.0) – authentication required to exploit
– AscenLink v7.X

Il est toutefois à noter que les équipements FortiGate ne sont pas affectés. Pour les équipements concernés, un correctif sera publié par Fortinet dès que possible.

De plus, une signature IPS (“Bash.Function.Definitions.Remote.Code.Execution“) est d’ores et déjà disponible et peut être appliquée sur le FortiGate dans le but de protéger les systèmes se trouvant derrière celui-ci.

SEPPMail

La société SEPPMail a confirmé que ses équipements n’étaient pas vulnérables à cette faille.

 

* https://twitter.com/markstanislav/status/514811987759755265