CTF #nullcon 2012: Análisis de logs 3
Buena en esta tercera prueba de análisis de logs, nos proveen un fichero de logs (http://www.nullcon.net//challenge/data/access.rar) de acceso de apache. Lo primero que tenemos que saber interpretar es dicho fichero, para ello, podemos visitar esta página, dónde nos explican el significado de cada columna.
En este reto se nos pregunta por tres cosas para conseguir el flag: página vulnerable, puerto abierto e IP del atacante.
El fichero es bastante grande para analizar así manualmente, así que lo primero que hice fue filtrar todas las líneas cuyo código de respuesta era 2xx. Después de pasar un buen rato mirando de arriba abajo, filtrando por 200, 206, etc no conseguí nada. También estuve buscando por algún tipo de inyección con el típico comando “nc” (netcat), pera nada de nada.
Luego me dio por mirar el resto de códigos 404, 500, etc. Pero seguía sin ver nada. Luego me dio por buscar por llamadas a páginas con parámetros, especialmente aquellas que tuvieran algún tipo de intento de inyección. Esto lo intenté antes, pero sólo con las líneas del fichero cuya respuesta era 2xx (200 y 206 concretamente), ahora lo hacía con todo el fichero, hasta que me encontré con esta línea:
192.168.0.107 - - [06/Jan/2012:00:58:00 +0530] "GET /contact.php?c=bmMgLWwgLXAgNjY2Ng== HTTP/1.1" 500 274 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3"
El valor de c es base64, veamos a ver que contiene:
tuxotron@tuxotron-laptop:~/temp/nullcon$ base64 -d bmMgLWwgLXAgNjY2Ng== nc -l -p 6666
Bingo! Por lo tanto la repuesta las preguntas son: Vulnerable web: contact.php Port opened: 6666 Intruder IP: 192.168.0.107
Una vez introducido dichos datos pasaremos al siguiente nivel.
Buscar
Entradas Recientes
- Posts
- Reemplazando la bateria del AirTag
- OpenExpo Europe décima edición, 18 de mayo: El Epicentro de la Innovación y la Transformación Digital
- Docker Init
- Kubernetes para profesionales
- Agenda: OpenExpo Europe 2022 llega el 30 de junio en formato presencial
- Libro 'Manual de la Resilencia', de Alejandro Corletti, toda una referencia para la gestión de la seguridad en nuestros sistemas
- Mujeres hackers en ElevenPaths Radio
- Creando certificados X.509 caducados
- Generador de imágenes Docker para infosec