CTF #nullcon 2012: Análisis de logs 3

nullcon1.jpg

Buena en esta tercera prueba de análisis de logs, nos proveen un fichero de logs (http://www.nullcon.net//challenge/data/access.rar) de acceso de apache. Lo primero que tenemos que saber interpretar es dicho fichero, para ello, podemos visitar esta página, dónde nos explican el significado de cada columna.

En este reto se nos pregunta por tres cosas para conseguir el flag: página vulnerable, puerto abierto e IP del atacante.

El fichero es bastante grande para analizar así manualmente, así que lo primero que hice fue filtrar todas las líneas cuyo código de respuesta era 2xx. Después de pasar un buen rato mirando de arriba abajo, filtrando por 200, 206, etc no conseguí nada. También estuve buscando por algún tipo de inyección con el típico comando “nc” (netcat), pera nada de nada.

Luego me dio por mirar el resto de códigos 404, 500, etc. Pero seguía sin ver nada. Luego me dio por buscar por llamadas a páginas con parámetros, especialmente aquellas que tuvieran algún tipo de intento de inyección. Esto lo intenté antes, pero sólo con las líneas del fichero cuya respuesta era 2xx (200 y 206 concretamente), ahora lo hacía con todo el fichero, hasta que me encontré con esta línea:

192.168.0.107 - - [06/Jan/2012:00:58:00 +0530] "GET /contact.php?c=bmMgLWwgLXAgNjY2Ng== HTTP/1.1" 500 274 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3"

El valor de c es base64, veamos a ver que contiene:

tuxotron@tuxotron-laptop:~/temp/nullcon$ base64 -d
bmMgLWwgLXAgNjY2Ng==
nc -l -p 6666

Bingo! Por lo tanto la repuesta las preguntas son: Vulnerable web: contact.php Port opened: 6666 Intruder IP: 192.168.0.107

Una vez introducido dichos datos pasaremos al siguiente nivel.