CTF #nullcon 2012: Análisis de logs 4

nullcon1.jpg

En este cuarto nivel, el fichero que se nos da es de Burp y se nos pregunta por el CVE del exploit usado.

Esta vez y aprendiendo del nivel anterior me basé en buscar por las urls en vez de códigos de respuesta. Rápidamente me di cuenta que la mayoría de las peticiones se hacían una IP/página sin que, en principio, se nos diera alguna pista de la aplicación web a la que se accedía y viendo que nos preguntan por un CVE, empecé a descartar dichas urls.

En mi primera búsqueda, me di cuenta que también había referencias a un tikiwiki y un joomla. Rápidamente me fui a Google y busqué CVEs relacionados con estos dos productos y ambos tienen una amplia lista de CVEs. Así me decidí a enfocarme en estos. Empecé por tikiwiki y rápidamente me topé con esto:

  
  
    
    
    192.168.221.154
    80
    http
    POST
    
    php
    foo.bar1111','')); system('id
'); die; /*]]>
    200
    283
    text
    
    
  

Como podemos ver hay una clara inyección via XML, en el que se ejecuta el comando “id” (system(‘id ‘);) de forma satisfactoria.

Así que me fui a Google y busqué algo como: server.php code execution xml tikiwiki. Cuyo primer enlace es exactamente lo que estamos buscando y dónde podemos ver el CVE que estamos buscando: CVE-2005-1921