אתגר המוסד - התשע"ו

הקדמה:

ביום העצמות התשע"ו המוסד פרסמו תמונה בעיתון "ישראל היום":

בצד ימין של התמונה כתוב ARE YOU READY FOR A CHALLENGE? ובין המילים האלו כתוב IP. על סמך הטקסט המסומן אפשר להניח שהמספרים בהקס מייצגים את האיפי שאנחנו מחפשים.

שלב 1:

חישבנו מה הייצוג הדצימלי של המספרים (82)­16=(130)10 (d3)­16=(211)10 (54)16=(84)10 (aa)16=(170)10. הזנו את האיפי (130.211.84.170) לדפדפן והגענו לעמוד הזה:

לחיצה על Start Challenge הביאה אותנו לעמוד הבא:

העלנו כמה קבצים ולפי הודעות השגיאה שקיבלנו גילינו שצריך להעלות קובץ .png עם xmodem-crc ספציפי ובתווך גדלים מסויים.

פתחנו בטאב נפרד את התמונה שהופיע בצד השמאלי של העמוד וחקרנו את הקישור שלה: http://130.211.84.170/challenge1/get-image?name=logo.png&h=87d41d15f&multiple=0

אחרי קצת ניסוי וטעייה גילינו שה-h בקישור נלקחו מהמקומות [3]-[11] של ה-md5 של שם התמונה(כלומר התוים 4-12).

רצינו גם לגלות על מה הפרמטר multiple משפיעת אחרי קצת משחקים מצאנו שעם הערך 1 מוצגת לנו רשימה של שם הקובץ: ["logo.png"]. בהתחשב בכל המידע שאספנו החלטנו לחפש קבצים נוספים בשרת, גיבבנו *ולקחנו את התוים הרלוונטיים שתיארנו מוקדם יותר (9dae361af) והכנסנו אותם לקישור: http://130.211.84.170/challenge1/get-image?name=*&h=9dae361af&multiple=1. התוצא שהתקבלה: ["last-login.png", "map.png", "themissingpiece.png", "logo.png", "a.jpg", "fingerprint.jpg"].

פתחנו את כל התמונות:

1last-login.png 2map.png 3themissingpiece.png 4logo.png 5a.jpg 6fingerprint.jpg

ניסינו להעלות את כל התמונות האלו וגילינו שרק ל-last-login.png יש את ה-crc המתאים:

הבנו שאנחנו צריכים להעלות תמונה אחרת עם אותו crc. מצאנו שנורא קל לשלוט על זה אם מוסיפים ארבע בתים לסוף הקובץ ותוך כדי ניטור משנים אותם עד לתוצאה הרצויה. כתבנו סקריפט שיעשה לנו את זה וקיבלנו תמונה חדשה שאיפשרה לנו להתחבר.

כפי שאנחנו רואים נוספו אפשרויות חדשות לאתר. עברנו על העמודים ומצאנו שיש לנו גישה לעמודים Cells ו-Door Control.

בעמוד Door Control הופיע מה שנראה כמו קוד בבסיס 64:

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

בעזרת אתר פיענחנו את הקוד וקיבלנו קובץ עם הדר PK שאמר לנו שככל הנראה מדובר בזיפ. חילצנו ומצאנו קובץ DoorControl.exe שבמבט ראשון לא עשה כלום. בעזאת OLLYDBG גילינו שהוא מחפש קובץ: C:\doors\config.txt ושתוכן הקובץ הזה צריך להיות: c:\OpenDoors.key. יצרנו את הקובץ הזה והרצנו מחדש את התוכנית. עכשיו התוכנית ביקשה קלט שקיבלנו מהעמוד Cells:

קיבלנו קישור שהביא אותנו לעמוד הבא (יאיי!):

שלב 2:

לחיצה על Start Challenge העבירה אותנו ל-http://130.211.84.170/challenge2/access-denied.

בעזרת Wireshark גילינו קישור שהוסתר בהערה http://130.211.84.170/challenge2/pk. הקישור הזה הוריד לנו קובץ x.zip בתוך הזיפ הזה מצאנו עוד שני קבצים port_knocking.cfg ו-random.

port_knocking.cfg הכיל רשימת פורטים לגשת אליהם ופורט סופי. כשהצלחנו להתחבר לשרת מצאנו הרבה קבצים, רובם לא שימושיים. הקובץ הכי מעניין היה login.exe. הרצנו את הקובץ וקפצה לנו הודעה עם קישור:

הגענו לעמוד עם שתי תמונות כמעט זהות:

השוונו בין התמונות ומצאנו את הסיסמה (הידד):

כאן הקובץ random היה לא רלוונטי (כמו בערך כל הקבצים שהיו על השרת). בנוסף אני מניח שהמוסד קצת פיקששו עם הזיפ בגלל שגרסאות חדשות של 7-zip חילצו בלי בעיה, אבל גרסאות ישנות חילצו קובץ אחר עם התוכן Not that easy… (או משהו בסגנון). אולי הם רצו להדגיש את החשיבות של לעדכן את הכלים שלך…

שלב 3:

מקווה שיתווסף בהמשך. (מסתבר שלא)

Start Challenge הביא אותנו ל-http://130.211.84.170/challenge3/start ומציג לנו הודעה: Transmitting to your.ip:XXXXX עם טיימר של 5 שניות. "your.ip" זה האיפי של המכשיר ממנו אנחנו גולשים ו-"XXXXX" זה מספר פורט רנדומלי שמשתנה בכל פעם שמרעננים את העמוד. אני מניח שהיינו אמורים לבצע סוג של פורט פורוורדינג אבל לא היתה לנו הרשאה לכך בזמן האתגר.

לצערי האתגר נסגר (19/05/2016), אולי בפעם הבאה.