في يوم 21 من شهر ابريل كانت المسابقة الأولى من نوعها في المملكة، مسابقة التقاط الأعلام CTF المقدمة من مركز التميز لأمن المعلومات و شركة Scan. دامت المسابقة 30 ساعة تقريباً، وكان الفائز في المسابقة هم “القبعات البيضاء” :).

من اليمن لليسار "محمد اليوسف، د.خالد الغثبر، رامي الهذلي، مهند شحات و ناصر عسيري"

هذا الموضوع سيتكلم عن بعض التفاصيل التقنية في المسابقة والإجابة على اهم الأسئلة. في اخر الموضوع هناك بعض المواضيع اللتي تكلمت عن المسابقة وعن مشاركة فريق القبعات البيضاء فيها.

طريقة المسابقة

هناك 15 علم يجب الحصول عليهم، والفريق الذي يحصل على اكبر عدد من الأعلام في اقل وقت يعتبر هو الفريق الفائز. بعد حصول كل متسابق على IP خاص به، يتم الدخول للسيرفر الخاص بتسجيل النتائج ومشاهدة الأسئلة. كانت الأسئلة على شكل اللغاز ويتم توجيهك لسيرفر داخلي معين لمحاولة الحصول على العلم الخاص بذلك.

الأسئلة

هنا الأسئلة حصلنا عليها من شركة Scan للمشاركة بها في هذه التدوينة. (المهمة بالخط الغامق)

1
Hint:Warming out
Question: Who is the author of this website
2
Hint: Human  Are  so advance
Question: What is the Technology Being use in this website?
3.
Hint: Hansel and Gretel
Question: Who is the owner of the car plate’s number SK 1337
4.
Hint: Cover under Cover
Question: Lolcats have secrets. Find the secret number :) at /secret
5.
Hint: And you think this is encrypted?
Question: Dump the traffic on the port and figure out the answer :)
6.
Hint: Oh well do your best
Question:Think that menu is nice view /cooking/ and  Get the password for user h4x0r
7.
Hint: My favourite Artist
Question: Who’ being greeted at /etc/motd
8.
Hint: A women keeps a secret secret winked Xoxo
Question: This doesn`t make sense. A is 123456789 when C is 109445630. Make yourself paranoid at /math/ and find the value for B :)
9.
Hint: You shouldn`t drink expired milk
Question: Get the secret value at /quack/
10.
Hint: Don’t worry be happy
Question: The flag is shared. But can u see it
11
.Get the total size of / in bytes.
Here’s a hint
One can seek in /var/www/upload
12.
Hint:Challenging the realms of heores
Question: Get the root password
13.
Question: Use the answer from Question 11 to get the flag here at /bankrobber/
14:
Question: Get the username that is using gid:1001 and uid:1001
15:
Question: Hurm ring rinng. Get the number at /ring

اجابة بعض الأسئلة

سؤال 4

من المعلوم أن لكل ملف صيغته الخاصة أو Header الخاص به، ويمكنك معرفة كل Header لأي صيغة ملف من خلال عرضه بصيغة Hexadecimal .طريقة استخراج الصورة كانت سهلة للغاية، تم نسخ Header الخاص بالصورة والبحث عن صورة أخرى في نفس الصورة الأصلية، ومن ثم النسخ من بداية Header حتى نهايته، بعد هذا احفظ ماعملته واستعرضه بأي مستعرض للصور، ستجد الصورة المختبئة ظاهرة عياناً للجميع :) وبها الكلمة السرية للحصول على العلم.

سؤال 5

تأخرنا قليلاً في هذا السؤال، بسبب غلط تافه في عملية مسح الهدف باستخدام nmap. فإعتمدنا على البورتات الافتراضية اللتي يقوم nmap بفحصها. وكان المفترض ان نقوم بفحص لكل البورتات من 1 الى 65535 وبعدها وجدنا بورت جديد وبالاتصال بهذا البورت عن طريق netcat، رد علينا البورت برقم سري وكان هو العلم المطلوب.

سؤال 10

تم الدخول على السيرفر من خلال sharing folder، بعدها وجدت ملف flag.txt هذا الملف مدمج معه ملف آخر بطريقة ADS  Alternate Data Stream، تم استخدام أداة LNS تقوم بالكشف عن هذه التقنية وما إن كان هذا الملف مدموج معه شيء آخر أم لا، وبالفعل وجدناه مدمج وكان هو كلمة السر الخاصة بالعلم العاشر.

سؤال 12

كان هذا السؤال من اكثر الأسئلة متعة. المطلوب كما هو واضح الحصول على الباسورد الخاص بالروت. بمعنى اخر الحصول على محتويات ملف ال shadow، وبعدها اخذ الباسورد الخاص بالروت واستخدامنا برنامج John The Reaper لفك الباسورد المشفر. لكن حتى تقرأ محتويات ملف shadow يجب ان تكون بصلاحيات root.

السيرفر كان مصاب بثغرة SQL Injection وكانت فرصة جميلة لنا لاستخدام برنامج SQLmap اللذي اثبت جدارته بكل امنه الا في جزئية بسيطة الخاصة بالشيل. عموماً، باستخدام SQLmap حصلنا على shell عن طريق الخيار -os-shell الموجود في SQLmap. كان هذا الشيل بصلاحيات عادية وكان يجب علينا عمل رفع للصلاحيات Privilege Escalation للروت. الشيل المقدم من SQLmap فيه بعض المشاكل ويتضح انه لا يعمل بشكل ممتاز فالتنقل بين المجلدات لايعمل. فقمنا برفع سكربت perl بعد التعديل عليه ليعطينا reverse-shell بشكل افضل بكثير من المقدم من SQLmap.

بعد البحث عن ثغرة مناسبة في موقع www.exploit-db.com وجدنا هذه الثغرة وبعد عمل كمبايل لها، هولاااا اخذنا روت على السيرفر. قمنا بعد ذلك باخذ باسورد الروت المشفر من ملف shadow وبدأنا عملية كسر الباسورد باستخدام jtr. بكل تأكيد كان حل السؤال مسألة وقت وقوة جهاز وهو الشي اللذي لا نملكه. قمنا بطلب تغير الباسورد لشي اسهل حتى يتم كسره لكن تم الرفض، فالباسورد كان مكون من 14 حرف ورقم وعلامة. بعد 12 ساعه من محاولة jtr لفك الباسورد، قمنا باستخدام Social Engineering فاخذنا الجزء الاخير من الباسورد “kiddinme” وقمنا بخداع شخص اخر فأخذنا الحرف الأول “u”. كنا قد بدأنا في صناعة wordlist تعتمد على المعطيات السابقة لكن كما ذكرنا لم يكن لدينا الوقت الكافي لهذه الخطوة.

خطوة اخيرة قمنا بها هنا، هي تغير الباسورد الأصلي في ملف shadow، فحتى لو تمكن احد من الفرق الثانية الوصول للملف سيقوم بفك باسورد خاطئ وقمنا بوضع ملف اخر باسم hideMe.txt يحمل باسورد خاطئ لتضيع وقت الفرق الثانية ايضاً :).

سؤال 15

كان السؤال عبارة عن ملف صوت به صوت كلام اشخاص و صوت ضغطات على ازرار الهاتف و المطلوب هو ايجات كلمة السر و التي كما اتضح لنا هي عبارة عن ما يقابل هذه الضغطات من ارقام على ازرار الهاتف، الحل كان بتحليل الصوت و معرفه هذه الاصوات و هي ما يسمى بالـ Dual-tone multi-frequency signaling (DTMF) او النغمه الثنائية متعددة الذبذبات، حيث ان كل ضغطه زر في الهاتف تنتج ترددين مختلفين (او نغمتين مختلفتين) لكنهما متداخلتين و هو ما يتيح لمقاسم الهاتف التفريق بينها و معرفه الزر المضغوط و لتحليل الاصوات قمنا بتجزيئ ملف الصوت بعد الحصول عليه من السيرفر و تحليله باستخدام فلاتر معينه في برنامج audacity ثم تتبع الذبذات الناتجه و تسجيلها في لحظة الضغط على الزر و من ثم مقارنتها بجدول عالمي لهذه الذبذبات و يمكن الاستزاده من هذا الرابط على الوكيبيديا (http://en.wikipedia.org/wiki/Dual-tone_multi-frequency_signaling)

المشاركين

من فريق القبعات البيضاء شارك كل من:

  1. مهند شحات
  2. رامي الهذلي
  3. ناصر عسيري
  4. محمد اليوسف

صور للمسابقة

قد تبدو بعض الأسئلة سهلة جداً، لكن الفائدة الكبيرة لنا كانت هي معرفة قدرات الفريق، التعرف على الأشخاص القائمين على المركز والمسؤولين من شركة Scan ، والتعرف على المشاركين. سعدنا جداً بالحضور هناك وركزنا على تكرار المسابقة لسنوات قادمة لكن بتحديات اكبر. ونشكر مركز التميز وشركة Scan على ابداء اعجابهم بفريقنا وقدراته :). نشكر مجموعة PSD على دعمهم الدائم لنا.

مواضيع كتبت عن المسابقة
  1. مملكة القلم تبارك للقبعات البيضاء المركز الأول
  2. مركز أمن المعلومات يعلن فوز فريق القبعات البيضاء بجائزة التقاط الأعلام
  3. صحيفة سبق تتحدث عن فوز فريق القبعات البيضاء في مسابقة أمن المعلومات
  4. تقرير عن المسابقة من قناة الإخبارية