CTF - The Catch 2024 - Intro

 Prvý októbrový pondelok začal ôsmy ročník The Catch. Počas 3 týždňov bolo možné hravou formou CTF súťažne riešiť úlohy súvisiace s IT bezpečnosťou. Pre zapojenie sa stačilo, po spustení súťaže, zaregistrovať na stránke www.thecatch.cz - zadať login, heslo a mail.

Na webe je bodkovaná deliaca čiara, má bodky v dvoch polohách - vyššie a nižšie. Informácia uložená v dvoch úrovniach, bez zjavných oddeľovačov, je zvyčajne kódovaná binárne. Prepísal som teda bodky do 0 a 1 a preložil cez CyberChef ako 7-bitový ascii reťazec: 20 years of CESNET-CERTS

To bude téma tohto ročníka.

* CESNET-CERTS - je názov CSIRT tímu združenia CESNET od r.2004

0. Introduction (0 bodov)

Vítajú ma, ako sľubného kandidáta, do nového bezpečnostného tímu TCC-CSIRT (The Catch by Cesnet - Computer Security Incident Response Team). Očakáva ma kariéra plná krvi, potu a sĺz, teda vlastne veľkých skúseností, príležitostí a pocitu dobre vykonanej práce. Ak mám záujem, stačí prepísať vlajku :

FLAG{BTb5-QfYb-JzAh-Zte0}

Po zadaní vlajky sa mi odomkla sekcia CSIRT - Training center.

1. Blacked-out PDF (1 bod)

Mám skontrolovať, či personálne oddelenie dostatočne "začierňuje" osobné údaje v publikovaných dokumentoch. Ako príklad si mám stiahnuť formulár s formálnym ospravedlnením za bezpečnostný incident.

Samotný dokument pôsobí vtipne, ospravedlňuje sa tu niekto za spam s mačkami. Na konci formulára sú začiernené políčka s menom, loginom a ID incidentu. Políčka však idú označiť a skopírovať:

Name of culprit   Patience Phillips
Login of culprit  catwomen@cypherfix.tcc
Incident ID       FLAG{uBlQ-wB81-0Bhr-2ylo}

2. VPN Access (1 bod)

Nikto z domu nepracuje bezpečne bez VPN, úlohou je stiahnuť nastavenie zo stránky a spustiť OpenVPN správne. Pre overenie máme linky na IPv4 a IPv6 interné weby.

Táto úloha nečakane potrápila, OpenVPN nefungoval, dal som ho teda updatovať. Rozhasil som si systém (nepoužil apt, ale apt-get), dal som ho nakoniec do poriadku, ale ako VPN nabehla, nefungovalo DNS. Naštastie na nefunkčné DNS pri OpenVPN sú postupy {podľa použitého systému  - u mňa systemd).

Do stiahnutého konfigu (ctfd_ovpn.ovpn) som pridal pred certifikáty tieto riadky pre DNS:

script-security 2
up /etc/openvpn/update-systemd-resolved
down /etc/openvpn/update-systemd-resolved
down-pre

Spustím s právami roota: sudo openvpn --config ctfd_ovpn.ovpn

Pre kontrolu otvorím http://bellatrix.cypherfix.tcc  (IPv4)

Mačka Bellatrix má polovicu vlajky FLAG{Hgku-580A a pýta si tuniakovú konzervu.

Potom otvorím http://gerry.cypherfix.tcc  (IPv6)

Kocúr Gerry má druhú polovicu vlajky -Hsrn-03Zr} a prosí si kuraciu pochúťku.

3. Request of cooperation (1 bod)

CSIRT dostal požiadavku na spoluprácu od orgánov činných v trestnom konaní o lokalizáciu zariadenia na svojej sieti. Stiahnem si PDF s požiadavkou od cyberdetektíva poručíka John Doa, kde je špecifikované:

Sieťový rozsah: 2001:db8:7cc::/64

Media Access Control (MAC) adresa: 00ca.7ad0.ea71

Požadovaná akcia:

-vyhľadať v sieťovom rozsahu a identifikovať zariadenie

-použiť vedomosť, že zariadenie používa bezstavovú autokonfiguráciu na IPv6 a je zabezpečené cez MaggiePounce softvér, teda zariadenie prezentuje svoje štatistické údaje a lokalitu na webe s portom 1701/tcp

IPv6 adresa má 128bitov (8x 16bit), teda rozdelenie na 64bit pre sieť ponecháva ďalších 64bit pre zariadenia v sieti. Navyše posedné 16bit číslo sieťovej adresy nevieme. To nám necháva obrovský rozsah adries na hromadný scan.

Bezstavová autokonfigurácia (SLAAC) používa MAC adresu zariadenia pre vyskladanie IPv6 adresy, spolu s informáciou o sieti poskytovanej od routera. Existujú online kalkulačky, alebo shell skript mac2ipv6

echo "00:ca:7a:d0:ea:71" | awk -F: '{printf "fe80::%s%x%s:%sff:fe%s:%s%s\n", substr($1,1,1), xor(strtonum("0x"substr($1,2,1)),2), $2, $3, $4, $5, $6}'

fe80::02ca:7aff:fed0:ea71

Zoberiem teda posledné 4 čísla ako číslo adresy v sieti a pripojím sieť zo zadania a začnem scan na portoch 1701:

nmap -v -p 1701 --open -6 2001:db8:7cc::2ca:7aff:fed0:ea71

Adresu našiel okamžite, bola hneď na 0 v chýbajúcej časti siete. Stiahnem si web cez wget:

wget -6 'http://[2001:db8:7cc:0:2ca:7aff:fed0:ea71]:1701/'

V stiahnutom index.html je v tabuľke na konci vlajka FLAG{Sxwr-slvA-pBuT-CzyD}

Sú tu tiež GPS súradnice 50.098° N, 14.388° E, ktoré poukazujú na možné teoretické pripojenie do CESNET budovy cez wifi z kopca so železnicou.

4. Personal portal (1 bod)

Mám preskúmať, či na Personálnom portáli http://perso.cypherfix.tcc nie je únik neverejných dát.

Po otvorení stránky vidím login formulár a linku na help. Ako ju odkliknem, otvorí sa linka:

perso.cypherfix.tcc/files?file=help.html

Avšak niekde je problém a vidím miesto toho výpis adresára (directory listing) a v ňom:

info.txt
meeting2024-09-05.md
index.html
help.html

Súbor meeting2024-09-05.md je zápis z porady o chystanom personálnom portáli. V zápise je vidieť, že myslia aj na bezpečnosť a zápis sa končí šifrovaným podpisom:

Signature code:
RkxBR3tZemZOLVo5UlAtb2MxUC1hdURvfQo=

V pomôckach bola informácia, že base64 je najobľúbenejšie kódovanie, ale poznať to aj podľa znakov rovná sa na konci, ktoré sú tu kvôli zarovnaniu. Dekódovať rôzne reťazce možno šikovne cez CyberChef, ale v tomto prípade viem, že ide o base64 a použiijem shell:

echo "RkxBR3tZemZOLVo5UlAtb2MxUC1hdURvfQo=" | base64 -d

FLAG{YzfN-Z9RP-oc1P-auDo}

5. Promotion (0 bodov)

Mám excelentné výsledky, riešenia ktoré by lepšie nezvládli a tak ma pozývajú pracovať ako analytika do TCC-CSIRT tímu. Pokiaľ akceptujem, mám zadať FLAG{VoHM-dMM1-UHTz-zvj4}

Po akceptovaní sa mi odkryla štruktúra ďalších úloh, z ktorých môžem vyberať v akomkoľvek poradí. Tie, ktoré sa mi vyriešiť podarilo, rozpíšem nabudúce.

Lore

Chapter1: Travel[3], Chapter2: Origins[4], Chapter3: Bounded[5[, Chapter4: Uncle[6]

Security concerns

Long secure password[3], Admin Johnson[3], Johny's Notes[3], Admin John[5]

Miscellaneous

Who is who[1], Leonidas[2], Old service[2], DNS madness[2], Snake game[4], Incident reporting[4]

Záver

Súťaž po úvodých kapitolách hodnotím kladne. Svojim zameraním a rozsahom udržuje svoj príjemný štandard. Je tu opäť spolu 20 úĺoh na rovnako dlhé časové obdobie ako minule. Potrápila ma VPN a jej DNS.