Annonce

Réduire
Aucune annonce.

[RÉSULTATS] Premier CTF Hackademics !

Réduire
X
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • #16
    Bonjour à tous

    Niveau général : Débutant
    Compétences particulières : dev, admin linux, sécu, web, bdd
    Membres avec qui je veux être en équipe : slem
    Remarque :

    Commentaire


    • #17
      Bonjour a tous,

      Niveau général : profil root-me
      Compétences particulières : Secu web, python
      Membres avec qui je veux être en équipe : Thryn
      Remarque : A samedi

      Commentaire


      • #18
        Salut tous le monde !

        Niveau général : Débutant total !
        Compétences particulières : Un peu de programmation
        Membres avec qui je veux être en équipe : Je viens d'arriver sur le forum, je ne connais personne
        Remarque : Je débute totalement, j'ai déjà essayé des CTF sur rootme mais je me suis pris de bonnes claques, j'essaie ici, ça à l'air d’être un peu mieux avec une communauté sur un discord

        Commentaire


        • #19
          Bonjour, Je m'inscris au CTF

          Niveau général : débutant
          Compétences particulières : Sécu, pentest
          Membres avec qui je veux être en équipe : Slem, Dremixam
          Remarque : bon pour un challenge!

          Commentaire


          • #20
            Bonjour a tous !

            Niveau général : débutant ++
            Compétences particulières : admin. unix, pentest, python
            Membres avec qui je veux être en équipe : WINGSV5
            Remarque : à demain
            Dernière modification par R3DL, 15 février 2019, 20h15.

            Commentaire


            • #21
              Niveau général : débutant
              Membres avec qui je veux être en équipe : R3DL

              Commentaire


              • #22
                Bonsoir à tous !

                L'inscription est maintenant fermée.
                Je vais donc constituer les équipes et vous les partager sur ce topic
                ++++++++++[>+++++++>++++++++++>+++>+<<<<-]>++.>+.+++++++..+++.>++.<<+++++++++++++++.>.+++.------.--------.>+.>.

                Commentaire


                • #23
                  Et voici les équipes !

                  TEAM A
                  • R3DL
                  • WINGSV5
                  • Thryn
                  • bambish
                  • GusBB
                  • Fydz
                  • timothepou
                  • Grodzeus
                  • Yamzou

                  TEAM B
                  • Hades Worm
                  • Deunis
                  • sley
                  • Mjolner
                  • Mbahal
                  • Sombrero M104
                  • juan9
                  • slem
                  • DrEmixam
                  Si votre nom apparait en rouge merci de m'envoyer vos pseudos Discord en MP le plus vite possible !

                  Rappel des infos :
                  • Avoir un client SSH (natif sous Linux, Putty sous Windows par exemple...)
                  • Un navigateur web capable de gérer un proxy SOCKS (Firefox par exemple)
                  • Éventuellement un autre navigateur web
                  • Savoir créer un tunnel SSH coté client (cf: https://www.supinfo.com/articles/sin...ace-tunnel-ssh)

                  A demain
                  Dernière modification par Overflow, 16 février 2019, 19h01.
                  ++++++++++[>+++++++>++++++++++>+++>+<<<<-]>++.>+.+++++++..+++.>++.<<+++++++++++++++.>.+++.------.--------.>+.>.

                  Commentaire


                  • #24
                    Et voilà ! C'est fini !

                    Merci aux deux équipes

                    Résultat : Victoire de l'équipe B (flag user : 21h51 - flag root : 22:43)
                    L'équipe A a également obtenu les deux flags ! (flag user : 22:08 - flag root : 23:10)

                    TÉLÉCHARGER LE CTF : https://github.com/HackademicsForum/hk-ctf-1


                    Et maintenant, voici la solution du CTF :

                    Pour commencer nous savons que nous avons deux ports ouverts 80 et 22 : http et ssh...
                    Commençons par analyser http : Nous avons une page web, sans php/js juste du HTML. Le site ne semble pas utiliser de CMS.
                    En essayant des URL classiques nous trouvons un /admin/ protégé par identifiant/mot de passe. Le couple est triviale : admin/password.
                    Nous trouvons ensuite un index ouvert avec des images, l'une d'elle (celle avec le chocolat) a un nom spécial. C'est une chaine encodée en base 64. En la décodant nous trouvons "tux:tuc1337".
                    Ce sont des identifiants ssh, et nous pouvons donc lire /home/tux/user.txt !

                    Dans le dossier home de tux nous pouvons voir un fichier .c qui a pour objectif de lire le flag root.
                    Nous ne pouvons pas écrire dans le home, compilons donc le fichier c dans /tmp/ avec gcc. Exécutons le résultat : "Permission denied" et oui, car le fichier c a été compilé par Tux il n'a donc pas les droits...
                    Le nom du fichier est todo, nous pouvons donc imaginer que l'administrateur a complié de fichier quelque part, faisons une recherche de fichier SUID :
                    Code:
                    find / -perm -4000 -print
                    Dans la liste se trouve un binaire lssd, cette commande n'existe pas sous Debian : Lançon la : Bingo ! Mot de passe.
                    Évidemment l'administrateur a changé le mdp. Faisons maintenant deux strings un sur lssd l'autre sur le binaire compilé précédent. Repérons entre quoi et quoi se trouve la chaine "MdpAChanger", cherchons la ligne correspondante dans les strings de lssd, bingo !
                    Et voilà, nous avons le flag root !

                    J'essayerais de vous mettre a disposition le container Docker du CTF la semaine prochaine...

                    Merci d'avoir joué et a bientôt pour un nouveau CTF
                    Dernière modification par Overflow, Hier, 11h06.
                    ++++++++++[>+++++++>++++++++++>+++>+<<<<-]>++.>+.+++++++..+++.>++.<<+++++++++++++++.>.+++.------.--------.>+.>.

                    Commentaire

                    Chargement...
                    X